Dubieuze manier van inloggen - Privacy en beveiliging

dinsdag 3 juli 2018 23:26

Acties:

0 Henk 'm!

Topicstarter

Hallo allemaal,

Ik zit een beetje met een kwestie waarvan ik niet goed weet wat ik er mee moet doen. Ik werk zelf bij een grote werkgever waarbij mij het is opgevallen dat het inloggen soms nogal apart moet gebeuren.

Het zaakje zit als volgt in elkaar:

Via de webbrowser kunnen we inloggen op de website van mijn werkgever waarbij we onder andere ons loonstrookje en dergelijke kunnen inzien. Het inloggen gebeurt hier naar mijns inziens normaal.

Met een handheld moeten wij ook inloggen op datzelfde account met dezelfde gebruikersnaam en bijna hetzelfde wachtwoord, ja dat lees je goed bijna hetzelfde wachtwoord. Het is namelijk zo dat het wachtwoord dat we in moeten vullen volledig in hoofdletters geschreven moet worden. Ongeacht of het door jou gekozen wachtwoord met hoofdletters of kleine letters was.

Voorbeeld:

Naam: Pietje
Gebruikersnaam: P.vanvliet
Wachtwoord: PietjeVanVliet1990

Pietje wil inloggen op de website en vult daarbij de bovenstaande gebruikersnaam met wachtwoord in, en kan daarmee inloggen.

Vervolgens wil Pietje inloggen op de handheld en vult daarbij de bovenstaande gebruikersnaam met wachtwoord in, hiermee kan hij niet inloggen. Hij moet namelijk niet PietjeVanVliet1990 invullen als wachtwoord maar PIETJEVANVLIET1990.

Nadat ik hier even over nagedacht heb kwam ik eigenlijk tot de conclusie dat een van de onderstaande twee opties haast het geval moet zijn:

Werkgever gebruikt geen gehashte wachtwoorden maar geëncrypt/plaintext om zo zowel hoofdletter gevoelig als volledig in hoofdletters te vergelijken
Werkgever heeft een aantal amateurs ingehuurd die het wachtwoord gehasht voor zowel volledig in hoofdletters als gemixt hoofdletters kleine letters heeft opgeslagen.

Welke van de twee situaties het ook is het lijk me natuurlijk niet wenselijk. Als je alleen al weet dat alle letters hoofdletters zijn dan vallen er al een groot aantal wachtwoorden af.

Mijn vraag is: hoe nu verder? Is dit daadwerkelijk iets wat ik moet aankaarten? Zo ja, bij wie?

dinsdag 3 juli 2018 23:35

Acties:

+2 Henk 'm!

Room42

Dat klinkt inderdaad nogal knullig. Zeker anno 2018

Je kunt je zorgen aankaarten bij de IT en/of security officer, ook wat jouw privacy betreft. Als die data lekt, ligt er heel wat op straat.

Wat jouw security betreft kun je het best een uniek wachtwoord gebruiken dat je verder nergens gebruikt. Verder ben je, vrees ik, overgeleverd aan de beveiliging van je bedrijf.

Je zult vast niet zelf de loonstroken en gevoelige informatie kunnen verwijderen, of wel?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 3 juli 2018 23:43

Acties:

+2 Henk 'm!

SinergyX

____(>^^(>0o)>____

Hoe zijn de initiele wachtwoorden ooit aangemaakt? Kleine mogelijkheid kan nog zijn geweest dat bij het maken van je wachtwoord (als het via de site liep), er van het wachtwoord nog een uppercase versie wordt gemaakt, beide hashed/salted opgeslagen. Of zelfs je wachtwoord altijd als uppercase hashed/salted is opgeslagen, en dat ook je login via de website eerst naar uppercase gaat en dat pas wordt vergeleken.

Dat laatste werkte bij ons op de website in ieder geval zo, dat was gewoon een amateur oplossing van toenmalig persoon om van 'gezeur met hoofdletter/kleine letter' af te zijn.

Nu weet ik niet onder welke branch jullie vallen, maar wij hebben sinds 2 jaar naast de normale accountant controle ook ICT controle gekregen. Wachtwoordmanagement, methode van opslag, noem het maar op, dan moet zoiets toch wel naar voren komen?

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

dinsdag 3 juli 2018 23:44

Acties:

+1 Henk 'm!

