Toon posts:

Wachtwoorden niet versleuteld bij grote provider?

Pagina: 1
Acties:

donderdag 25 oktober 2012 00:02

Acties:
  • 0 Henk 'm!
  • Urk
  • Registratie: Maart 2000
  • Laatst online: 05-07 02:51

Urk

Topicstarter
Een klant van mij heeft diverse hosting pakketten draaien bij een grote bekende provider, ik noem geen naam omdat ik dat in dit geval niet netjes vindt.

Het viel mij enige tijd geleden op dat de provider (FTP en database) wachtwoorden van accounts via de klantenlogin aan mij kon doorgeven. Wat bij mij overkwam als zijnde dat de provider de wachtwoorden van mijn klant blijkbaar niet gehashed opslaat.
Ik heb dit via een support ticket nagevraagd, de reactie van de provider was:

Wij kunnen inderdaad de FTP en database wachtwoorden uitlezen, ze zijn wel versleuteld voor de buitenkant.
Ehmm...dat kan toch helemaal niet? Dan worden wachtwoord toch gewoon ergens plain tekst opgeslagen? Of zouden ze wel encrypted worden opgeslagen in hun eigen systeem en dat ze met een certificaat of key die in eigen beheer is ze gedecrypt kunnen worden?

donderdag 25 oktober 2012 00:03

Acties:
  • 0 Henk 'm!
  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 00:14

Compizfox

Bait for wenchmarks

Ze kunnen geencrypt zijn opgeslagen. Dat is iets anders dan gehasht.

Gewoon een heel grote verzameling snoertjes

donderdag 25 oktober 2012 00:07

Acties:
  • 0 Henk 'm!
  • pedorus
  • Registratie: Januari 2008
  • Niet online

pedorus

Wat ik vermoed is dat ze een interne database hebben met de onversleutelde wachtwoorden. Op de externe servers (zoals de ftp-server zelf) staan de wachtwoorden wel asymmetrisch versleuteld.

Neemt niet weg dat ze dus de wachtwoorden in plain text kunnen reproduceren, wat mij niet een best practice lijkt ;)

Vitamine D tekorten in Nederland | Dodelijk coronaforum gesloten

donderdag 25 oktober 2012 00:10

Acties:
  • 0 Henk 'm!

Anoniem: 26306

pedorus schreef op donderdag 25 oktober 2012 @ 00:07:
Neemt niet weg dat ze dus de wachtwoorden in plain text kunnen reproduceren, wat mij niet een best practice lijkt ;)
Dat is alleen boeiend als klanten zelf hun wachtwoord kunnen wijzigen. Als de provider zelf (sterke) wachtwoorden voor hen genereert, voegt het hashen van wachtwoorden vrijwel niets aan veiligheid toe.

donderdag 25 oktober 2012 00:28

Acties:
  • 0 Henk 'm!
  • Urk
  • Registratie: Maart 2000
  • Laatst online: 05-07 02:51

Urk

Topicstarter
Anoniem: 26306 schreef op donderdag 25 oktober 2012 @ 00:10:
[...]

Dat is alleen boeiend als klanten zelf hun wachtwoord kunnen wijzigen. Als de provider zelf (sterke) wachtwoorden voor hen genereert, voegt het hashen van wachtwoorden vrijwel niets aan veiligheid toe.
Nee, het is als klant gewoon mogelijk zelf wachtwoorden te kiezen, en die kunnen zelfs vrij simpel zijn. Daardoor is een tijdje geleden de website van mijn klant al gehacked omdat het wachtwoord van de klant de postcode van het bedrijf bleek te zijn volgens de provider.

donderdag 25 oktober 2012 09:18

Acties:
  • 0 Henk 'm!
  • pedorus
  • Registratie: Januari 2008
  • Niet online

pedorus

Anoniem: 26306 schreef op donderdag 25 oktober 2012 @ 00:10:
[...]

Dat is alleen boeiend als klanten zelf hun wachtwoord kunnen wijzigen. Als de provider zelf (sterke) wachtwoorden voor hen genereert, voegt het hashen van wachtwoorden vrijwel niets aan veiligheid toe.
Wat te denken van een medewerker die bij de wachtwoorden kon en het bedrijf met verstoorde relatie verlaat? In die situatie is er wel degelijk een verschil, tenzij je steeds iedereen zijn wachtwoord dan maar wijzigt, wat me ook niet erg handig lijkt. ;)

Vitamine D tekorten in Nederland | Dodelijk coronaforum gesloten

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq