Wachtwoord in mail gestuurd - Privacy en beveiliging

donderdag 6 juli 2017 09:27

Acties:

0 Henk 'm!

Topicstarter

Hallo allemaal,

Gister heb ik een account aangemaakt bij Campusshop.nl en tot mijn verbazing werdt het wachtwoord wat ik had ingesteld in de bevestigingsmail meegestuurd samen met mijn gebruikersnaam. De mail is wel met een TLS versleuteling verstuurd.

Mijn vraag, Mag dit wel? Is dit wel veilig?

Groet,

Michel

donderdag 6 juli 2017 09:29

Acties:

0 Henk 'm!

nst6ldr

Down with Big Tech.

Het mag zeker, en veilig is het inderdaad niet om meerdere redenen.

Hoe Android ten einde kwam - Ben je wel kritisch?

donderdag 6 juli 2017 09:29

Acties:

0 Henk 'm!

DonJunior

Antwoord op je gesloten vragen: Ja, Nee.

Ik heb dit ook ooit een keer gehad en heb direct een mail terug gestuurd met de vraag wat ze denkende waren. Juist in deze tijd van cybercriminaliteit kun je als webshop echt niet meer wegkomen met het verzenden van een plaintext wachtwoord.

*sowieso

donderdag 6 juli 2017 09:30

Acties:

0 Henk 'm!

BlazeMuis

Ja het mag, nee het is niet veilig.

Wel slecht van een shop om plaintext je wachtwoord te versturen.

donderdag 6 juli 2017 09:30

Acties:

0 Henk 'm!

CyBeRSPiN

sinds 2001

Vooral erg als het je eigen ww is die je misschien (stom) ook voor andere dingen gebruikt.

donderdag 6 juli 2017 09:31

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Er is geen wet waar dit niet zou mogen, slim is anders.

Je kan de gok nemen dat dit wachtwoord eenmalig bij aanmaken wordt gebruikt, toegezonden, en vervolgens wel hashed/salted wordt opgeslagen. De laatste veiligheid valt dan gewoon binnen je email, maar zit het aan hun kant dan wel goed.

Simpele test, vraag je wachtwoord op. Als je deze via email krijgt, is hij dus ook non hashed/salted opgeslagen, krijg je een nieuwe, dan is dat wel veilig opgeslagen.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 6 juli 2017 10:00

Acties:

0 Henk 'm!

SkylerNL

Topicstarter

Bedankt allemaal voor de reacties.

SinergyX schreef op donderdag 6 juli 2017 @ 09:31:
Simpele test, vraag je wachtwoord op. Als je deze via email krijgt, is hij dus ook non hashed/salted opgeslagen, krijg je een nieuwe, dan is dat wel veilig opgeslagen.

Bij het opvragen van een nieuw wachtwoord krijg ik netjes een reset link waar ik vervolgens een nieuw wachtwoord kan invoeren.

donderdag 6 juli 2017 10:31

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

SkylerNL schreef op donderdag 6 juli 2017 @ 10:00:
Bedankt allemaal voor de reacties.

[...]

Bij het opvragen van een nieuw wachtwoord krijg ik netjes een reset link waar ik vervolgens een nieuw wachtwoord kan invoeren.

Aannemelijk dat ze dan inderdaad je ww enkel sturen wanneer je account wordt aangemaakt, maar wel 'goed' wordt opgeslagen.

En veiligheid mbt tot je mail, als ze je ww mee kunnen lezen, kunnen ze ook reset-linkjes lezen, dat is puur de veiligheid van email an sich.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}