Inleiding
Tijdens een rondje wachtwoorden veranderen van websites die ik bezoek is het mij opgevallen dat een aantal sites mogelijk een zwakke beveiliging gebruiken voor de ingevoerde wachtwoorden. Zo worden op een aantal sites de wachtwoorden (mijns inziens) als plain text opgeslagen. Ook zijn er websites die vreemde eisen hebben voor wachtwoorden (zoals maximaal 8 karakters)
Het (mogelijk) opslaan van wachtwoorden als plaintext werd mij bekend doordat ik bij een aantal sites mijn wachtwoord was vergeten. Na het invullen van mijn emailadres in een 'i lost my password' formuliertje, werd mij vrolijk mijn eerder ingevoerde wachtwoord over de mail gestuurd.
Dit duidt erop dat dit wachtwoord nooit proper gehashed is geweest. Het is natuurlijk mogelijk dat het wachtwoord wel ge-encodeerd is geweest, maar dat dit bij deze sites reversible is.
Und? Waarom is dit van belang
In een normale situatie merk je hier weinig van. Echter wanneer op een of andere manier een database van een site wordt gejat (digitaal of reallife) kan dit grote consequenties hebben. Het is namelijk een gegeven dat normale internetgebruikers een zeer beperkt wachtwoordenarsenaal gebruiken. Wanneer je een wachtwoord van iemand hebt van een bepaalde website kun je vaak ook op andere websites waar die persoon komt dit wachtwoord gebruiken.
Mensen geven telkens meer persoonsgegevens vrij op het internet. (Facebook, Hyves, etc) Daarnaast worden telkens meer handelingen digitaal verricht. (DigID, Internetbankieren, Email, Telefonie, etc)
Het resultaat is, dat het vrij eenvoudig is om erachter te komen waar een gebruiker nog meer geregisteerd is. Met een buitgemaakt wachtwoord kan bij deze diensten dikwijls ook worden ingelogd. Dit kan vrij verstrekkende gevolgen hebben. Wanneer je achter een wachtwoord van iemands ISP account komt, kun je bijvoorbeeld de telefoongegevens inzien (indien er gebruik wordt gemaakt van voip telefonie), facturen inzien, abbonementen opzeggen, gegevens aanpassen etc.
Een leuke realiteitscheck is om op Google even op zoek te gaan naar SQL dumps. Binnen 5 minuten heb je er wel een aantal gevonden waarin persoonsgegevens staan. Van die dumps zijn er waarschijnlijk een aantal waar de wachtwoorden als plaintext of als MD5 hash zijn opgeslagen. En van die wachtwoorden+persoonsgegevens zijn er vervolgens weer een aantal bruikbaar op email/facebook of twitteraccounts.
Dit is allemaal wel heel hypothetisch...
Dat is het absoluut. Maar het gaat hier even om de principekwestie. Dagelijks zijn er spotjes op het nieuws dat je wel een goed en veilig wachtwoord moet kiezen. Maar laat de bedrijven waar ik een wachtwoord achterlaat dit wachtwoord dan ook goed beschermen.
De bovengenoemde SQL dumps zijn vaak van obscure sites en de grote sites zouden niet zo gauw per abuis de gegevens online beschikbaar maken. Echter zijn er wel een aantal grote sites die (mogelijk) gebruik maken van een fout systeem. Deze wil ik hier even opsommen
Marktplaats.nl
Wanneer je bij Marktplaats een wachtwoord veranderd, wordt dit wachtwoord als plaintext over de mail gestuurd. Dit duidt erop dat Marktplaats de wachtwoorden als plain text opslaat. Indien dit niet het geval is worden de wachtwoorden in ieder geval plaintext naar de server gestuurd. Aangezien Marktplaats geen gebruik maakt van SSL, is het zondermeer mogelijk de inloggegeens via Firesheep op te vangen (wanneer er gebruik wordt gemaakt van een open WIFI verbinding)
Computerboek.nl
Wanneer je je wachtwoord bent vergeten, wordt na het invullen van een lost pass form je wachtwoord in plaintext naar je toe gestuurd. Grappig detail is hier overigens dat de wachtwoorden in unicode worden opgeslagen. (dus je kunt een triforce wachtwoord maken
)
Online.nl
De ISP Online heeft vreemde wachtwoordeisen. Minimaal 6 tekens, Maximaal 8 tekens. Er mogen geen leestekens in het wachtwoord zitten. Je moet minstens 1 cijfer en 1 hoofdletter gebruiken.
Mijns inziens is dit paswoord systeem gemankeerd door de beperkingen. Het wordt makkelijker om wachtwoorden te raden. Mijn ultieme low level wachtwoord welke ik enkel gebruik voor obscure sites bestaat nota bene al uit meer dan 9 tekens. Maar deze ISP vraagt voor een systeem wat toegang biedt tot facturen/telefoongegevens/persoonsgegevens MAXIMAAL een wachtwoord van 8 tekens....
