Verhoogd aantal account-aanvallen: activeer tweestapsverificatie (2FA)

Cyberkef

Cyberkef

Shinigami
Crowdfunder FE
Ondanks dat we als beheerders van deze site dagdagelijks actief bezig zijn met de veiligheid van alle componenten, is er één belangrijk aspect waar wij minder controle over hebben dan de rest. En dat is jullie persoonlijk wachtwoordbeheer/-gebruik (gebruik je 1 gedeeld wachtwoord voor alles of een unieke login per website) noch de externe geschiedenis van deze gegevens (zijn deze gegevens al gelekt door een andere website).

We merken de voorbije weken een specifiek type aanval op enkele gebruikersaccounts waarbij de aanvaller al op voorhand beschikt over een geldig wachtwoord bij een gebruikersnaam, en dit wijst op het gebruik van een "breached list". Je kan voor jouw specifieke account(s) trouwens zelf snel testen via de website https://haveibeenpwned.com/ of die ook op zo'n lijst staat.

Kleine geruststelling: er is geen enkel vermoeden dat de gebruikte gegevens vanuit onze eigen database zou komen, noch vanuit TNG/9lives (moest dit zo zijn dan zou dit ASAP via andere kanalen rechtsreeks gemeld worden aan jullie). De betrokken accounts stonden allemaal op meerdere (tot wel 15!) van die breached lists volgens bovenstaande testsite.

Daarom vragen we jullie met lichte aandrang om 2FA op zowel jullie BeyondGaming account te activeren (dit kan hier), als elke andere website die dit toelaat waar je accounts op hebt. Dat is een zeer cruciale drempel tegen hackers, en een kleine moeite voor een hoop gewetenszekerheid aan jullie kant.
 
Done.
Ik snap niet dat niet meer websites gewoon gebruik maken van pakweg Google Authenticator.
 
Goed dat je de gebruikers wil bewust maken van de veiligheid, ik weet dat je en het team echt veel tijd hierin steken en veel geven om de privacy en data van gebruikers.

*RANT*

ik heb nu al 15 authenticators waarom zou ik een bij maken voor een forumpje waarop ik wat anonieme posts zet. Gewoon een complex uniek wachtwoord dat in mijn synced browserkluis zit done. Ik ga niet een authenticator bovenhalen elke dag ik het forum wil open doen.

Wat is het volgende, elke winkel of gazet ook een authenticator code? Dan moet ik 200 authenticator codes bijhouden.

In plaats van iedereen aan te raden nog meer authenticator codes bij te houden, regel Microsoft, Facebook of Google SSO op uw site. En wie dat niet gebruikt moet zijn wachtwoord regelmatig verplicht aanpassen, of enkel nog zeer complexe wachtwoorden waardoor die overlap meer wegvalt. Dan dwing je wat af.

Hopen dat iemand die op 20 sites hetzelfde wachtwoord gebruikt vrijwillig MFA gaat instellen op BG, da gaat niet gebeuren.

Ik heb hier net een VPN geopend via Turkije en kan ook gewoon direct inloggen. Geen vraagje "verdachte login poging, goedkeuren?" in mijn email. Is dat tegenwoordig ook nog geen minimum?

Ge kunt u ook afvragen hoe die hackers kunnen "weten" dat desbetreffende accounts een account hebben op een met alle respect pietluttig Vlaams forumpje als BG. Denk je dat die willekeurig allerlei sites proberen en dit forum toevallig op hun lijst staat? For what reason? Of weten die op een andere manier (lek) dat die accounts hier bestaan? Als ge geen 1 miljoen login pogingen van random email adressen per dag hier krijgt, dan lijkt dat 2de eerder het geval. Tenzij het echt om "targeted" attacks gaat van iemand dat 1 specifiek accountje kocht van het darkweb.

