Wachtwoord in plain text bij bevestingsmail - Privacy en beveiliging

maandag 8 juni 2020 13:53

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Zonet heb ik een account moeten maken op een website waar ik iets wou bestellen.
Zoals zo vaak krijg je hierna een bevestigingsmail (welkom bij....)

In deze mail staan in plain text zowel mijn gebruikersnaam als mijn wachtwoord.

"Gebruik de volgende gegevens om in te loggen:"

Ik stel me hier serieus de vraag hoe veilig zoiets is? Vooral omdat ik het gekozen wachtwoord ook op andere sites gebruik (ik weet het, niet zo veilig...)

Iemand die hier raad mee weet?

maandag 8 juni 2020 13:56

Acties:

0 Henk 'm!

vegetoot

Geen expert hier, maar ik kan me voorstellen dat de herkomst van het wachtwoord dat je gemaild hebt gekregen wel van belang is voor de beantwoording van de vraag: had je dit wachtwoord zelf al ergens ingegeven, of is het een gegenereerd wachtwoord dat bij eerste keer inloggen gewijzigd moet worden?

maandag 8 juni 2020 13:56

Acties:

+3 Henk 'm!

Remz

Dat is een redelijk sterke hint naar dat het niet versleuteld wordt opgeslagen.
Zo snel mogelijk dat wachtwoord wijzigen en voortaan een wachtwoordmanager gaan gebruiken.

maandag 8 juni 2020 13:56

Acties:

+1 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Dan wis je toch de mail, en sla je het password op in je passwordmanager?
En waarom gebruik je een wachtwoord die je al op andere sites gebruikt?

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 8 juni 2020 13:57

Acties:

+3 Henk 'm!

Puc van S.

sandpatt schreef op maandag 8 juni 2020 @ 13:53:
Hallo,

Zonet heb ik een account moeten maken op een website waar ik iets wou bestellen.
Zoals zo vaak krijg je hierna een bevestigingsmail (welkom bij....)

In deze mail staan in plain text zowel mijn gebruikersnaam als mijn wachtwoord.

"Gebruik de volgende gegevens om in te loggen:"

Ik stel me hier serieus de vraag hoe veilig zoiets is? Vooral omdat ik het gekozen wachtwoord ook op andere sites gebruik (ik weet het, niet zo veilig...)

Iemand die hier raad mee weet?

Wat zou hier het probleem zijn? Had die site het wachtwoord encrypted naar jou door moeten sturen?

Of verwacht je nu dat die site zijn wachtwoorden unencrypted/hashed opgeslagen heeft? Dat laatste hoeft natuurlijk totaal niet, ze kunnen rustig de invoer die jij gedaan hebt voor het wachtwoord in de mail gezet hebben en encrypted/hashed opslaan.

Of ben je bang dat iemand het mail verkeer onderschept heeft?

Remz schreef op maandag 8 juni 2020 @ 13:56:
Dat is een redelijk sterke hint naar dat het niet versleuteld wordt opgeslagen.
Zo snel mogelijk dat wachtwoord wijzigen en voortaan een wachtwoordmanager gaan gebruiken.

Hoezo is didt een sterke hint dat het niet versleuteld opgeslagen word?

[ Voor 15% gewijzigd door Puc van S. op 08-06-2020 13:58 ]

[http://www.okbreijnen.nl] [Overwatch] [Cennahysh]

maandag 8 juni 2020 13:58

Acties:

+1 Henk 'm!

Rannasha

Does not compute.

In principe is het mogelijk dat de website in het script dat het aanmaken van het account afhandelt zowel de bevestigingsemail verstuurt als het wachtwoord hasht en in de DB opslaat.

Het is geen goed idee om een wachtwoord in plain text over de email te sturen, maar het is niet noodzakelijkerwijs een indicatie dat de website het wachtwoord niet op de juiste manier opslaat.

|| Vierkant voor Wiskunde ||

maandag 8 juni 2020 13:58

Acties:

+2 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Remz schreef op maandag 8 juni 2020 @ 13:56:
Dat is een redelijk sterke hint naar dat het niet versleuteld wordt opgeslagen.

Dat zegt nog niets over niet-versleuteld opslaan. De invoer wordt blijkbaar gewoon gemaild per mail.

Persoonlijk vind ik dit de beste flow voor een webshop:

- Gebruiker maakt account aan
- Bepaalt zelf zijn wachtwoord, zolang deze sterk is.
- Niet het wachtwoord mailen, wel bevestigingslink voor account.

[ Voor 29% gewijzigd door AW_Bos op 08-06-2020 14:00 ]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 8 juni 2020 13:59

Acties:

0 Henk 'm!

reddevil001

Het zou als volgt moeten werken.
1. Account inclusief wachtwoord aanmaken op de website.
2. Daarna mailtje met eventueel bevestigingslink (maar in ieder geval zonder wachtwoord).

None

maandag 8 juni 2020 13:59

Acties:

+11 Henk 'm!

u_nix_we_all

Het grootste probleem zit bij jezelf. In alle adviezen over veilig internetten wordt erop gehamerd om niet overal hetzelfde wchtwoord te gebruiken.

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

maandag 8 juni 2020 14:04

Acties:

+1 Henk 'm!

Remz

AW_Bos schreef op maandag 8 juni 2020 @ 13:58:
[...]

Dat zegt nog niets over niet-versleuteld opslaan. De invoer wordt blijkbaar gewoon gemaild per mail.

Persoonlijk vind ik dit de beste flow voor een webshop:

- Gebruiker maakt account aan
- Bepaalt zelf zijn wachtwoord, zolang deze sterk is.
- Niet het wachtwoord mailen, wel bevestigingslink voor account.

Eens, daarom zei ik ook sterke hint.
De site maakt meerdere fouten, ze maken het blijkbaar mogelijk om hun mail systeem het wachtwoord uit te laten lezen. Dus nog voordat het wachtwoord versleuteld is, is de mail al aangemaakt. Mogelijk dat daarna er toch nog versleuteling plaats vindt.
Daarnaast sturen ze het wachtwoord per mail op, plain text, mail is geen veilig medium.

Als je dit soort fouten maakt, dan ga ik er eigenlijk al vanuit dat de rest van de security ook slecht geregeld is. En daarmee: ga er maar vanuit dat het niet versleuteld is.

maandag 8 juni 2020 14:06

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Ik raad toch aan om eens naar die site te mailen.
Ik denk dat ze toch wel graag hun security willen aanpassen, als je zulke zaken aan hun meldt.

[ Voor 31% gewijzigd door AW_Bos op 08-06-2020 14:07 ]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 8 juni 2020 14:06

Acties:

+4 Henk 'm!

DataGhost

iPL dev

Je moet gewoon nooit wachtwoorden hergebruiken. Elke keer dat jij je wachtwoord invoert op een website is een mogelijkheid voor die website, legitiem of niet, al dan niet gehackt, om jouw wachtwoord te onderscheppen, vaak in combinatie met je mailadres. Daarmee kan iemand waarschijnlijk je mailbox in of tenminste op een heleboel sites proberen of 'ie in kan loggen met die combinatie.

Als je overal een apart wachtwoord gebruikt maakt het eigenlijk niet eens uit of de website in kwestie het onversleuteld opslaat, de impact beperkt zich dan altijd alleen maar tot die website.

maandag 8 juni 2020 14:07

Acties:

0 Henk 'm!

sandpatt

Topicstarter

Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop. Hoe kan dit gecontroleerd worden?

[ Voor 6% gewijzigd door sandpatt op 08-06-2020 14:08 ]

maandag 8 juni 2020 14:09

Acties:

+1 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop.

Helaas hebben wij en jij geen inzicht in de achterliggende database en programmeercode.
Het beste is om je bevindingen naar hun toe te mailen, met argumentatie waarom je het graag anders ziet. Hopelijk doen ze er wat mee, en misschien belonen ze je nog wel met iets.

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 8 juni 2020 14:11

Acties:

0 Henk 'm!

DataGhost

iPL dev

sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop.

Dat kan je simpelweg niet afleiden aan de hand van alleen maar een mailtje. Dat zal je aan de webshop moeten vragen, en die gaan je dat hoogstwaarschijnlijk niet vertellen. Misschien dat ze wel aanpassingen doen en dat eventueel aan je melden.
De enige manier waarop je zeker kan weten dat het wel onversleuteld is opgeslagen (je kan niet zeker weten dat het niet onversleuteld is opgeslagen zonder dat ze dat letterlijk aan je vertellen) is om bij het inloggen aan te geven dat je je wachtwoord bent vergeten. Als ze je dan nogmaals een mailtje met je wachtwoord sturen weet je dat het onversleuteld is opgeslagen. Als je een linkje krijgt waar je een nieuw wachtwoord kan kiezen weet je niks.

En overal waar ik (of iedereen hier) "(on)versleuteld" zegt, wordt "(on)gehasht" bedoeld. Het doel van hashen is dat het eenrichting is, dus dat je het originele wachtwoord nooit terug kan rekenen uit de hash. Dat kan met versleuteling wel, en dat is dus "onveiliger".

maandag 8 juni 2020 14:11

Acties:

0 Henk 'm!

Puc van S.

Remz schreef op maandag 8 juni 2020 @ 14:04:
[...]

De site maakt meerdere fouten, ze maken het blijkbaar mogelijk om hun mail systeem het wachtwoord uit te laten lezen. Dus nog voordat het wachtwoord versleuteld is, is de mail al aangemaakt. Mogelijk dat daarna er toch nog versleuteling plaats vindt.

En daarmee: ga er maar vanuit dat het niet versleuteld is.

Hoe kom je hier nu weer op? De kans is groot dat het wachtwoord gewoon in een soort van string replace in een tekst gezet word welke vervolgens als geheel aan hun "mailsysteem" aangeboden word? Waarschijnlijk leest het mailsysteem helemaal niets uit, krijgt het gewoon een lap tekst/html binnen en verstuurd dat naar een emailadres.

Ik ben het met je eens dat het niet super is het wachtwoord in de mail te versturen maar om daar nu uit af te kunnen leiden dat het waarschijnlijk niet versleuteld is slaat nergens op natuurlijk.

[http://www.okbreijnen.nl] [Overwatch] [Cennahysh]

maandag 8 juni 2020 14:12

Acties:

0 Henk 'm!

Spierenburg

sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop. Hoe kan dit gecontroleerd worden?

Je kan en wilt dit niet bij elke shop gaan controleren.

1. Gebruik een uniek wachtwoord voor alles.
2. Gebruik 2-staps authenticatie wanneer het belangrijk is.

maandag 8 juni 2020 14:14

Acties:

+2 Henk 'm!

Exocet

Als je "wachtwoord vergeten" uitvoert op die site en vervolgens weer het wachtwoord plain text terugkrijgt, dan weet je genoeg, dan is het niet versleuteld.

maandag 8 juni 2020 14:18

Acties:

0 Henk 'm!

RenaldoN

Puc van S. schreef op maandag 8 juni 2020 @ 13:57:
[...]

Wat zou hier het probleem zijn? Had die site het wachtwoord encrypted naar jou door moeten sturen?

Of verwacht je nu dat die site zijn wachtwoorden unencrypted/hashed opgeslagen heeft? Dat laatste hoeft natuurlijk totaal niet, ze kunnen rustig de invoer die jij gedaan hebt voor het wachtwoord in de mail gezet hebben en encrypted/hashed opslaan.

Of ben je bang dat iemand het mail verkeer onderschept heeft?

[...]

ik denk dat het probleem sowieso al is dat je het wachtwoord in de mail krijg.
als je het wachtwoord al via een account hebt aangemaakt waarom zouden ze je wachtwoord dan nog moeten na mailen ?

en als ze alsnog een wachtwoord willen sturen per email dan zou dit voor mij altijd een wachtwoord moeten zjin wat je maar éénmalig kan gebruiken.

[ Voor 27% gewijzigd door RenaldoN op 08-06-2020 14:19 ]

maandag 8 juni 2020 14:20

Acties:

0 Henk 'm!

sandpatt

Topicstarter

Wachtwoord vergeten stuurt mij een link waar ik zelf een nieuw wachtwoord kan kiezen.

Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.

maandag 8 juni 2020 14:20

Acties:

+1 Henk 'm!

Opifex

Ik ben het absoluut niet eens met de reacties van hierboven die stellen dat dit geen beveiligingsrisico inhoudt.