Daarnaast bestaat mijn vermoeden dat hier de wachtwoorden ook als plaintext worden opgeslagen. Na registratie voor een internetaansluiting (met opgave van gewenste wachtwoord) kreeg je eerder (in de tijd van wanadoo) een brief waarin het gebruikte wachtwoord dikgedrukt in text stond aangegeven.
ING
Het internetbankieren gedeelte van ING gebruikt een zeer afwijkend inlogsysteem. Waar andere banken gebruik maken van een 'random reader'-achtig kastje om een tijdelijke inlogcode te creeren, gebruikt ING een regulier inlogsysteem met gebruikersnaam + wachtwoord. Het gevolg hiervan is dat ING de bank is waarvoor de meeste phishingmails gestuurd worden.
Daarnaast stelt ING bank ook vreemde eisen aan wachtwoorden/usernames. Een username is namelijk hoofdlettergevoelig, terwijl een wachtwoord dit niet is. Dit duidt op mogelijke opslag als plaintext. Dit wordt in dit topic besproken. Er wordt hier aangegeven dat het ook mogelijk is, dat wachtwoorden eerst naar lowercase worden omgezet, alvorens te worden gehashed.
Mijn mening
Websites dienen naar mijn idee ten alle tijde wachtwoorden te hashen+salten alvorens deze in een database worden gestopt. Inlog en registratiegedeeltes van websites dienen gebruik te maken van SSL. Bij het aanvragen van een vergeten wachtwoord, dient de site nooit en te nimmer het wachtwoord als plaintext via email te sturen. Eisen aan wachtwoorden mogen niet beperkend zijn (bv. maximaal 8 karakters) maar moeten aansporen een veilig wachtwoord te kiezen.
Doel van dit topic
Graag zie ik meningen/ervaringen van andere Tweakers op dit specifieke gebied. Zou er bijvoorbeeld door bedrijven uitleg moeten worden gegeven hoe gegevens als wachtwoorden worden opgeslagen? (Wij slaan al uw wachtwoorden plaintext op, want wij zijn lui) Daarbij ben ik ook benieuwd naar andere sites die gebruik maken van vreemde wachtwoordeisen, of sites die wachtwoorden mogelijk als plaintext opslaan.
Tijdens een rondje wachtwoorden veranderen van websites die ik bezoek is het mij opgevallen dat een aantal sites mogelijk een zwakke beveiliging gebruiken voor de ingevoerde wachtwoorden. Zo worden op een aantal sites de wachtwoorden (mijns inziens) als plain text opgeslagen. Ook zijn er websites die vreemde eisen hebben voor wachtwoorden (zoals maximaal 8 karakters)
Het (mogelijk) opslaan van wachtwoorden als plaintext werd mij bekend doordat ik bij een aantal sites mijn wachtwoord was vergeten. Na het invullen van mijn emailadres in een 'i lost my password' formuliertje, werd mij vrolijk mijn eerder ingevoerde wachtwoord over de mail gestuurd.
Dit duidt erop dat dit wachtwoord nooit proper gehashed is geweest. Het is natuurlijk mogelijk dat het wachtwoord wel ge-encodeerd is geweest, maar dat dit bij deze sites reversible is.
Und? Waarom is dit van belang
In een normale situatie merk je hier weinig van. Echter wanneer op een of andere manier een database van een site wordt gejat (digitaal of reallife) kan dit grote consequenties hebben. Het is namelijk een gegeven dat normale internetgebruikers een zeer beperkt wachtwoordenarsenaal gebruiken. Wanneer je een wachtwoord van iemand hebt van een bepaalde website kun je vaak ook op andere websites waar die persoon komt dit wachtwoord gebruiken.
Mensen geven telkens meer persoonsgegevens vrij op het internet. (Facebook, Hyves, etc) Daarnaast worden telkens meer handelingen digitaal verricht. (DigID, Internetbankieren, Email, Telefonie, etc)
Het resultaat is, dat het vrij eenvoudig is om erachter te komen waar een gebruiker nog meer geregisteerd is. Met een buitgemaakt wachtwoord kan bij deze diensten dikwijls ook worden ingelogd. Dit kan vrij verstrekkende gevolgen hebben. Wanneer je achter een wachtwoord van iemands ISP account komt, kun je bijvoorbeeld de telefoongegevens inzien (indien er gebruik wordt gemaakt van voip telefonie), facturen inzien, abbonementen opzeggen, gegevens aanpassen etc.
Een leuke realiteitscheck is om op Google even op zoek te gaan naar SQL dumps. Binnen 5 minuten heb je er wel een aantal gevonden waarin persoonsgegevens staan. Van die dumps zijn er waarschijnlijk een aantal waar de wachtwoorden als plaintext of als MD5 hash zijn opgeslagen. En van die wachtwoorden+persoonsgegevens zijn er vervolgens weer een aantal bruikbaar op email/facebook of twitteraccounts.