*RANT*
 
Laatst bewerkt:
Five-seveN zei:
Gewoon een complex uniek wachtwoord dat in mijn synced browserkluis zit done
Klik om te vergroten...
Moest ik kunnen, ik zou dat verplichten voor iedereen (maar dat ligt helaas niet in onze macht :D )

Five-seveN zei:
ik heb nu al 15 authenticators waarom zou ik een bij maken voor een forumpje waarop ik wat anonieme posts zet. ... Ik ga niet een authenticator bovenhalen elke dag ik het forum wil open doen.
Klik om te vergroten...
We hebben de optie om het te verplichten per usergroep. Voor de supermods/admins was dit al van dag 1 verplicht. Voor de gewone crewies gaan we dit een dezer dagen verplichten (omdat zij meer "macht" hebben en een lek iets problematischer gaat zijn dan enkel wat spam reclame posts voor crypto sites). Voor de gewone gebruikers raden we het gewoon sterk aan (en al zeker voor mensen die 1 gemeenschappelijk wachtwoord gebruiken voor al hun logins). Dus je kan op op twee oren slapen, je gaat niet verplicht worden om de 16e voor ons in te stellen :) (al raad ik het wel aan)

Five-seveN zei:
Hopen dat iemand die op 20 sites hetzelfde wachtwoord gebruikt vrijwillig MFA gaat instellen op BG, da gaat niet gebeuren.
Klik om te vergroten...
Oh hemel stel je voor dat mijn charisma zo hoog is dat deze simpele post dat zou kunnen doen :feelsgood: Maar zo naïef zijn we na +20 jaar ervaring zeker niet meer. Maar nu moet men achteraf niet meer komen klagen waarom hun account plots mysterieus gebanned + gelocked is :fingerguns:

Toen ik het op Discord postte waren er onmiddellijk meerdere mensen die niet eens wisten dat het überhaupt kon en instant ingesteld hebben toen ze van het bestaan ervan wisten. Als ik al die mensen kan helpen, ga ik vannacht héél goed slapen.

Five-seveN zei:
Ge kunt u ook afvragen hoe...
Klik om te vergroten...
Dat moeten we ook al niet doen. We weten nu immers al met 100% zekerheid dat dit klein Vlaams pietluttig siteke maar 1 van honderden andere websites is waarop deze specifieke "hacker" lijst(en) tegelijkertijd aan het testen is. En zeer moeilijk is dat zeker niet: Google op "Community platform by XenForo" + 1 custom loginscript heb je al duizenden links om op te botvieren. Doe hetzelfde met andere vaste namen als "Powered by vBulletin", phpBB, ... en je hebt nog tienduizenden sites bij dat je met een handjevol scripts kunt geautomatiseerd aanvallen.

Ook de andere dingen in de alinea zijn zeer gemakkelijk te checken/omzeilen door hen (bvb bestaande accounts kan je relatief gemakkelijk terugvinden zonder eerst in te loggen). Ik ga echter wel niet teveel publieke uitleg geven van de vele (custom) zaken die wij in onze toolkit hebben om jullie te beschermen, maar daar zitten ook wel een paar héél stevige en geautomatiseerde banhamers in ;)

Je gaat mij echter nooit horen zeggen dat wij - of iemand anders for that matter - 100% hackvrij gaan zijn, maar we doen dagelijks ons best om nooit met dat nieuws te moeten afkomen verdikke.
 
Five-seveN zei:
ik heb nu al 15 authenticators waarom zou ik een bij maken voor een forumpje waarop ik wat anonieme posts zet. Gewoon een complex uniek wachtwoord dat in mijn synced browserkluis zit done. Ik ga niet een authenticator bovenhalen elke dag ik het forum wil open doen.
Klik om te vergroten...

Ze werken hier via Google Authenticator.
1x per 30 dagen (per device) eens snel die Authenticator erbij nemen is nu echt wel geen moeite e.
 
Indien het een verplichting is , zouden die met een wegwerp email adres bij registratie in de schit zitten .

Een verplichting zou een goede zaak zijn .
 
Ik zie hier veel Google Authenticator voorbij komen, terwijl Authy toch wel de App bij uitstek is voor dit soort dingen. Je kan daar bijvoorbeeld een back-up nemen en overzetten naar een nieuwe telefoon om maar een te noemen.

authy.com

Authy | Two-factor Authentication (2FA) App & Guides

Two-factor authentication (2FA) adds an additional layer of protection beyond passwords. Download our free app today and follow our easy to use guides to protect your accounts and personal information.
authy.com authy.com
 
Cyberkef zei:
Bij Google Auth heb je dit sinds een paar maanden ook (ik heb toch feilloos van gsm kunnen wisselen).

Heb persoonlijk geen voorkeur voor een specifieke, dus heb er ook geen expliciet bijgezet :)
Klik om te vergroten...
Aha. Goed nieuws dat de andere authenticators het ook implementeren. Weer wat bijgeleerd.
 
