Ben.nl slaat wachtwoorden in plain-text op.

Wiejeben schreef op zaterdag 12 mei 2012 @ 21:03:
Hallo Tweakers,

Ik ben er achtergekomen dat Ben.nl zijn wachtwoorden in plain-text opslaat, dus zonder encrypt.
Ik ben hier achter gekomen door via "Wachtwoord vergeten?" mijn wachtwoord op te vragen, hierbij moet je jouw 06 nummer invoeren en vervolgens word er per mail jouw wachtwoord opgestuurd.

Hier schrok ik nog al van, een bedrijf met zoveel klanten waarvan al hun wachtwoorden ge-encrypt zijn opgeslagen. Ik ga hier vanuit omdat ze me zo mijn wachtwoord kunnen terughalen, er hoef dus maar 1 iemand te zijn die in de database kan komen en die heeft er een paar duizend contact gegevens met wachtwoorden en al er bij.

Met vriendelijke groet,
Maarten

Mcctje schreef op zaterdag 12 mei 2012 @ 21:10:
Ze kunnen het toch weer ongehashed in de email zetten?

[ Voor 8% gewijzigd door Morrar op 13-05-2012 01:02 ]

Morrar schreef op zondag 13 mei 2012 @ 01:00:
Beetje sterke aanname... Dat ze je wachtwoord weer terug kunnen halen betekent niet per se dat het als platte tekst in de database staat; er kan nog steeds encrytie toegepast worden.

Thralas schreef op zondag 13 mei 2012 @ 01:07:
[...]

Hoewel je in principe geen ongelijk hebt, is de aanname allezins redelijk. Als je dan toch om security geeft, waarom niet simpelweg hashen?

Keiichi schreef op zaterdag 12 mei 2012 @ 21:11:
[...]


Het idee van hashing is dat het 1-way is. Dus eigenlijk: neen.

j0rDy schreef op maandag 14 mei 2012 @ 09:40:
even ingrijpen: Een hash encrypt plaintext, maar geeft altijd dezelfde waarde bij dezelfde text, dus prima omkeerbaar. http://en.wikipedia.org/wiki/Cryptographic_hash_function

Wanneer er gebruik gemaakt wordt van een "salt" gaat het om een 1-way hash, gezien deze waarde random is zal dit niet omkeerbaar zijn. http://en.wikipedia.org/wiki/Salt_%28cryptography%29

in dit geval kan het dus zijn dat ze de wachtwoorden wel degelijk versleuteld opslaan, maar zonder salt gezien deze weer omgezet kunnen worden naar plaintext.

Rob schreef op maandag 14 mei 2012 @ 09:49:
[...]


De ecryptie is altijd 1-way. Een salt zorgt er voor dat het terugvinden van een wachtwoord via een rainbowtable een stuk moeilijker is

j0rDy schreef op maandag 14 mei 2012 @ 09:40:
even ingrijpen: Een hash encrypt plaintext, maar geeft altijd dezelfde waarde bij dezelfde text, dus prima omkeerbaar. http://en.wikipedia.org/wiki/Cryptographic_hash_function

Wanneer er gebruik gemaakt wordt van een "salt" gaat het om een 1-way hash, gezien deze waarde random is zal dit niet omkeerbaar zijn. http://en.wikipedia.org/wiki/Salt_%28cryptography%29

in dit geval kan het dus zijn dat ze de wachtwoorden wel degelijk versleuteld opslaan, maar zonder salt gezien deze weer omgezet kunnen worden naar plaintext.

j0rDy schreef op maandag 14 mei 2012 @ 09:40:
even ingrijpen: Een hash encrypt plaintext, maar geeft altijd dezelfde waarde bij dezelfde text, dus prima omkeerbaar. http://en.wikipedia.org/wiki/Cryptographic_hash_function

Wanneer er gebruik gemaakt wordt van een "salt" gaat het om een 1-way hash, gezien deze waarde random is zal dit niet omkeerbaar zijn. http://en.wikipedia.org/wiki/Salt_%28cryptography%29

in dit geval kan het dus zijn dat ze de wachtwoorden wel degelijk versleuteld opslaan, maar zonder salt gezien deze weer omgezet kunnen worden naar plaintext.

leuk_he schreef op maandag 14 mei 2012 @ 12:01:
Vraag:

wat is er aan je ben.nl account gekoppeld? kun je dan alleen je mailadres zien? of al je belgegevens en ook je account opzeggen enzo?

Hahn schreef op maandag 14 mei 2012 @ 12:10:
1 wachtwoord is sowieso niet verstandig, zelfs al is het het moeilijkste wachtwoord dat ooit bestaan heeft. Je hoeft maar één keer een keylogger te hebben of iets dergelijks en dan ben je al de sjaak.

Killertjuh schreef op maandag 14 mei 2012 @ 12:11:
[...]


Maarja een keylogger die enkle weken of dagen draait ben je ook de sjaak of je nu 100 of 1 wachtwoord hebt.

Anoniem: 454708 schreef op zaterdag 12 mei 2012 @ 21:04:
[...]

dat je je wachtwoord kan opvragen betekend in jou ogen dus dat het in plain text is opgeslagen?

Anoniem: 345311 schreef op maandag 14 mei 2012 @ 12:13:
[...]


True, en er zijn ook stealers die je opgeslagen wachtwoorden van firefox/chrome/ie etc. kan pakken...
Het systeem is zo veilig als de gebruiker zelf is

Hahn schreef op maandag 14 mei 2012 @ 12:12:
True, maar is al iets onwaarschijnlijker. En als iemand één keer bij jou over de schouder meekijkt, dan ben jij alsnog eerder de sjaak dan iemand met meerdere wachtwoorden

Killertjuh schreef op maandag 14 mei 2012 @ 12:17:
[...]


offtopic: Knap jij mag wel 1 keer mee kijken dan...


[...]


Ook dit vind ik een grote nadeel bij firefox/chrome.

Maarja beetje offtopic....

itsme schreef op maandag 14 mei 2012 @ 11:57:
[...]

In de praktijk het echte wachtwoord terughalen werkt niet, een geldig wachtwoord wel.

Morrar schreef op zondag 13 mei 2012 @ 01:00:
Beetje sterke aanname... Dat ze je wachtwoord weer terug kunnen halen betekent niet per se dat het als platte tekst in de database staat; er kan nog steeds encrytie toegepast worden. Dus als iemand de database in komt, kan het nog steeds zo zijn dat de wachtwoorden versleuteld zijn.

Hahn schreef op maandag 14 mei 2012 @ 12:10:
1 wachtwoord is sowieso niet verstandig, zelfs al is het het moeilijkste wachtwoord dat ooit bestaan heeft. Je hoeft maar één keer een keylogger te hebben of iets dergelijks en dan ben je al de sjaak.

quote: https://www.ben.nl/inloggen

Inloggen bij Ik Ben
Jouw persoonlijke pagina

Op je persoonlijke Ik Ben pagina beheer je zelf je abonnement of prepaid. Zo kun je hier bijvoorbeeld je instellingen of je adres wijzigen, je simkaart blokkeren als hij gestolen of verloren is, je Pin- Puk code opvragen of een extra bundel afsluiten.

BEN HEEFT JE WACHTWOORD NODIG