Ik stel voor de website in te geven bij plaintextoffenders. Deze website is een soort "schandpaal" voor websites die het niet zo nauw nemen met de veiligheid van hun gebruikers door hun wachtwoorden in plain text op te slaan, of zoals bij jou: ze in plain text naar je te mailen.

maandag 8 juni 2020 14:23

Acties:

0 Henk 'm!

Puc van S.

sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Wachtwoord vergeten stuurt mij een link waar ik zelf een nieuw wachtwoord kan kiezen.

Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.

Nee dat hoeft helemaal niet zo te zijn, mails kunnen gerust vanaf een emailadres verstuurd worden zonder dat ze in een "outbox" of iets dergelijks terecht komen

[http://www.okbreijnen.nl] [Overwatch] [Cennahysh]

maandag 8 juni 2020 14:24

Acties:

+2 Henk 'm!

Remz

Puc van S. schreef op maandag 8 juni 2020 @ 14:11:
[...]

Hoe kom je hier nu weer op? De kans is groot dat het wachtwoord gewoon in een soort van string replace in een tekst gezet word welke vervolgens als geheel aan hun "mailsysteem" aangeboden word? Waarschijnlijk leest het mailsysteem helemaal niets uit, krijgt het gewoon een lap tekst/html binnen en verstuurd dat naar een emailadres.

Ik ben het met je eens dat het niet super is het wachtwoord in de mail te versturen maar om daar nu uit af te kunnen leiden dat het waarschijnlijk niet versleuteld is slaat nergens op natuurlijk.

Sorry, maar als je in de basis al fouten maakt zoals het wachtwoord versturen via mail, ben je bij mij al een groot deel vertrouwen verloren. Dus ja, ik ga er vanuit dat het wachtwoord dan niet versleuteld opgeslagen is. Ook ga ik er vanuit dat er misschien wel andere zaakjes niet in orde zijn. Het is echter niet eenvoudig (of niet mogelijk) om dat ook echt te toetsen, dus zorg ik er voor dat ik zelf eventuele schade kan beperken.

Dit is trouwens een OWASP Top 10: Sensitive Data Exposure fout, iets wat de gemiddelde web developer echt wel zou moeten voorkomen.

maandag 8 juni 2020 14:24

Acties:

0 Henk 'm!

DataGhost

iPL dev

sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.

Dat is 99,99999% zeker niet zo. Mail komt alleen maar in een map "Verzonden items" als het verzendende programma de mail daar in zet na het sturen. Dat is niet iets wat automatisch gaat, maar wel iets wat vrijwel elke mailclient automatisch doet. Ik kan me op geen enkele manier voorstellen dat de welkomstmail door zo'n standaard mailclient verstuurd wordt, in bijna alle gevallen is dat gewoon een script wat deel uitmaakt van de website. Deze sturen alleen maar de mail en zetten niks in een Verzonden-map. Waarschijnlijk weet dat script überhaupt niet eens dat die mailbox bestaat.

Sowieso, als het ongehasht is opgeslagen kan elke medewerker met toegang tot de database zomaar je username+wachtwoord zien. Daar ga je helemaal niks aan kunnen doen. Daarnaast, zoals ik eerder zei, elke medewerker of hacker met schrijftoegang tot de code van de website kan jouw username+wachtwoord afvangen op het moment dat jij inlogt en naar zichzelf doorsturen, of het nou gehasht in de database is opgeslagen of niet. Daar ga je ook helemaal niks aan kunnen doen. Daarom moet je dus je eigen damage control doen door overal een ander wachtwoord te gebruiken.

maandag 8 juni 2020 14:29

Acties:

0 Henk 'm!

DataGhost

iPL dev

Opifex schreef op maandag 8 juni 2020 @ 14:20:
Ik ben het absoluut niet eens met de reacties van hierboven die stellen dat dit geen beveiligingsrisico inhoudt.

Ik stel voor de website in te geven bij plaintextoffenders. Deze website is een soort "schandpaal" voor websites die het niet zo nauw nemen met de veiligheid van hun gebruikers door hun wachtwoorden in plain text op te slaan, of zoals bij jou: ze in plain text naar je te mailen.

Dat kan, maar die website is vooral opgekomen jaren geleden toen er veel wachtwoorden uitlekten (want plaintext) en dat grote impact had (want hergebruik door users). Als jij overal andere wachtwoorden gebruikt is de impact dus minimaal als er toch eentje uitlekt. Op het moment dat zo'n database uitlekt kan je ervan uitgaan dat de rest van de site ook al klaar is, dus je wachtwoord is dan eigenlijk niet eens interessant meer. En zoals ik al een paar keer heb gezegd is de database lang niet de enige aanvalsvector waarmee jouw wachtwoord in plaintext achterhaald kan worden. Het beveiligingsrisico is er dus wel, maar echt niet zo groot als je schetst als je je wachtwoordmanagement op orde hebt.

Eigenlijk is het nu tijd geworden voor iets als reuseoffenders.com voor mensen die hetzelfde wachtwoord op meerdere plekken gebruiken

maandag 8 juni 2020 14:34

Acties:

0 Henk 'm!

Opifex

DataGhost schreef op maandag 8 juni 2020 @ 14:29:

Dat kan, maar die website is vooral opgekomen jaren geleden toen er veel wachtwoorden uitlekten (want plaintext) en dat grote impact had (want hergebruik door users). Als jij overal andere wachtwoorden gebruikt is de impact dus minimaal als er toch eentje uitlekt. Op het moment dat zo'n database uitlekt kan je ervan uitgaan dat de rest van de site ook al klaar is, dus je wachtwoord is dan eigenlijk niet eens interessant meer. En zoals ik al een paar keer heb gezegd is de database lang niet de enige aanvalsvector waarmee jouw wachtwoord in plaintext achterhaald kan worden. Het beveiligingsrisico is er dus wel, maar echt niet zo groot als je schetst als je je wachtwoordmanagement op orde hebt.

Eigenlijk is het nu tijd geworden voor iets als reuseoffenders.com voor mensen die hetzelfde wachtwoord op meerdere plekken gebruiken

"We zijn beginnen vaccineren voor Polio in een tijd dat er nog veel slachtoffers vielen door Polio. Ondertussen hebben we bijna geen gevallen meer, dus kunnen we evengoed stoppen met vaccineren"

Beetje zelfde redenering. Uiteraard ligt de grootste verantwoordelijkheid bij de gebruiker die er gewoon voor moet zorgen dat hij zijn eigen wachtwoorden op orde heeft. Maar dat wil niet zeggen dat webbeheerders hun website niet meer moeten beveiligen...

maandag 8 juni 2020 14:39

Acties:

0 Henk 'm!

DataGhost

iPL dev

Dat is een vreemde analogie. Maar hoe ga jij je beschermen tegen een malafide websitebeheerder of een gehackte website die jouw wachtwoord gewoon in de code onderschept? Daar gaat geen https, encryptie of hashing tegen helpen. Om in je analogie te blijven is het niet hergebruiken van wachtwoorden het vaccin, en is het gehasht opslaan van wachtwoorden slechts een paracetamolletje. Beide zorgen voor minder symptomen maar alleen het vaccin biedt de beste beveiliging.

Edit: je vertelt letterlijk een van je grote geheimen aan iedereen die er om vraagt (wil je alsjeblieft een account maken?) en verwacht dat iedereen dat geheim houdt.

[ Voor 15% gewijzigd door DataGhost op 08-06-2020 14:46 ]

maandag 8 juni 2020 14:43

Acties:

0 Henk 'm!

Falcon

DevOps/Q.A. Engineer

Had er al iemand contact gehad met de desbetreffende websitebeheerder?

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

maandag 8 juni 2020 14:45

Acties:

0 Henk 'm!

Anoniem: 316512

1) Wijzig je wachtwoord (heb je al gedaan dus?)
2) Zoek een andere webshop die het beter regelt
3) Als je tijd teveel hebt ga je het aan de webshop melden en hoop je dat ze een oplossing gaan regelen

maandag 8 juni 2020 14:47

Acties:

0 Henk 'm!

peize9

Welke webshop was het?

Het is verre van best practice om wachtwoorden te mailen die je zelf al moest ingeven, zeg maar gerust dat het gewoon niet mag gebeuren. De mail zal waarschijnlijk tijdens dezelfde post zijn verstuurd en daarna vergeten zijn, althans meer dat ik het hoop).