Green Mamba zei:
Ik zie hier veel Google Authenticator voorbij komen, terwijl Authy toch wel de App bij uitstek is voor dit soort dingen. Je kan daar bijvoorbeeld een back-up nemen en overzetten naar een nieuwe telefoon om maar een te noemen.

authy.com

Authy | Two-factor Authentication (2FA) App & Guides

Two-factor authentication (2FA) adds an additional layer of protection beyond passwords. Download our free app today and follow our easy to use guides to protect your accounts and personal information.
authy.com authy.com
Klik om te vergroten...

Die van Microsoft synct met je outlook/hotmail/o365 dat is degene die ik gebruik, zeer handig en je komt niet voor verrassingen te staan als je een nieuwe telefoon hebt :D
 
Hoe betrouwbaar is die pwnd website eigenlijk? Ik heb er nog niet op geklikt, maar moet je daar een email opgeven ofzo?
 
Ruigen Das zei:
Hoe betrouwbaar is die pwnd website eigenlijk? Ik heb er nog niet op geklikt, maar moet je daar een email opgeven ofzo?
Klik om te vergroten...
Je moet enkel je email adres in de zoekbalk typen. En dan gaat die in een database van breaches kijken of er een match is met uw email adres. Is een gekende tool en zeker te vertrouwen.
 
Cyberkef zei:
We merken de voorbije weken een specifiek type aanval op enkele gebruikersaccounts waarbij de aanvaller al op voorhand beschikt over een geldig wachtwoord bij een gebruikersnaam, en dit wijst op het gebruik van een "breached list".
Klik om te vergroten...

Hebben jullie die gebruikers in kwestie ook aangesproken hierop?
 
Carrion zei:
Je moet enkel je email adres in de zoekbalk typen. En dan gaat die in een database van breaches kijken of er een match is met uw email adres. Is een gekende tool en zeker te vertrouwen.
Klik om te vergroten...
1 breach van mijn mailadres, maar geen verdere kopieën. Hoe werkt deze website eigenlijk? Kan ik zien waar die breach gebeurde?
 
Ruigen Das zei:
1 breach van mijn mailadres, maar geen verdere kopieën. Hoe werkt deze website eigenlijk? Kan ik zien waar die breach gebeurde?
Klik om te vergroten...
Dit is de info die je krijgt:

1675407187321.png


Dus dan zie je wel ongeveer via waar het is.
 
Pieterman zei:
die met een wegwerp email adres bij registratie in de schit zitten
Klik om te vergroten...
Bij deze forumsoftware een wegwerp emailadres gebruiken is sowieso al geen goed idee tout court (zowel tijdens of na registratie).

Na teveel verstuurfouten naar zo'n mailbox (bvb bij een PM, alert, quote...) wordt de account zelf gelocked tot er terug een geldig e-maildres is om naartoe te gaan sturen (dit om te voorkomen dat we binnen hier en een paar jaar verzuipen onder een lawine van soft/hard-bounced mails).

Ruigen Das zei:
Hoe betrouwbaar is die pwnd website eigenlijk?
Klik om te vergroten...
Is al een stevig paar jaar een gevestigde waarde geworden. Veel (gekende) lekken worden ook aangeleverd aan hen (hetzij door security researchers, ik dacht soms zelfs aangekocht op het dark web en gedoneerd aan hen) om toe te voegen aan de resultaten, waardoor het een heel waardevolle en betrouwbare verzameling geworden is.
Ze hebben inmiddels ook al wat tools ter beschikking waarbij iedereen (die daarvoor betaald) zaken kan gaan mee verbinden om bvb automatisch en systematisch te gaan testen of accounts/e-mailadressen hier inzitten en daar bepaalde acties voor ondernemen (2FA verplichten, sterker wachtwoord verplichten, ...).

Wat wij echter niet gaan doen (hoe graag ik het ook zou willen), is al jullie accountgegevens daar ongevraagd tegen gaan checken. Privacy, so hot right now!

Niklas zei:
Hebben jullie die gebruikers in kwestie ook aangesproken hierop?
Klik om te vergroten...
Het klein handjevol accounts waarop hier ingelogd waren, werden reeds security locked. En daar hebben ze een melding van gekregen.
 
Laatst bewerkt:
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

nestorius
Hoe bescherm jij jouw gegevens op internet.
3 4 5
Reacties
90
Weergaven
4K
Green Mamba
Green Mamba
Loser
  • Gesloten
  • Artikel
FAQ Forum
2 3
Reacties
50
Weergaven
5K
Loser
Loser
Terug
Bovenaan