Webshop slaat wachtwoorden onversleuteld op - Privacy en beveiliging

donderdag 7 juni 2012 15:42

Acties:

Verwijderd

Topicstarter

Hallo allen,

Onderstaande mail van mij verklaart precies waar dit topic over gaat.

-----Oorspronkelijk bericht-----
Van: ******
Verzonden: donderdag 7 juni 2012 12:21
Aan: ACES Direct - Info
Onderwerp: Onbeveiligd opslaan van wachtwoord

Beste heer, mevrouw,

Ik moest vandaag mijn wachtwoord opvragen bij uw webshop ACESdirect.nl.

Tot mijn grote schrik ontving ik mijn oude wachtwoord letterlijk per mail, in plaats van dat ik de mogelijkheid kreeg een nieuw wachtwoord in te stellen.

Dit impliceert dat u mijn wachtwoord onversleuteld opslaat. Elk ICT-persoon dat ook maar een beetje verstand heeft van dit soort beveiligingszaken weet dat het verschrikkelijk dom is om een wachtwoord op te nemen in een database op zo'n manier dat het wachtwoord ook weer te herleiden valt uit de opgeslagen gegevens.

Een degelijke vorm van beveiliging zou op zijn minst een vorm van wachtwoordopslag moeten zijn waarbij het opgeslagen antwoord niet meer terug valt te rekenen naar het wachtwoord zelf (een hash). Eventueel nog aangevuld met een zogenaamde "salt" waardoor de kwaliteit van de hash nog hoger wordt.

Hopende dat u dit oppakt,
*******

Het antwoord van www.acesdirect.nl:

Beste heer *******,

Dank voor uw oplettende reactie en uw mail.

Uw feedback is geheel terecht en onze huidige werkwijze hierin gaat ook aangepast worden. Dit hadden wij reeds intern opgepakt, maar uw mail bevestigt de urgentie en het belang wederom.
Mocht u nog vragen of verzoeken hebben, dan kunt u altijd terecht bij uw persoonlijke Account Manager, ********.

Nogmaals dank voor uw scherpe blik.

Met vriendelijke groet,
********

Dat er überhaupt nog websites zijn die wachtwoorden onversleuteld of omkeerbaar versleuteld opslaan

. En dan ook nog een webshop waar potentiële lekgevoelige gegevens opgeslagen worden (NAW, rekeningnummers en dergelijke).

Doel van dit topic: melding doen van dit soort praktijken, een discussie uitlokken over dit soort websites en publiciteit verkrijgen zodat men snel dit aanpakt.

Ik kom helaas nog maar al te vaak websites tegen waar ik mijn wachtwoord opvraag en dan het betreffende wachtwoord origineel terugkrijg in plaats van een nieuw gegenereerd wachtwoord. Triest.

[ Voor 4% gewijzigd door Verwijderd op 07-06-2012 15:45 ]

donderdag 7 juni 2012 15:44

Acties:

Dadona

http://plaintextoffenders.com/

De CSL/OT kroeg !

donderdag 7 juni 2012 15:45

Acties:

BCC

Ach, tele2, marktplaats en EasyJet doen het ook, dus ik kijk er niet meer van op.. 1 Password is het devies

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

donderdag 7 juni 2012 15:48

Acties:

RemcoDelft

En dan ook nog een webshop waar potentiële lekgevoelige gegevens opgeslagen worden (NAW, rekeningnummers en dergelijke).

Tegen de tijd dat iemand je wachtwoord uit de database heeft kunnen vissen, heeft-ie je NAW ook wel te pakken. Sterker nog, telefoonboeken staan daar vol mee, en mijn postbode ziet ook waar de hele wijk woont!
Oftewel ik zie er niet zo'n probleem in...

Het wordt natuurlijk anders als je overal hetzelfde wachtwoord gebruikt, maar dan kan je het eigenlijk al niet eens meer een wachtwoord noemen.

donderdag 7 juni 2012 15:49

Acties:

ReneDD

Ook de LeasePlanBank(!) versleuteld de wachtwoorden niet. Sterker nog, toen mijn moeder telefonisch contact had met de helpdesk (ivm inlogproblemen) werd doodleuk naar haar wachtwoord gevraagd. Toen zij dit nog vertelde ook (doh) werd haar medegedeeld dat het juist was, maar dat de eerste letter met een hoofdletter was... Daarna heeft ze direct haar rekening opgezet.

Ik was te gierig, aangezien de rentes nog te hoog waren. Inmiddels is ook dit veranderd, dus zal ik er nog eens een nachtje over slapen.

donderdag 7 juni 2012 15:49

Acties:

Mebus

Omdat je wachtwoord in een e-mail staat hoeft het niet gelijk zo te zijn dat het wachtwoord onversleutelt de database in gaat.. Soms zetten ze het geposte wachtwoord ($_POST['wachtwoord']) nog in de mail en dat voor de database (sha1 of md5($_POST['wachtwoord'])) gebruikt. Dus trek niet te snel conclusies. Maar dan nog is het niet erg vriendelijk om je wachtwoord uberhoud in een e-mail te zetten. Als iemand toch ooit eens je e-mail kan inzien zien ze dus ook je wachtwoorden.

BABYMETAL LoL - Twitch

donderdag 7 juni 2012 15:50

Acties:

ReneDD

Mebus schreef op donderdag 07 juni 2012 @ 15:49:
Omdat je wachtwoord in een e-mail staat hoeft het niet gelijk zo te zijn dat het wachtwoord onversleutelt de database in gaat.. Soms zetten ze het geposte wachtwoord ($_POST['wachtwoord']) nog in de mail en dat voor de database (sha1 of md5($_POST['wachtwoord'])) gebruikt. Dus trek niet te snel conclusies. Maar dan nog is het niet erg vriendelijk om je wachtwoord uberhoud in een mail te zetten. Als iemand toch ooit eens je e-mail kan inzien zien ze dus ook wachtwoorden.

In zijn eerste mail geeft hij aan dat hij zijn wachtwoord moest opvragen (ivm vergeten). Verhaal gaat dus niet helemaal op volgens mij

donderdag 7 juni 2012 15:52

Acties:

Mebus

ReneDD schreef op donderdag 07 juni 2012 @ 15:50:
[...]

In zijn eerste mail geeft hij aan dat hij zijn wachtwoord moest opvragen (ivm vergeten). Verhaal gaat dus niet helemaal op volgens mij

Sorry, ik zie het! Misschien een encrypt en decrypt functie dan?

BABYMETAL LoL - Twitch

donderdag 7 juni 2012 15:53

Acties:

Verwijderd

Topicstarter

Het gaat hier om een wachtwoord dat jaren geleden ingesteld is door mij. En die ik nu, zomaar, op verzoek, onversleuteld verstuurd krijg van de betreffende webshop. Dat is wat anders dan een bevestiging na registratie op een website waarin het gebruikte wachtwoord vermeld wordt. Zolang het wachtwoord daarna maar vernietigd wordt vind ik het verder geen probleem.

Stel dat LinkedIn bijvoorbeeld zijn wachtwoorden onversleuteld zou hebben opgeslagen. Dan zouden de wachtwoorden van al deze gebruikers nu gelekt zijn. De schade van zo'n ramp zou gigantisch zijn.

Wat betreft het bericht hierboven, een wachtwoord hoort niet-omkeerbaar versleuteld te zijn. Oftewel, je kan het wachtwoord versleutelen maar niet meer terugrekenen naar het origineel. Zo werkt een hash. De juistheid van het wachtwoord wordt dan gecontroleerd door een hash te berekenen van het ingevoerde wachtwoord en die te vergelijken met de hash in de database (eventueel rekening houdend met salts). Zo hoort het. Niet anders.

[ Voor 27% gewijzigd door Verwijderd op 07-06-2012 15:55 ]

donderdag 7 juni 2012 15:55

Acties:

xtr3me

BCC schreef op donderdag 07 juni 2012 @ 15:45:
Ach, tele2, marktplaats en EasyJet doen het ook, dus ik kijk er niet meer van op.. 1 Password is het devies

Waar wordt dit dan gedaan volgens jou op de tele2 website, ik krijg namelijk een tijdelijk wachtwoord via SMS als ik m'n wachtwoord ben vergeten en dit wil opvragen...

donderdag 7 juni 2012 16:13

Acties:

Mebus

BCC schreef op donderdag 07 juni 2012 @ 15:58:
[...]