DJMaze

Kan je je wachtwoord wijzigen?
Zo ja, wijzig je wachtwoord eens in: PietjeVanVliet1990Ë (trema op E)

Of ingewikkelder met een emoji: PietjeVanVliet1990🙈 ( https://emojipedia.org/see-no-evil-monkey/ )
Als de handheld Android draait en je dus emoji kan gebruiken

Dan zou de string-to-upper() volledig de mist in gaan

Een goed wachtwoord beheer zou de "vreemde" tekens gewoon toe moeten staan (maakt het kraken verdomde lastig, haha).

[ Voor 15% gewijzigd door DJMaze op 03-07-2018 23:46 ]

Maak je niet druk, dat doet de compressor maar

woensdag 4 juli 2018 00:03

Acties:

0 Henk 'm!

CCJJVV

Topicstarter

@Room42
Loonstrookjes en andere data zijn inderdaad niet te verwijderen.\

@SinergyX
Het wachtwoord wordt kan onder andere via de website veranderd worden. De wachtwoorden kunnen echter niet alleen in uppercase opgeslagen worden. Op de website moet je namelijk je het exacte wachtwoord invoeren dat je ooit gekozen hebt, inclusief de hoofdletters. Is het wachtwoord: Abcdef en je vult ABCDEF in dan kan je daarmee niet inloggen.

@DJMaze Ja ik kan mijn wachtwoord wijzigen, qua wachtwoord sterkte zit het bij mij wel goed(hoop ik) echter bij een hoop andere natuurlijk niet. Verder heb ik natuurlijk niet de

woensdag 4 juli 2018 00:09

Acties:

+17 Henk 'm!

Room42

CCJJVV schreef op woensdag 4 juli 2018 @ 00:03:
[...] Verder heb ik natuurlijk niet de

... energie om verder te typen?

Welterusten, morgen weer een dag

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 4 juli 2018 00:25

Acties:

+3 Henk 'm!

DJMaze

CCJJVV schreef op woensdag 4 juli 2018 @ 00:03:
Ja ik kan mijn wachtwoord wijzigen, qua wachtwoord sterkte zit het bij mij wel goed(hoop ik) echter bij een hoop andere natuurlijk niet. Verder heb ik natuurlijk niet de

Laat ik het anders zeggen: als je Emoji of andere 4 byte UTF-8 unicode teken gebruikt, dan is de kans groot dat de database crasht als het "PLAIN" wordt opgeslagen.
Meeste databases zijn oud en ondersteunen die unicode namelijk niet.

Je kan dus prima testen of je het systeem "sloopt", zo ja dan weet je dat je even met IT moet babbelen over de beveiliging

[ Voor 5% gewijzigd door DJMaze op 04-07-2018 00:29 ]

Maak je niet druk, dat doet de compressor maar

woensdag 4 juli 2018 10:35

Acties:

+1 Henk 'm!

boe2

'-')/

Nu ben ik eigenlijk wel benieuwd waar je werkt. Heb een tijd geleden nog als detacheerder gewerkt voor een sociaal secretariaat waar het wachtwoordbeleid nogal outdated was. Ik herinner me nog een conversatie in een meeting voor een migratie naar een nieuwe versie van Oracle, waarbij wachtwoorden plots case sensitive zouden worden terwijl deze in hoofdletters in de database staan opgeslagen. Op zich MOETEN ze case sensitive worden, dus dit gedrag wouden we houden.
Verschillende applicaties (inclusief webservices) hangen af van dll's die al jaren niet meer aangeraakt zijn en die ook niet zomaar aan te passen zijn.
Daar komt nog eens bij dat de desktop site een andere applicatie is dan de mobiele site.

Ik herinner me nog de uitspraak "we kunnen toch moeilijk aan de gebruikers vragen om voortaan hun wachtwoord in hoofdletters in te geven?" Als mijn vermoedens juist zijn is het antwoord dus "jawel" geworden. Geef op de desktop site ook eens je wachtwoord in hoofdletters in? Zou me niet verbazen als daar gewoon een .ToUpper() gedaan wordt.

Het wachtwoord wordt kan onder andere via de website veranderd worden. De wachtwoorden kunnen echter niet alleen in uppercase opgeslagen worden. Op de website moet je namelijk je het exacte wachtwoord invoeren dat je ooit gekozen hebt, inclusief de hoofdletters. Is het wachtwoord: Abcdef en je vult ABCDEF in dan kan je daarmee niet inloggen.