Dit is allemaal wel heel hypothetisch...
Dat is het absoluut. Maar het gaat hier even om de principekwestie. Dagelijks zijn er spotjes op het nieuws dat je wel een goed en veilig wachtwoord moet kiezen. Maar laat de bedrijven waar ik een wachtwoord achterlaat dit wachtwoord dan ook goed beschermen.
De bovengenoemde SQL dumps zijn vaak van obscure sites en de grote sites zouden niet zo gauw per abuis de gegevens online beschikbaar maken. Echter zijn er wel een aantal grote sites die (mogelijk) gebruik maken van een fout systeem. Deze wil ik hier even opsommen
Marktplaats.nl
Wanneer je bij Marktplaats een wachtwoord veranderd, wordt dit wachtwoord als plaintext over de mail gestuurd. Dit duidt erop dat Marktplaats de wachtwoorden als plain text opslaat. Indien dit niet het geval is worden de wachtwoorden in ieder geval plaintext naar de server gestuurd. Aangezien Marktplaats geen gebruik maakt van SSL, is het zondermeer mogelijk de inloggegeens via Firesheep op te vangen (wanneer er gebruik wordt gemaakt van een open WIFI verbinding)
Computerboek.nl
Wanneer je je wachtwoord bent vergeten, wordt na het invullen van een lost pass form je wachtwoord in plaintext naar je toe gestuurd. Grappig detail is hier overigens dat de wachtwoorden in unicode worden opgeslagen. (dus je kunt een triforce wachtwoord maken
)Online.nl
De ISP Online heeft vreemde wachtwoordeisen. Minimaal 6 tekens, Maximaal 8 tekens. Er mogen geen leestekens in het wachtwoord zitten. Je moet minstens 1 cijfer en 1 hoofdletter gebruiken.
Mijns inziens is dit paswoord systeem gemankeerd door de beperkingen. Het wordt makkelijker om wachtwoorden te raden. Mijn ultieme low level wachtwoord welke ik enkel gebruik voor obscure sites bestaat nota bene al uit meer dan 9 tekens. Maar deze ISP vraagt voor een systeem wat toegang biedt tot facturen/telefoongegevens/persoonsgegevens MAXIMAAL een wachtwoord van 8 tekens....
Daarnaast bestaat mijn vermoeden dat hier de wachtwoorden ook als plaintext worden opgeslagen. Na registratie voor een internetaansluiting (met opgave van gewenste wachtwoord) kreeg je eerder (in de tijd van wanadoo) een brief waarin het gebruikte wachtwoord dikgedrukt in text stond aangegeven.
ING
Het internetbankieren gedeelte van ING gebruikt een zeer afwijkend inlogsysteem. Waar andere banken gebruik maken van een 'random reader'-achtig kastje om een tijdelijke inlogcode te creeren, gebruikt ING een regulier inlogsysteem met gebruikersnaam + wachtwoord. Het gevolg hiervan is dat ING de bank is waarvoor de meeste phishingmails gestuurd worden.
Daarnaast stelt ING bank ook vreemde eisen aan wachtwoorden/usernames. Een username is namelijk hoofdlettergevoelig, terwijl een wachtwoord dit niet is. Dit duidt op mogelijke opslag als plaintext. Dit wordt in dit topic besproken. Er wordt hier aangegeven dat het ook mogelijk is, dat wachtwoorden eerst naar lowercase worden omgezet, alvorens te worden gehashed.
Mijn mening
Websites dienen naar mijn idee ten alle tijde wachtwoorden te hashen+salten alvorens deze in een database worden gestopt. Inlog en registratiegedeeltes van websites dienen gebruik te maken van SSL. Bij het aanvragen van een vergeten wachtwoord, dient de site nooit en te nimmer het wachtwoord als plaintext via email te sturen. Eisen aan wachtwoorden mogen niet beperkend zijn (bv. maximaal 8 karakters) maar moeten aansporen een veilig wachtwoord te kiezen.
Doel van dit topic
Graag zie ik meningen/ervaringen van andere Tweakers op dit specifieke gebied. Zou er bijvoorbeeld door bedrijven uitleg moeten worden gegeven hoe gegevens als wachtwoorden worden opgeslagen? (Wij slaan al uw wachtwoorden plaintext op, want wij zijn lui) Daarbij ben ik ook benieuwd naar andere sites die gebruik maken van vreemde wachtwoordeisen, of sites die wachtwoorden mogelijk als plaintext opslaan.
/u/378130/rot13-engineer.png?f=community)
/u/7685/ruinmytune-60x60.png?f=community)
/u/234056/stampedeicon.JPG?f=community)