Ja, want dan kunnen alleen de beheerders, ontwikkelaars en hackers alle wachtwoorden zien ?

Als er maar 1 iemand bij de PHP bestanden kan waar bijvoorbeeld de key/hash/sleutel in staat is er niet zo heel veel aan de hand.. Of je moet een corrupte werknemer hebben.

BABYMETAL LoL - Twitch

vrijdag 8 juni 2012 07:52

Acties:

Equator

Crew Council

#whisky #barista

Move naar Beveiliging & Virussen dat lijkt mij toch een betere plaats voor dit topic..

vrijdag 8 juni 2012 10:13

Acties:

Raymond P

Er is een verschil tussen hashen en encrypen.
Je kan passwords prima encrypted opslaan in een database, en vervolgens weer terug halen.
Een MYSQL voorbeeld: AES_ENCRYPT

Een email krijgen met je password betekent dus niet direct dat het password bekend is, door een DBA te achterhalen is of zelfs door een developer te achterhalen is.
Sterker nog, bij een goed design kan dat dus helemaal niet.

Wel is het eigenlijk belachelijk gezien email verder totaal geen garantie geeft betreft versleutelde communicatie.
Het is dan ook verstandig je wachtwoord na het opvragen te veranderen.

- knip -

vrijdag 8 juni 2012 10:19

Acties:

Osiris

T-Mobile kan je ook probleemloos je "My T-Mobile"-wachtwoord geven via een SMS als je die opvraagt.

vrijdag 8 juni 2012 10:27

Acties:

NoFearCreations

3DPrint the world!

Alleen wordt het wachtwoord alleen verstuurd naar het nummer wat aan de desbetreffende account is gekoppeld.
Dus niemand anders kan dat opvragen, of je tel moet gestolen zijn.

---RAWE CEEK!!!---

vrijdag 8 juni 2012 10:41

Acties:

Osiris

NoFearCreations schreef op vrijdag 08 juni 2012 @ 10:27:
Alleen wordt het wachtwoord alleen verstuurd naar het nummer wat aan de desbetreffende account is gekoppeld.
Dus niemand anders kan dat opvragen, of je tel moet gestolen zijn.

Da's nou niet echt het punt waar dit topic over gaat hè. Blijkbaar is het wachtwoord om te keren in de systemen van de desbetreffende bedrijven. En dat is een potentieel security-risico.

vrijdag 8 juni 2012 10:47

Acties:

Cloud

FP ProMod

Ex-moderatie mobster

Raymond P schreef op vrijdag 08 juni 2012 @ 10:13:
[...]

Sterker nog, bij een goed design kan dat dus helemaal niet.

Bij een goed design zou het voor iedereen ongeacht de kennis onmogelijk moeten zijn het wachtwoord te achterhalen, omdat een goed design een hash gebruikt en geen encryptie. Als er wel encryptie gebruikt wordt dan zijn er per definitie mensen die bij je wachtwoord kunnen (DBA's, developers). Misschien niet rechtstreeks, maar als de software het origineel terug kan halen dan kan een mens dat ook.

Hoewel ik er vanuit ga dat het in de situatie van de TS gewoon om plain-text gaat, is ook encryptie echt niet goed te praten. De enige juiste manier om wachtwoorden op te slaan is middels een sterke hash met salt.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

vrijdag 8 juni 2012 10:48

Acties:

Big Womly

Live forever, or die trying

RemcoDelft schreef op donderdag 07 juni 2012 @ 15:48:
[...]

Tegen de tijd dat iemand je wachtwoord uit de database heeft kunnen vissen, heeft-ie je NAW ook wel te pakken. Sterker nog, telefoonboeken staan daar vol mee, en mijn postbode ziet ook waar de hele wijk woont!
Oftewel ik zie er niet zo'n probleem in...

Het wordt natuurlijk anders als je overal hetzelfde wachtwoord gebruikt, maar dan kan je het eigenlijk al niet eens meer een wachtwoord noemen.

Mijn NAW gegevens heb ik toch niet graag samen met de data wanneer ik op verlof ben.

