DjangoCon EU 2013

Deze week wordt op DjangoCon Europe 2013 in Warschau gehouden. Er zijn 3 dagen met presentaties gehouden, en daarna 2 dagen samen werken aan het verbeteren van ons geliefde web framework. DjangoCon heeft dit jaar een bijzondere locatie waarop de conferentie plaatsvond:

 

We hebben zelf een korte presentatie gegeven van django-fluent CMS; het CMS wat we gebruiken voor projecten en ook op deze site gebruikt is.

Hier zijn de slides:

Vanaf vandaag is de documentatie van het CMS ook beschikbaar op django-fluent.org!

LinkedIn en wachtwoorden

LinkedIn was onlangs in het nieuws dat hun wachtwoorden gelekt waren, en makkelijk te kraken zijn. Dit was bijvoorbeeld te lezen op nu.nl. Hoe zit dat precies? Hierbij een uitleg hoe websites met wachtwoorden omgaan, en wat je er zelf aan kan doen.

Wachtwoord versleuteling

De wachtwoorden op LinkedIn zijn versleuteld opgeslagen, de originele wachtwoorden zijn niet bekend. Tot zo ver netjes gedaan!

Door versleuteling wordt een wachtwoord omgezet naar een stuk gecodeerde en onleesbare tekst. Als je wachtwoord bijvoorbeeld "linkedin" was, wordt dit omgezet naar de tekst 7728240c80b6bfd450849405e8500d6d207783b6. Alleen die tekst wordt bijgehouden bij LinkedIn, en het originele wachtwoord niet. Dat is veiliger, want zo kan je wachtwoord niet gelezen worden.

Je vraagt je misschien af, hoe kan je dan een wachtwoord controleren als je niet meer het originele wachtwoord hebt? Dat is eigenlijk vrij simpel: bij het inlogscherm wordt dat ingetypte wachtwoord ook omgezet naar een versleutelde code. Die kan je vergelijken met de code die al bekend was, en zo ja, heb je dus met het juiste wachtwoord ingelogd. Werkelijk nergens is het originele wachtwoord bekend.

Het idee van zo'n versleuteling is ook dat, mocht er een hacker inbreken, hij toch niet de originele wachtwoorden kan achterhalen.

Wat gaat daar fout?

Zo'n versleutelde waarde is erg onleesbaar en erg complex opgebouwd, echter hebben slimme mensen daar een oplossing voor gevonden. Van alle denkbare simpele wachtwoorden is de versleutelde waarde bekend. Iedereen die de code 7728240c80b6bfd450849405e8500d6d207783b6 ziet staan, kan vrij snel achterhalen dat het bijgehorende wachtwoord hiervan gewoon "linkedin" is.

De truc is dat iedere website aan een wachtwoord iets extra's toevoegt, dat niemand verder weet. Als bijvoorbeeld achter dat wachtwoord de tekst '$%QP@' plakt word, is de uitkomst ineens c444a30967aa9631aca65e3b4b89e18c784a3430. Deze waarde is niet bekend, en kan je niet zomaar opzoeken in een tabel. Misschien is dit alsnog wel te kraken, maar het is ineens een behoorlijk stuk lastiger geworden.

(voor de techneuten: zie het begrip Rainbow Tables op Wikipedia)

Wat heeft LinkedIn gedaan?

In een reactie heeft LinkedIn het volgende aangegeven:

  • De huidige wachtwoorden op LinkedIn zijn onschadelijk gemaakt, je moet een nieuw wachtwoord opgeven.
  • Er worden 1 of 2 e-mails gestuurd met toelichting en instructies wat je nu moet doen.
  • De nieuwe wachtwoorden zijn wel voorzien van een salt, zoals hierboven beschreven.

Ofwel, dit wordt heel professioneel aangepakt! Ook worden er geen aanklikbare links in de email verzonden, ter voorkoming van meer narigheid.

Er is namelijk een kans dat hackers van deze situatie gebruik maken. Er kan naar iedereen een valse e-mail gestuurd worden (die er 100% uit kan zien zoals LinkedIn die stuurt) met een link om je wachtwoord te "resetten". In werkelijkheid vul je dan je echte wachtwoord op een website van de hacker zelf, en gaat het van kwaad naar erger.

Mocht je toch een e-mail ontvangen met links, is deze zeer waarschijnlijk vals, en kun je die dan ook zonder twijfel in de prullenbak gooien. Je kunt het beste gewoon www.linkedin.com intypen, en daar je wachtwoord herstellen. Dan weet je zeker dat je op de goede website zit.

Aard van het lek

Het persbericht spreekt van wachtwoorden zijn "gelekt". Dat zijn zachte woorden die veel ruimte voor interpretatie overlaten. Het klinkt alsof iemand wat gelekt heeft, maar het is eerder:

  • Iemand heeft weten in te breken in de database van LinkedIn.
  • De gehele tabel van gebruikersnamen met wachtwoorden is gedownload.
  • Als bewijsstuk zijn de versleutelde waarden publiek gemaakt, zonder gebruikersnaam erbij te vermelden.

Hiermee heeft LinkedIn kunnen bevestigen dat de hack echt is, en geen bedrog of loze kreet.

Iets wat deze hack ons ook leert is dat er op de 161 miljoen LinkedIn gebruikers er maar 6.4 miljoen unieke wachtwoorden zijn. Gemiddeld hebben 25 mensen dus hetzelfde wachtwoord, en vermoedelijk nog meer. Het is dus verstandig een unieker wachtwoord te kiezen!

Vermoedelijk zijn alle e-mailadressen ook buitgemaakt bij de hack, en worden ze nu voor spam gebruikt. Op diverse fora geklaagd dat er sinds 2 weken spam wordt ontvangen op e-mailadressen die alleen bij LinkedIn bekend waren.

Wat kun je doen?

Het beste kun je nu inloggen op LinkedIn, en je wachtwoord wijzigen. Hiermee profiteer je van de nieuwe beveiliging die LinkedIn heeft doorgevoerd.

Mocht je hetzelfde wachtwoord ook op andere websites gebruiken, is het verstandig om ook daar je wachtwoord te wijzigen. Veel mensen gebruiken voor hun Hotmail, LinkedIn, en Facebook hetzelfde wachtwoord. Zeker als je voor alle sites hetzelfde e-mailadres en wachtwoord gebruikt, is het raadzaam dit aan te passen.

Verzin ook een unieker wachtwoord. Je kunt letters uit een zelfverzonnen zin gebruiken, en daar leestekens aan toevoegen. Zo wordt je wachtwoord uniek.

Als programmeur van websites, is het daarnaast ook belangrijk dat je je verdiept in deze materie. Hopelijk heeft dit artikel je ook geholpen!

 

Vragen, opmerkingen, of suggesties? Laat een bericht achter hieronder!

PyCharm presentatie op de Django meeting

Afgelopen woensdag heb ik een korte presentatie gehouden bij de DjangoMeetingNL. Bij de Django meeting kunnen ontwikkelaars en professionals van gedachten wisselen, en kennis uitwisselen.

In de presentatie zijn kort de voordelen van een IDE, zoals PyCharm aangestipt. Het help je met betere code schrijven, sneller fouten vinden, en je leert sneller code van andere modules doorgronden. Het is een wat controversioneel onderwerp met VIM en Emacs gebruikers in de zaal, maar over het algemeen leek de presentatie goed te worden ontvangen!