Nevermind dan. Ofwel herinner ik me details verkeerd (kan goed zijn, is een paar jaar geleden), ofwel gaat het over een andere firma

[ Voor 25% gewijzigd door boe2 op 04-07-2018 10:48 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.' - Pratchett.

woensdag 4 juli 2018 12:55

Acties:

+1 Henk 'm!

oohh

@boe2 Ik heb een vermoeden dat het hier om Albert Heijn gaat. Zelf heb ik daar ook gewerkt, dus ik ben bekend met het euvel. Het begon toen men met nieuwe terminals kwam die op Android draaien. Voorheen hadden ze Symbol terminals met Windows Mobile, waar je wel met lowercase letters kon inloggen.

Het leuke is dat als je op de werkcomputer de “Toepassingen” (Oracle) applicatie opent, je niet wordt geblokkeerd na een x aantal inlogpogingen. Je zou dus kunnen bruteforcen. Op de webpagina wordt je wel gewoon gebanned.

@CCJJVV Als het om Albert Heijn gaat, zou je naar de Ondernemingsraad kunnen stappen. Maar je zou ook bij je manager om meer informatie kunnen vragen.

[ Voor 12% gewijzigd door oohh op 04-07-2018 12:56 ]

woensdag 4 juli 2018 13:14

Acties:

+1 Henk 'm!

remcovn

Een hashing methode die vroeger gebruikt werd binnen Windows is LM. Binnen het LM algoritme worden wachtwoorden eerst naar hoofdletters geconverteerd en vervolgens gehashed en opgeslagen. Ondertussen staat LM als onveilig bekend en wordt dit in de recente Windows versies standaard uitgeschakeld.

Mogelijk wordt dit algoritme bij jouw werkgever nog gebruikt waardoor het geen verschil maakt of je lower-case of upper-case wachtwoorden invoert bij het inloggen.

donderdag 5 juli 2018 08:26

Acties:

0 Henk 'm!

Zebby

Het klinkt allemaal niet zo jofel, en het is terecht dat je vraagtekens zet bij de oplossing. Het klinkt als een groter bedrijf, wat inhoudt dat je een security officer hebt. Leg dit bij hem/haar neer, en geef ook aan dat je graag een respons afwacht.

Wachtwoorden zijn eigenlijk heel eenvoudig. Je mag een minimum limiet instellen (8+, liever 12+) met eventueel de eis dat er minimaal 1 hoofdletter/cijfer/teken tussen zitten. Buiten dat maakt het niet uit, en zou je ook de lengte niet praktisch willen limiteren (misschien t/m 128/256 dat niet iemand een boek erin plakt).

Als ik een website zie die zegt dat mijn random 64 karakter wachtwoord niet goed is, want maximaal 20 karakters, dan weet je eigenlijk al dat het niet hash/salted opgeslagen wordt.

donderdag 5 juli 2018 09:20

Acties:

0 Henk 'm!

Giesber

Zebby schreef op donderdag 5 juli 2018 @ 08:26:
Als ik een website zie die zegt dat mijn random 64 karakter wachtwoord niet goed is, want maximaal 20 karakters, dan weet je eigenlijk al dat het niet hash/salted opgeslagen wordt.

Dat weet je niet. Het zou ook kunnen dat ze willen tegengaan dat er te lange wachtwoorden gebruikt worden om de server te ontlasten (zodat je de server idd niet kan overbelasten door een boek erin te plakken), en dat die 20 gewoon wat ongelukkig krap gekozen is.
Of het zou kunnen dat die 20 nog een overblijfsel is van 19 jaar geleden, toen hun implementatie nog niet met een hash werkte. Als intussen de backend is aangepast, maar de frontend niet, dan staat die limiet er nog. Of sterker nog: de frontend kan wel aangepast zijn, maar de limiet van 20 kan zonder nadenken overgenomen zijn.

En zo zijn er in het geval van de TS waarschijnlijk ook nog 50 mogelijke pistes die niet voor de hand liggen, maar niet hoofdzakelijk beveiligingsproblemen met zich mee brengen. Al kan erachter vragen geen kwaad.

[ Voor 13% gewijzigd door Giesber op 05-07-2018 09:23 ]