When you talk to God it's called prayer, but when God talks to you it's called schizophrenia

vrijdag 8 juni 2012 11:13

Acties:

Raymond P

Cloud schreef op vrijdag 08 juni 2012 @ 10:47:
[...]

Bij een goed design zou het voor iedereen ongeacht de kennis onmogelijk moeten zijn het wachtwoord te achterhalen, omdat een goed design een hash gebruikt en geen encryptie. Als er wel encryptie gebruikt wordt dan zijn er per definitie mensen die bij je wachtwoord kunnen (DBA's, developers). Misschien niet rechtstreeks, maar als de software het origineel terug kan halen dan kan een mens dat ook.

Hoewel ik er vanuit ga dat het in de situatie van de TS gewoon om plain-text gaat, is ook encryptie echt niet goed te praten. De enige juiste manier om wachtwoorden op te slaan is middels een sterke hash met salt.

Voorop: ik gebruik zelf AES voor contactgegevens, en niet voor passwords.
Dat hash in verreweg de meeste gevallen de juiste manier is ben ik met je eens, mijn woordenkeuze blijkt wat ongelukkig.

Gebruik je AES voor passwords dan ontkom je er inderdaad niet aan dat een select groepje wel de mogelijkheid heeft tot decrypten, maar dat DBA's en developers daar per definitie bij horen ben ik niet met je eens.

Er zijn wel situaties waarin dit wenselijk is. Denk dan aan systemen waarbij passwords niet persoonlijk zijn.
Bijvoorbeeld accounts die door meerdere mensen gebruikt worden en een nieuw wachtwoord een immense taak is.
In zo'n geval is encryptie nog altijd beter dan plain text.

- knip -

vrijdag 8 juni 2012 11:18

Acties:

Cloud

FP ProMod

Ex-moderatie mobster

Raymond P schreef op vrijdag 08 juni 2012 @ 11:13:
[...]

Gebruik je AES voor passwords dan ontkom je er inderdaad niet aan dat een select groepje wel de mogelijkheid heeft tot decrypten, maar dat DBA's en developers daar per definitie bij horen ben ik niet met je eens.

Dat heb ik misschien wat ongelukkig geplaatst, ik bedoelde die twee meer als voorbeelden. Er moet íemand zijn met de mogelijkheid maar de grootste kans heb je bij de DBA's/devvers.

Er zijn wel situaties waarin dit wenselijk is. Denk dan aan systemen waarbij passwords niet persoonlijk zijn.
Bijvoorbeeld accounts die door meerdere mensen gebruikt worden en een nieuw wachtwoord een immense taak is.

Ik zou het nog steeds liever voorkomen maar op zich ben ik dat met je eens. Maar dan praat je toch over corporate omgevingen en in zo'n situatie zal het lekken van een wachtwoord een minder groot issue zijn omdat het toch niet hergebruikt wordt buiten het bedrijf. Mijn mening was vooral toegespitst op publiek toegankelijke sites waar men zelf de wachtwoordkeuze heeft

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

vrijdag 8 juni 2012 11:22

Acties:

Verwijderd

Boeiend.

. Als een malloot een ruitje intikt kan hij ook zo met de complete papieren administratie weglopen. Moeten alle ruiten in bedrijfspanden dan maar achter tralies?

vrijdag 8 juni 2012 11:30

Acties:

Raymond P

Over het algemeen ligt de papieren administratie wel achter slot en grendel ja.
Als je uberhaubt ermee weg kan lopen dan is er al niet veel te halen. Papier is best zwaar.

Edit: let wel op, base64 is geen versleuteling, en de hash salt in je voorbeeld is nutteloos zodra je meer dan 1 wachtwoord hebt.

