Toon posts:

Wachtwoorden plain-text opslaan?

Pagina: 1
Acties:

maandag 21 juli 2008 17:45

Acties:
  • mtak
  • Registratie: Juli 2002
  • Niet online

mtak

Topicstarter
Ik ben er onlangs achter gekomen dat mijn hostingprovider (Alphamegahosting.com) de wachtwoorden van zijn klanten plain-text (unencrypted dus) opslaat. Ik wilde mijn wachtwoord laten resetten, maar toen kwam de aardige supportmevrouw gewoon terug met mijn huidige wachtwoord, wat ik een beetje zorgelijk vind.

Wat vinden jullie hiervan en hebben jullie dit soort onzorgvuldigheden ook meegemaakt. Ik zit er nu zwaar over te denken om naar een andere hostingprovider te gaan. Ik sla mijn eigen wachtwoorden niet eens plain-text op, en volgens mij mag ik zeker van een bedrijf wel verwachten dat ze zorgvuldig met mijn gegevens omgaan.

Wat is jullie mening in deze?

maandag 21 juli 2008 17:58

Acties:
  • Noork
  • Registratie: Juni 2001
  • Niet online

Noork

Het is inderdaad niet netjes. De overweging om hierom over te stappen moet je zelf maken. Zolang het niet mijn bankgegevens, bedrijfskritieke website o.i.d. betreft lig ik er niet wakker van.

maandag 21 juli 2008 18:04

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 21-11 19:09

TrailBlazer

Karnemelk FTW

Ik vind het nog veel zorgelijker dat ze je wachtwoord gewoon gegeven hebben. Hebben ze eerst wel het een en ander geverifieerd.

maandag 21 juli 2008 18:24

Acties:
  • mtak
  • Registratie: Juli 2002
  • Niet online

mtak

Topicstarter
Nope, ik heb ze niet eens een klantnummer hoeven te geven. Het enige dat ze gedaan hebben is de reply (met mijn wachtwoord) gestuurd naar het emailadres wat bij hen geregistreerd stond.

Zeer vreemde gang van zaken.

maandag 21 juli 2008 19:41

Acties:
  • TRON
  • Registratie: September 2001
  • Laatst online: 27-11 12:50

TRON

Llanorant schreef op maandag 21 juli 2008 @ 18:24:
Nope, ik heb ze niet eens een klantnummer hoeven te geven. Het enige dat ze gedaan hebben is de reply (met mijn wachtwoord) gestuurd naar het emailadres wat bij hen geregistreerd stond.

Zeer vreemde gang van zaken.
Je huidige wachtwoord sturen lijkt me eerlijk gezegd not done. Het versturen van een wachtwoord naar een bij hen geregistreerd e-mailadres lijkt me geen probleem.

Is dit een wachtwoord wat je echt zelf hebt ingesteld of is dit het standaard wachtwoord wat je gekregen hebt? Bij dit laatste kan het nog wel zo zijn dat ze dit weten namelijk :)

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

maandag 21 juli 2008 23:47

Acties:
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 20:28

gertvdijk

Llanorant schreef op maandag 21 juli 2008 @ 17:45:
Ik ben er onlangs achter gekomen dat mijn hostingprovider (Alphamegahosting.com) de wachtwoorden van zijn klanten plain-text (unencrypted dus) opslaat. Ik wilde mijn wachtwoord laten resetten, maar toen kwam de aardige supportmevrouw gewoon terug met mijn huidige wachtwoord, wat ik een beetje zorgelijk vind.
In plain-text opslaan wil nog niet zeggen dat het niet encrypted wordt weggeschreven. Denk aan een truecrypt volume met de gegevens.
Jij bedoelt hashed passwords met een one-way hash algoritme. Dan kan je in theorie niet meer zien wat het wachtwoord is geweest (tenzij je dat bruteforce doet en de salt weet) en moet je het dus in de praktijk opnieuw laten instellen.
Llanorant schreef op maandag 21 juli 2008 @ 17:45:
Wat is jullie mening in deze?
Ik vind dat wachtwoorden per e-mail sturen een beetje onprofessioneel. Wat prima kan is dat ze een challenge-response truc doen waarbij je een e-mail krijgt met een link waarin iets unieks en random staat (een code o.i.d.) en die link leidt je vervolgens naar een formuliertje waarop jij iets invult dat je weet (klantnummer, factuurnummer bijvoorbeeld) en je je nieuwe wachtwoord kan instellen (als alles klopt).
De code dient dan als een one-time-key om je nieuwe wachtwoord in te stellen.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

dinsdag 22 juli 2008 00:00

Acties:
  • mtak
  • Registratie: Juli 2002
  • Niet online

mtak

Topicstarter
Ze gaven me dus via email, zonder "challenge" oid (alleen het emailadres wat bij hen geregistreerd staat), m'n zelf ingestelde wachtwoord (wat ik ook niet echt leuk vind, want daarmee kan ik op meer services geregistreerd zijn dan alleen bij hen). Ze gaven me de eerste keer zelfs het set-up wachtwoord (wat ondertussen al zo'n 4 jaar geleden is). Houden ze een wachtwoord-history bij ofzo? :P

Toch vind ik het sowieso gek dat áls hun servers gekraakt zouden worden, krakers zonder medeweten van de medewerkers zo op alle accounts in kunnen loggen, en de klanten het zelf nog niet eens doorhebben (hun wachtwoord werkt immers nog gewoon).

@gertvdijk:
Zeer mooie oplossing, geen gedoe met 'hoe heet je kat' oid.. Je kunt dan toch veilig je wachtwoord resetten, zonder een medewerker hoeven te spreken (wat meestal wachten inhoud).

dinsdag 22 juli 2008 00:05

Acties:
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 20:28

gertvdijk

Llanorant schreef op dinsdag 22 juli 2008 @ 00:00:
@gertvdijk:
Zeer mooie oplossing, geen gedoe met 'hoe heet je kat' oid.. Je kunt dan toch veilig je wachtwoord resetten, zonder een medewerker hoeven te spreken (wat meestal wachten inhoud).
Imo is het gewoon basic kennis van een (web)developer die een systeem beheert met useraccounts. Maar helaas zie je dus nog altijd mensen die niet weten hoe ze iets dergelijks moeten opzetten of welke mogelijkheden al voor ze klaarliggen.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq