De afgelopen tijd zijn meerdere hacks in het nieuws geweest, onder andere rond Badoo, MySpace, LinkedIn en Tumblr. Veruit de grootste hack vond plaats bij LinkedIn, waarbij de inloggegevens van 167 miljoen gebruikers werden gestolen. Netflix gebruikt nu de gelekte databases van LinkedIn, MySpace en Tumblr om te controleren of mensen hun wachtwoorden hergebruiken.
Hergebruik van wachtwoorden
Het gaat als volgt: Netflix controleert of de wachtwoorden van eigen gebruikers ook aanwezig zijn in de uitgelekte database met LinkedIn-wachtwoorden. Blijken mensen hetzelfde wachtwoord te gebruiken voor beide diensten, dan wordt het Netflix-wachtwoord ongeldig. Vervolgens ontvangt de gebruiker een waarschuwing om het wachtwoord te wijzigen. Mocht je de komende dagen zo’n melding van Netflix krijgen of ben je om onverklaarbare redenen uitgelogd in de app, dan weet je wat het betekent: je bent waarschijnlijk slordig geweest met wachtwoorden.
De inloggegevens van de 167 miljoen LinkedIn-gebruikers werden al bij een hack in 2012 gestolen, maar kwamen vorige maand pas online. Netflix zegt dat ze vaker pro-actief beveiligingsmaatregelen inschakelen, bijvoorbeeld door gelekte databases met wachtwoorden van Facebook te matchen met de eigen database.
Netflix weet je wachtwoord niet
Het betekent overigens niet dat Netflix jouw wachtwoord weet. Op elk wachtwoord is een bepaalde formule toegepast, die een zogenaamde hash oplevert, een code die uniek is voor jouw wachtwoord. Een heel simpele formule zou kunnen zijn, dat alle letters die je hebt gebruikt drie plaatsen opschuiven in het alfabet (in werkelijkheid zijn de formules iets ingewikkelder). Als jouw wachtwoord van LinkedIn dezelfde hash oplevert, weet Netflix dat ze identiek zijn. Aan de hand van e-mailadressen, die ook per persoon uniek zijn, kan Netflix zien dat het om dezelfde gebruiker gaat.
Netflix stuurt vervolgens een e-mail met de melding dat de gegevens “mogelijk aanwezig waren in een recent lek van e-mailadressen en wachtwoorden bij een ander bedrijf”. Via dezelfde e-mail kun je een nieuw wachtwoord aanmaken. Mocht je zo’n mailtje binnenkrijgen, dan gaat het dus niet om phishing.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 3 reacties