hi.nl website slaat wachtwoorden op in plaintext!

Privacy statement even doorlezen?

Is maar een oplossing voor en dat is overal verschillende wachtwoorden gebruiken. Er zijn zoveel sites die dit doen..

Maargoed het is nog mogelijk dat ze omkeerbare encryptie gebruiken

als iets niet als hash opgeslagen is betekend het niet dat het niet encrypted in de database zit...

En stel dat ze het encrypted hebben opgeslagen, waarbij alleen je e-mailadres een deel van de sleutel is?

Je aanname is dus bij voorbaat al niet goed.

Probeer het gewoon eens via info@hi.nl of webmaster@hi.nl?

Het lijkt me logisch dat ze je wachtwoord niet encrypted/gehashed naar je toesturen, dan kun jij het immers niet lezen toch? [/flauw]

Dit hoeft absoluut niet te betekenen dat ze je wachtwoord in leesbare vorm op slaan hoor. Het zou evengoed kunnen dat ze je wachtwoord encrypted opslaan i.p.v. op de gebruikelijke manier met een hash. Het is wat ongebruikelijk inderdaad om wachtwoorden te kunnen herleiden en zelfs een onveilig in het geval dat de encryptiesleutel lekt natuurlijk.

Dus, niet echt netjes, maar het betekent niet per definitie dat je wachtwoord in leesbare vorm in de database staat.

Was/is bij T-Mobile ook zo. Ik raad je aan gewoon nooit ergens hetzelfde wachtwoord bij verschillende partijen te gebruiken.

Bij plain text is er ook de mogelijkheid om die wachtwoorden ook uit de DB te lezen, dus ja, er is een kans op een lek.

En aangezien veel mensen 1 wachtwoord voor alles nog gebruiken is het gewoon een slechte zaak.

orillion schreef op maandag 19 oktober 2009 @ 17:03:
[...]

En wat moet ik daar dan in vinden? "Je wachtwoord is super veilig opgeslagen, kan nooit iemand bij"? Er staat niets over wachtwoorden of inlog gegevens...


[...]


Dan staat dat dus in de source code en zou iemand die toegang heeft tot het systeem dat ook kunnen lezen en dus ook mijn plain-text wachtwoord kunnen achterhalen...

Nee je hebt gelijk, ik heb zelf ook niks kunnen vinden.

orillion schreef op maandag 19 oktober 2009 @ 17:03:
[...]


Dan staat dat dus in de source code en zou iemand die toegang heeft tot het systeem dat ook kunnen lezen en dus ook mijn plain-text wachtwoord kunnen achterhalen...

Nou niet per se in de source code, maar je hebt gelijk dat de sleutel érgens opgeslagen moet zijn. En dat betekent dat iemand met volledige toegang tot het systeem bij jouw wachtwoord in leesbare vorm kan komen ja.

orillion schreef op maandag 19 oktober 2009 @ 17:03:
[...]

En wat moet ik daar dan in vinden? "Je wachtwoord is super veilig opgeslagen, kan nooit iemand bij"? Er staat niets over wachtwoorden of inlog gegevens...


[...]


Dan staat dat dus in de source code en zou iemand die toegang heeft tot het systeem dat ook kunnen lezen en dus ook mijn plain-text wachtwoord kunnen achterhalen...

Mwah, omkeerbare encryptie betekent hopelijk niet key in de code. Dat zou slecht zijn

Overigens betekent een password reset niet dat je password wel onomkeerbaar gehashd is.
(wat trouwens wel wordt aangeraden)

Maargoed, wil je echt veilig zijn, dan gebruik je gegenereerde passwords en sla je die op in bijvoorbeeld patra. Voor de volledigheid kan je dan patra op een truecrypt volume zetten. Da's alleen lastig als je ergens heen wilt (je hebt admin rechten nodig voor truecryp). Veder moet je voor patra weer dingen kunnen uitvoeren. Dus even je mail checken zou dan wel eens lastig kunnen worden op een publieke computer.

paranoia
Plus, weet je zeker dat er geen keylogger oid op zit?
/paranoia

[ Voor 10% gewijzigd door J2pc op 19-10-2009 17:26 ]

orillion schreef op maandag 19 oktober 2009 @ 16:58:

Dat betekend dus dat ze een database hebben met wachtwoorden van iedereen in plain-text. Ik heb gelijk m'n wachtwoord veranderd in iets wat ik nergens gebruik.

leuke aanname, maar heb je daar bewijs voor?

Je doet wel heel veel aannames als feiten presenteren.
Weet je zeker dat het in plaintext in de DB staat

orillion schreef op maandag 19 oktober 2009 @ 17:03:
[...]
Dan staat dat dus in de source code en zou iemand die toegang heeft tot het systeem dat ook kunnen lezen en dus ook mijn plain-text wachtwoord kunnen achterhalen...

En wie zegt dat het systeem niet op gecompileerde code draait?

Je probeert je eigen manier van onveilig werken (op meerdere plekken hetzelfde wachtwoord gebruiken) nu af te schuiven op de webmaster van Hi.NL ...

Cloud schreef op maandag 19 oktober 2009 @ 17:07:
[...]

Nou niet per se in de source code, maar je hebt gelijk dat de sleutel érgens opgeslagen moet zijn. En dat betekent dat iemand met volledige toegang tot het systeem bij jouw wachtwoord in leesbare vorm kan komen ja.

Als diezelfde persoon login.php aanpast dan kan ie de user/pass combo's ook onderscheppen. Dus dat is geen argument om hashing boven encryptie te verkiezen denk ik zo. Tegen kwaadwillende medewerkers met systeemtoegang is technisch gewoon nauwelijks te beveiligen.

orillion schreef op maandag 19 oktober 2009 @ 17:03:
Dan staat dat dus in de source code en zou iemand die toegang heeft tot het systeem dat ook kunnen lezen en dus ook mijn plain-text wachtwoord kunnen achterhalen...

Er zijn genoeg methodes om ook een encrypted password in de database op te nemen zonder dat uit de source code de originele data te herleiden is, cq. uberhaupt de sleutel te bepalen is. Je moet alleen weten hoe

orillion schreef op maandag 19 oktober 2009 @ 19:26:
Right, okay, jullie hebben allemaal gelijk en mijn theorie slaat nergens op.

Er wordt je alleen om uitleg over jouw conclusie gevraagd.

Het is good practice om dit soort dingen te doen, ik moet m'n mond houden.

Ook dat staat nergens.
Maar je zult ongetwijfeld wel beseffen dat het doel van de applicatie (het opnieuw kunnen versturen van je ingegeven wachtwoord) inhoudt dat er geen one-way encryptie/hashing kan worden gebruikt.

Of je aan een dergelijk systeem ook zeer kritische inloggegevens wil toevertrouwen is een ander verhaal.

[ Voor 29% gewijzigd door alt-92 op 19-10-2009 20:26 ]