[ Voor 28% gewijzigd door Raymond P op 08-06-2012 11:44 . Reden: typo ]

- knip -

vrijdag 8 juni 2012 11:30

Acties:

blurryilluzion

Los daarvan wil het niet zeggen dat als jij je wachtwoord opvraagt en je oude wachtwoord te zien krijgt, dat die onversleuteld is opgeslagen. Wellicht is het gewoon opgeslagen als:

base_64( salt + base64( password ) )

Ik ben het er echter wel mee eens dat na het opvragen van je wachtwoord, je verplicht moet worden om een nieuw wachtwoord in te stellen. Immers is je wachtwoord nu niet meer alleen opgeslagen in hun database + jouw hoofd.

dinsdag 26 juni 2012 10:53

Acties:

Aces Direct

Bedrijfsaccount ACES Direct

Goedemorgen,

Naar aanleiding van deze discussie, welke overigens ook door topicstarter aan ons gemaild is, hebben we direct actie ondernomen. Zoals genoemd stond het wel in onze planning om live te gaan met onze vernieuwde website in het komende kwartaal, echter bleek dit punt urgent voldoende om direct op te pakken.

Alle wachtwoorden zijn nu omgezet naar ge-encrypte data. Wanneer men nu een wachtwoord vergeten is, kan men het juiste e-mail adres invoeren, waarna men een link zal krijgen om het wachtwoord te resetten. Een vergeten wachtwoord kan dus op geen enkele mogelijkheid meer terug gehaald worden, alleen gereset!

Op deze manier zijn wij van mening dit issue goed opgepakt te hebben.

Uiteraard hebben wij ook de TS bedankt voor zijn feedback, en ook hem in de loop gehouden bij het oppakken van deze case.

Met vriendelijke groet,

Mark Albada Jelgersma
ACES Direct

dinsdag 26 juni 2012 12:34

Acties:

j0rDy

Aces Direct schreef op dinsdag 26 juni 2012 @ 10:53:
Goedemorgen,

Naar aanleiding van deze discussie, welke overigens ook door topicstarter aan ons gemaild is, hebben we direct actie ondernomen. Zoals genoemd stond het wel in onze planning om live te gaan met onze vernieuwde website in het komende kwartaal, echter bleek dit punt urgent voldoende om direct op te pakken.

Alle wachtwoorden zijn nu omgezet naar ge-encrypte data. Wanneer men nu een wachtwoord vergeten is, kan men het juiste e-mail adres invoeren, waarna men een link zal krijgen om het wachtwoord te resetten. Een vergeten wachtwoord kan dus op geen enkele mogelijkheid meer terug gehaald worden, alleen gereset!

Op deze manier zijn wij van mening dit issue goed opgepakt te hebben.

Uiteraard hebben wij ook de TS bedankt voor zijn feedback, en ook hem in de loop gehouden bij het oppakken van deze case.

Met vriendelijke groet,

Mark Albada Jelgersma
ACES Direct

om te beginnen, super dat dit (zo snel) opgepakt wordt, we zien dit wel eens anders

ik zie in de respons dat jullie de wachtwoorden versleuteld hebben. Hebben jullie de wachtwoorden behalve versleuteld ook gesalt? Dit voorkomt dat wanneer kwaadwilligen de versleutelde wachtwoorden uit de database kunnen halen (met bijvoorbeeld sql-injectie) de wachtwoorden weer makkelijk kunnen ontsleutelen.

meer informatie:
http://en.wikipedia.org/wiki/Salt_%28cryptography%29

dinsdag 26 juni 2012 14:50

Acties:

Aces Direct

Bedrijfsaccount ACES Direct

Beste Jordy,

dank voor je melding. Om antwoord te geven op je vraag of we behalve versleutelen ook salten, kan ik heel kort antwoorden dat we dat inderdaad ook doen. We gebruiken een salt welke gebaseerd is op SHA2.

Hiermee voldoen we naar onze mening helemaal aan de gewenste beveiligings-standaarden.

dinsdag 26 juni 2012 19:31

Acties:

BCC

Aces Direct schreef op dinsdag 26 juni 2012 @ 14:50:
Hiermee voldoen we naar onze mening helemaal aan de gewenste beveiligings-standaarden.

Nou, naar mijn mening BCrypt op dit moment een van de weinige toekomst bestendige crypto-algoritmes, dus eigenlijk hadden jullie die moeten implementeren.
Maar dit is inderdaad een gigantische verbetering ten opzichte van niets. Netjes opgelost!

https://github.com/codahale/bcrypt-ruby

[ Voor 4% gewijzigd door BCC op 26-06-2012 19:32 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.