Linux Mint wijzigt wachtwoordbeleid na hack

Linux Mint, die onlangs het doelwit van een aanval werd waarbij er downloadlinks naar besmette installatiebestanden via de officiële website werden verspreid, heeft besloten het wachtwoordbeleid aan te passen. De aanvaller die de downloadlinks wist aan te pakken kreeg ook de database met gebruikersgegevens in handen. Het ging onder andere om gebruikersnamen, versleutelde wachtwoorden en e-mailadressen.

“De gevoeligste gegevens die we van gebruikers opslaan zijn wachtwoorden”, zegt projectleider Clement Lefebvre op het Linux Mint-blog. Hij stelt dat deze gegevens waardevol voor aanvallers zijn omdat ze, ondanks dat ze zijn versleuteld, in het geval van zwakke wachtwoorden kunnen worden achterhaald. Daarnaast zijn er gebruikers die hun wachtwoord op meerdere websites hergebruiken.

Om het kraken van versleutelde wachtwoorden lastiger te maken worden er nu twee aanpassingen doorgevoerd. Het forum accepteert nu alleen nog wachtwoorden van tenminste 10 karakters die uit tekens, cijfers en letters en hoofdletters bestaan. De community-website van Linux Mint accepteert geen wachtwoorden meer die gebruikers zelf kiezen. De wachtwoorden zullen voortaan worden gegenereerd en via e-mail worden verstuurd. De wachtwoorden van bestaande accounts op de community-website zijn inmiddels gereset.

Sommige gebruikers zijn echter kritisch dat het wachtwoord voor de community-website in platte tekst wordt gemaild. “Ik ben verbijsterd. Geen mogelijkheid om een eigen veilig wachtwoord via een https-verbinding in te stellen en mijn nieuw gegenereerde wachtwoord komt onversleuteld via dee-mail binnen”, aldus een gebruiker genaamd ‘Joe’. Hij krijgt bijval van een andere gebruiker, die stelt dat in het geval van gratis e-maildiensten het wachtwoord op deze manier aan overheden en de e-mailaanbieder worden gegeven. Lefebvre reageert daarop door te stellen dat deze methode zowel zijn voor- als nadelen heeft.