Ik vraag me dan af of het wachtwoord ook encrypted is en niet hashed. Plain text zal het vast niet zijn.

Best practice is om een hash(SHA3-512 of blowfish) te gebruiken met zout en peper. Ik denk iig niet dat ze dat gebruiken.

Als ik dit tegen kwam zou ik iig niet verder bestellen bij de webshop, als je systeem zo gedateerd is en je zo slecht met de data van je klanten om gaat dan verdien je mij als klant niet.

Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying. ― Arthur C. Clarke

maandag 8 juni 2020 14:53

Acties:

0 Henk 'm!

sandpatt

Topicstarter

Het was zeker niet mijn bedoeling om een discussie te ontketenen tussen wie verantwoordelijk is voor de veiligheid.
Ik besef zeer goed dat het dom was om een gebruikt paswoord in te geven, maar goed.

Ik vroeg me gewoon af hoe veilig het was, maar ik concludeer dat het eigenlijk erg moeilijk te bepalen is.

Het was geen grote webshop. Een lokale sportwinkel die zijn producten ook via een webshop aanbiedt en waar ik een giftcard wou kopen voor de verjaardag van mijn zus.

maandag 8 juni 2020 15:15

Acties:

0 Henk 'm!

Droefsnoet

AW_Bos schreef op maandag 8 juni 2020 @ 14:06:
Ik raad toch aan om eens naar die site te mailen.
Ik denk dat ze toch wel graag hun security willen aanpassen, als je zulke zaken aan hun meldt.

Falcon schreef op maandag 8 juni 2020 @ 14:43:
Had er al iemand contact gehad met de desbetreffende websitebeheerder?

Dikke kans dat de webshop een aangekocht (of misschien zelfs gratis) stukje software is waar de websitebeheerder verder geen ene snars van snapt. Het enige wat die doet is producten toevoegen en klaar.

Nu weet ik dat tweakers geen enkele klantervaring hebben, dus geloof me, iemand overtuigen dat die zijn site moet updaten is ontzettend moeilijk. Ik kon dat al niet toen ik bij een hostingbedrijf werkte en ik in 2016 nog steeds tegen klanten moest zeggen dat Frontpage al 10 jaar niet meer is bijgewerkt, laat staan dat je als (eenmalige) klant gaat mailen dat iemand zijn webshop software moet bijwerken/vervangen.

maandag 8 juni 2020 15:43

Acties:

0 Henk 'm!

u_nix_we_all

Ook als het wachtwoord wel na het mailen gehashed wordt opgeslagen is er nog een klein risico, wat als je per ongeluk een typo hebt gemaakt in het mailadres ? Dan krijgt iemand anders misschien de mail met inloggegevens en het juiste wachtwoord

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

maandag 8 juni 2020 15:58

Acties:

+1 Henk 'm!

Gomez12

Het is toch best wel grappig hoe hier het probleem benoemd wordt..

Het daadwerkelijke probleem is de gebruiker die wachtwoorden hergebruikt.
Door dat probleem is de kromme situatie ontstaan dat zelfs de gebruiker zelf niet meer zijn eigen wachtwoord mag terughalen.
Los je dat probleem op, dan kan je naar veel gebruiksvriendelijker systemen die gewoon veel meer kunnen met wachtwoorden... Aangezien het gemiddelde wachtwoord op zichzelf niets waar is, alleen door hergebruik is het veel waard.

maandag 8 juni 2020 16:51

Acties:

0 Henk 'm!

Falcon

DevOps/Q.A. Engineer

Gomez12 schreef op maandag 8 juni 2020 @ 15:58:
Het is toch best wel grappig hoe hier het probleem benoemd wordt..

Het daadwerkelijke probleem is de gebruiker die wachtwoorden hergebruikt.
Door dat probleem is de kromme situatie ontstaan dat zelfs de gebruiker zelf niet meer zijn eigen wachtwoord mag terughalen.
Los je dat probleem op, dan kan je naar veel gebruiksvriendelijker systemen die gewoon veel meer kunnen met wachtwoorden... Aangezien het gemiddelde wachtwoord op zichzelf niets waar is, alleen door hergebruik is het veel waard.

Het zegt iets over security awareness van de developer(s) die dit gebouwd heeft. Als we verder zouden zoeken, komt er vast nog meer boven water.

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

maandag 8 juni 2020 17:06

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Wachtwoord vergeten stuurt mij een link waar ik zelf een nieuw wachtwoord kan kiezen.

Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.

Niet per sé. info@ kan gewoon een bestaande mailbox zijn, maar ondanks dat hoeft de mail niet in de outbox van die mailbox te staan. De mail wordt gewoon via een achterliggend process van webservice rechtstreeks aangenboden aan een SMTP service welke de boel verzend. Het gaat dan niet eerst naar een mailserver, die het netjes in een box plaatst. Het is meer een fire and forget service.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zondag 14 juni 2020 13:06

Acties:

0 Henk 'm!

kodak

FP ProMod

@sandpatt Zoals je kan lezen zijn er genoeg risico's voor de winkel en voor de klanten. Vermoedelijk weet de winkel dat niet omdat het niet hun werk lijkt om websites te maken. Je kan de winkel de vraag stellen of ze weten dat hun website dit doet. Met de extra vragen of de wachtwoorden dan niet ergens leesbaar opgeslagen worden, zoals bij verzonden mail of in een database. En hoe de winkel zorgt dat alleen de klant het wachtwoord weet als mail niet geschikt is om wachtwoorden of persoonsgegevens te verzenden.

[ Voor 3% gewijzigd door kodak op 14-06-2020 13:08 ]

zondag 14 juni 2020 13:24

Acties:

0 Henk 'm!

DutchKel

Dit gebeurde vroeger vaker dan tegenwoordig (dat direct na een aanmelding het wachtwoord direct wordt doorgestuurd naar het ingevulde e-mail adres). De reden erachter weet ik niet. Overigens was er vaak maar 1 lek en dat is dat de e-mail mogelijk onderschept werd, al is die kans ook erg klein. Het wachtwoord werd in de meeste gevallen gewoon encrypted opgeslagen en stond ook niet in een verzonden items mailbox aangezien de server deze e-mails verstuurde en dit niet via een aparte client gebeurde.

Mogelijk was de reden dat mensen sporadisch bestellingen doen en het omslachtig is om een nieuw wachtwoord aan te vragen. Het is makkelijker om het wachtwoord op te zoeken in je eigen mailbox.

Ik zie hier niet direct een veiligheidsrisico in. Zelf heb ik vroeger ook zulke dingen gemaakt waarin het wachtwoord direct voordat deze in de database encrypted wordt opgeslagen via de e-mail is verstuurd. Het was een stukje klantvriendelijkheid. Tegenwoordig is het meer not done omdat mailboxen ook worden overgenomen.

Don't drive faster than your guardian angel can fly.

zondag 14 juni 2020 13:42

Acties:

0 Henk 'm!

Xander

sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Ik neem aan dat je niet (alleen) het wachtwoord bij deze webshop hebt gewijzigd, maar juist het wachtwoord op alle andere websites waar je ditzelfde wachtwoord gebruikt?

sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.

Het lijkt me niet het meest rampzalige scenario dat een medewerker van die winkel toegang kan krijgen tot je webshop account. Het wordt juist vervelend als ze met die informatie toegang hebben tot andere zaken.

Sterker nog, afhankelijk van de webshop interesseert het me ook vrij weinig als derden het wachtwoorden zouden kunnen achterhalen. Bijvoorbeeld bij webshops die pas verzenden na vooraf betalen kan iemand naar mijn idee weinig kwaad doen. Daarvoor gebruik ik nou ook niet echt de sterkste wachtwoorden, die ik ieder kwartaal wijzig, ofzo... Laat een hacker maar lekker door mijn bestelgeschiedenis bladeren.

Het grotere probleem komt door het hergebruik van wachtwoorden, dit doe ik daarom nergens.

Bij winkels die achteraf betalen aanbieden, of die een betaalmethode zoals automatische incasso of creditcards in je account opslaan, wordt het natuurlijk vervelender als ze je account misbruiken. Al helemaal als het mogelijk is om naar een onbekend adres te verzenden en daarbij één van die betaalmethoden te gebruiken.

[ Voor 10% gewijzigd door Xander op 14-06-2020 13:45 ]

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

Pagina: 1

Reageer