– Bijgewerkt
Verander eerst en vooral je wachtwoord in de Klantenzone. Nog vragen? Je vindt het antwoord hieronder.
Hoe weet JIM Mobile dat mijn wachtwoord gelekt is?
Wordt mijn wachtwoord gedeeld met andere diensten?
Wat zijn de risico’s als ik mijn wachtwoord niet verander?
Hoe weet JIM Mobile dat mijn wachtwoord gelekt is?
Het gebeurt jammer genoeg geregeld dat er grootschalige lekken van gebruikersnamen en wachtwoorden zijn bij grote of bekende websites. Denk bijvoorbeeld aan lekken van Dropbox in mei 2012 of LinkedIn in mei 2016. Telkens wanneer de details van zo een lek publiek gemaakt worden, voegen de mensen achter de dienst Have I Been Pwned die gegevens toe aan hun database. Op die manier laat de dienst je toe om te controleren of je gebruikersnaam of je wachtwoord ooit onderdeel waren van zo een lek. Je kunt dat makkelijk zelf nakijken voor je e-mailadres(sen) en je wachtwoorden. Bij JIM Mobile zijn we graag proactief, daarom checken we de wachtwoorden en geven we een seintje indien nodig.
Wordt mijn wachtwoord gedeeld met andere diensten?
Om ervoor te zorgen dat er bij ons geen gelekte wachtwoorden gebruikt worden, gaan we elke keer wanneer je bij ons inlogt (of een account aanmaakt of je wachtwoord wijzigt) je wachtwoord controleren tegen Have I Been Pwned. Geen paniek, we sturen nooit je wachtwoord zelf door. In plaats daarvan gaan we een hash berekenen van je wachtwoord. De hash van het wachtwoord "test123" is bijvoorbeeld 7288EDD0FC3FFCBE93A0CF06E3568E28521687BC. Belangrijk om te weten is dat hashen eenrichtingsverkeer is. Er bestaat geen manier om van 7288EDD0FC3FFCBE93A0CF06E3568E28521687BC terug naar "test123" te gaan.
Wat we dan gaan doen is de eerste 5 tekens van die hash, 7288E in dit geval, doorsturen naar Have I Been Pwned. Have I Been Pwned gaat vervolgens alle gehashte wachtwoorden die beginnen met 7288E opzoeken in hun database. Van die gevonden gehashte wachtwoorden geven ze de laatste 35 tekens terug aan ons. Als de laatste 35 tekens van jouw gehashte wachtwoord (DD0FC3FFCBE93A0CF06E3568E28521687BC uit ons voorbeeld) voorkomen in die lijst, dan betekent dat dat jouw wachtwoord ooit gelekt geweest is. Dus kort samengevat hashen we je wachtwoord, we sturen maar een heel kort stukje van die hash door en we krijgen een lijst van eindstukken van hashes terug. Zowel wij als Have I Been Pwned sturen nooit een wachtwoord zelf of een volledig hash van een wachtwoord door naar elkaar.
Wat zijn de risico’s als ik mijn wachtwoord niet verander?
Er zijn veel mensen die dezelfde combinatie van e-mailadres en wachtwoord hergebruiken op verschillende websites. Dat is iets dat mensen met slechte bedoelingen ook weten. Wanneer zij bijvoorbeeld die lijst met gebruikersnamen en wachtwoorden die in 2012 bij Dropbox gelekt zijn te pakken krijgen, dan gaan ze daarmee op een hele hoop andere websites proberen in te loggen. Dat doen ze via scripts of tools op een geautomatiseerde manier waarmee ze wel duizenden combinaties per seconde kunnen proberen.
Als jij in 2012 een account bij Dropbox had, en je gebruikt nu bij JIM Mobile de gebruikersnaam en het wachtwoord dat je toen bij Dropbox had, dan bestaat de kans dat iemand met die lijst van gelekte data kan inloggen op jouw JIM Mobile-account. Daarom is het belangrijk dat je voor elke website of dienst een uniek wachtwoord gebruikt. Op die manier kunnen mensen die je gegevens van website A te pakken hebben gekregen er enkel en alleen maar op website A mee inloggen, en niet op website B, C of D.