Toon posts:

Wachtwoord opgevraagd bij hoster, kan dat?

Pagina: 1
Acties:

Vraag

dinsdag 26 juni 2018 08:11

Acties:
  • 0 Henk 'm!
  • P_Tingen
  • Registratie: Maart 2005
  • Laatst online: 11:00

P_Tingen

omdat het KAN

Topicstarter
Ik zat gisteravond op het dashboard van mijn websitehoster en daar zag ik ineens een knop waarmee ik mijzelf de wachtwoorden kon sturen van dat account voor FTP en aanverwante zaken. Even later kreeg ik via de mail (naar webmaster@domein gestuurd) met keurig het overzicht.

Maar dat betekent dat de wachtwoorden bij mijn hoster bekend zijn. Ik dacht altijd dat alleen de versleutelde versie van het wachtwoord werd opgeslagen en niet het wachtwoord zelf. Is dat wel veilig?

Ik kan de webhoster zelf vragen natuurlijk, maar ten eerste wordt mijn vraag behandeld door de helpdesk en is het maar de vraag of die er verstand van hebben en ten tweede lijkt het me stug dat ik als antwoord ga krijgen "nee, meneer, dat is inderdaad niet erg veilig van ons"

... en gaat over tot de orde van de dag

Alle reacties

dinsdag 26 juni 2018 08:12

Acties:
  • 0 Henk 'm!
  • jugger naut
  • Registratie: September 2010
  • Laatst online: 10:23

jugger naut

Dat is, zoals je zelf al dacht, niet veilig.

dinsdag 26 juni 2018 08:40

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 10:36

lier

MikroTik nerd

FTP is per definitie niet veilig, het op kunnen vragen van deze gegevens is echter niet heel vreemd. Ben met name benieuwd wat de "aanverwante zaken" zijn.

Eerst het probleem, dan de oplossing

dinsdag 26 juni 2018 08:42

Acties:
  • 0 Henk 'm!
  • scosec
  • Registratie: Februari 2016
  • Laatst online: 07-10 12:10

scosec

Worden je wachtwoorden niet simpelweg gereset bij het opvragen van die gegevens? Dit is een standaard functionaliteit van Directadmin als ik mij niet vergis.

dinsdag 26 juni 2018 09:24

Acties:
  • 0 Henk 'm!
  • P_Tingen
  • Registratie: Maart 2005
  • Laatst online: 11:00

P_Tingen

omdat het KAN

Topicstarter
scosec schreef op dinsdag 26 juni 2018 @ 08:42:
Worden je wachtwoorden niet simpelweg gereset bij het opvragen van die gegevens? Dit is een standaard functionaliteit van Directadmin als ik mij niet vergis.
Nee, de wachtwoorden blijven gewoon staan.

Menu ziet er zo uit:
Afbeeldingslocatie: https://i.imgur.com/kgQg2Un.png

De mail die ik vervolgens krijg (even geanonimiseerd):
Beste Klant,

Hierbij sturen wij u alle recente inlogcodes behorend bij bestellingen gedaan met dit e-mailadres. (webmaster@domein.nl). Losse domeinnamen bevatten geen instelbare gegevens en worden dus ook niet vermeld in dit E-Mail bericht. U kunt de passwords voor uw E-Mail accounts, databases en statistieken zelf aanpassen vanuit het Control Panel, al dan niet met behulp van onze handleiding op https://www.tralalahosting.nl/handleiding

Domeinnaam: domein.nl (Bestelcode: ABC123)
Inloglink: https://server42.tralalahosting.nl:8426/
FTP- en MailServer: server42.tralalahosting.nl
Control Panel Inlognaam: henkie - Password: welkom123
FTP Inlognaam: henkie - Password: topsecret

Dit zijn alle bij ons bekende inloggegevens die u zelf kunt aanpassen vanuit uw Control Panel.

Met vriendelijke groet,
Tralala Hosting Helpdesk

... en gaat over tot de orde van de dag

dinsdag 26 juni 2018 09:26

Acties:
  • 0 Henk 'm!
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

Het is eigenlijk onvoorstelbaar dat dit mogelijk is. Wachtwoorden zouden niet opvraagbaar mogen zijn en zeker niet via e-mail verzonden mogen worden. Inderdaad een aardig veiligheidsrisico.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 26 juni 2018 09:26

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Kan ook zijn dat de wachtwoorden met symmetrische encryptie zijn opgeslagen en er een meganisme is zodat alleen jij en de hoster het wachtwoord kunnen decrypten.

Aangezien ik deze "standaard" wachtwoorden nooit vertrouw pas ik ze altijd aan.
Je weet namelijk niet of het daadwerkelijk encrypted is of niet.

[ Voor 31% gewijzigd door DJMaze op 26-06-2018 09:27 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 26 juni 2018 09:28

Acties:
  • +1 Henk 'm!
  • P_Tingen
  • Registratie: Maart 2005
  • Laatst online: 11:00

P_Tingen

omdat het KAN

Topicstarter
Okee, lijkt me duidelijk dat ik de hoster om opheldering ga vragen. Welllicht hebben ze een goed verhaal.

Edit: Nagevraagd en reactie gekregen
We werken momenteel aan een nieuw platform. Vorig jaar hebben we één van de eerste stappen gezet met compleet nieuwe hardware. Dit jaar vervangen we de onderliggende software.

Vanaf dan zul je een e-mail krijgen om vervolgens zelf je wachtwoord opnieuw in te stellen. Dat is eigenlijk ook zoals het hoort. Met de huidige softwarelaag bleek dat erg ingewikkeld te zijn, dus hebben we die functionaliteit vooruit geschoven naar het nieuwe platform.

Dit zal in de loop van dit jaar zijn aangepast. In een later stadium gaan we ook tweeweg-authenticatie toevoegen, zodat er nog een extra beveiligingslaag beschikbaar komt. Het is dan bijvoorbeeld mogelijk om je gegevens extra beveiligen met Google Authenticator.
Klinkt voor mij voor nu aannemelijk genoeg, en zeer vlot antwoord.

[ Voor 79% gewijzigd door P_Tingen op 26-06-2018 12:24 ]

... en gaat over tot de orde van de dag

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq