Wachtwoord beveiliging websites, verbazing wachtwoord hints - Privacy en beveiliging

vrijdag 1 september 2006 13:33

Acties:

Topicstarter

Ik heb een bestelling gedaan bij Proxis.be, en bij het controleren van de bestelgegevens vulde ik per ongeluk mijn wachtwoord verkeerd in.

Het verbaasde dat ik mijn "hint" direct op het scherm kreeg.
Wat een uitnodiging dacht ik, maar ik verbaasde me aan de andere kant ook dat de hint met zo weinig moeite zichtbaar werd.

Het gevolg is dat mensen met een doorzichtige hint en een algemene gebruikersnaam (vrijwel iedere voornaam) toegang geeft tot bestelgegevens. Overigens staan mi hier geen privacy gevoelige gegevens op, maar toch....

Graag jullie mening!

Intel P4D-2800@2800, Asus P4P800-SE, 1024MB Corsair, Asus v9999/TD, Maxtor DiamondMax 10 250GB, Western Digital 600BB 60GB, Pioneer DVDR, HP 9150, Soundblaster Audigy. + Toshiba E400......

vrijdag 1 september 2006 13:35

Acties:

argro

Hoe had je het dan graag willen zien? Een hint die pas zichtbaar wordt nadat je een wachtwoord invult.....?

so·wie·so (bw.) 1 hoe dan ook => überhaupt

vrijdag 1 september 2006 13:38

Acties:

Rukapul

Ik vind dit wel een leuke discussie voor BV

SG=>BV

vrijdag 1 september 2006 13:39

Acties:

Rhannie

[DPC] Team Black Bulls

argro schreef op vrijdag 01 september 2006 @ 13:35:
Hoe had je het dan graag willen zien? Een hint die pas zichtbaar wordt nadat je een wachtwoord invult.....?

Gewoon geen hint, maar de optie om een link te laten mailen naar je emailadres waarmee je het wachtwoord kan resetten. Dat vind ik het beste systeem wat ik tot nu toe ben tegen gekomen.

vrijdag 1 september 2006 13:40

Acties:

sh4d0wman

Attack | Exploit | Pwn

Die verantwoordelijkheid ligt mi toch echt bij de gebruiker. Ik neem aan dat men tijdens het opgeven van de vraag duidelijk aangeeft dat men dit niet te makkelijk moet maken.
Doet men dat wel, dan is het gewoon eigen risico. Mensen moeten maar eens leren zelf verantwoordelijkheid te dragen, tegenwoordig probeert men dat zoveel mogelijk te vermijden lijkt het wel....

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 1 september 2006 13:41

Acties:

Jivecar

Topicstarter

Paddixx schreef op vrijdag 01 september 2006 @ 13:39:
[...]

Gewoon geen hint, maar de optie om een link te laten mailen naar je emailadres waarmee je het wachtwoord kan resetten. Dat vind ik het beste systeem wat ik tot nu toe ben tegen gekomen.

Ja zoiets zou ik ook beter vinden werken.
Misschien wel minder gebruiksvriendelijk.
Of zoals hotmail veel meer moeite doen met het weergeven van de hint.

Bij hotmail wordt de account gereset, dus de oude gebruiker weet dat zijn mailbox "gehacked" is. Dat zie je hier niet.

Intel P4D-2800@2800, Asus P4P800-SE, 1024MB Corsair, Asus v9999/TD, Maxtor DiamondMax 10 250GB, Western Digital 600BB 60GB, Pioneer DVDR, HP 9150, Soundblaster Audigy. + Toshiba E400......

vrijdag 1 september 2006 17:51

Acties:

Palomar

Veel mensen realiseren zich niet dat zo'n 'geheime vraag' door iedereen opvraagbaar is. Ik heb zelf vroeger ook vaak genoeg vragen als 'wat is de naam van mn moeder' of 'wat is mn lievelingskleur' gebruikt. Vaak zijn die nogal makkelijk te raden....

Nu gebruik ik wel moeilijkere vragen (liever helemaal niet), maar het valt me wel op dat sites vaak een paar voorgedefinieerde vragen hebben die allemaal van dit niveau zijn. Dat is wel slecht vind ik.

vrijdag 1 september 2006 17:55

Acties:

Jimbolino

troep.com

geheime vraag is redelijk achterhaalt, 95% van de mensen kan geen fatsoenlijke geheime vraag bedenken.

password reset request naar een email adres lijkt me beter,
vergeet je het password van je email, dan moet je naar de helpdesk van je provider bellen voor een nieuwe

lijkt me een redelijk dichte beveiliging.

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

vrijdag 1 september 2006 18:01

Acties:

Spiral

Jivecar schreef op vrijdag 01 september 2006 @ 13:41:
[...]
Bij hotmail wordt de account gereset, dus de oude gebruiker weet dat zijn mailbox "gehacked" is. Dat zie je hier niet.

Wat bedoel je met een reset? Volgens mij moet je alleen als gebruiker een nieuw wachtwoord invullen. Voor de rest merk je niks aan de Inbox. Meen ik me te herinneren. In het geval dat je geheime vraag is geraden is door een onbekend persoon. Dan merk je als rechtmatige eigenaar alleen maar dat je niet meer kunt inloggen, wat logisch is doordat je wachtwoord veranderd is.

Sommige mensen die op deze manier een wachtwoord kraken zijn zelf niet zo slim om de geheime vraag aan te passen. Zelf 'n klant gehad waarbij die persoon z'n hotmail inbox op die wijze was overgenomen, snel even de geheime vraag en het antwoord ingevuld. en een nieuwe wachtwoord verzinnen en nieuwe vraag natuurlijk.

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles