Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Wachtwoord in plain text bij bevestingsmail

Pagina: 1
Acties:

Acties:
  • 0Henk 'm!

  • sandpatt
  • Registratie: november 2014
  • Laatst online: 21:23
Hallo,

Zonet heb ik een account moeten maken op een website waar ik iets wou bestellen.
Zoals zo vaak krijg je hierna een bevestigingsmail (welkom bij....)

In deze mail staan in plain text zowel mijn gebruikersnaam als mijn wachtwoord.

"Gebruik de volgende gegevens om in te loggen:"

Ik stel me hier serieus de vraag hoe veilig zoiets is? Vooral omdat ik het gekozen wachtwoord ook op andere sites gebruik (ik weet het, niet zo veilig...)

Iemand die hier raad mee weet?

Acties:
  • 0Henk 'm!

  • vegetoot
  • Registratie: maart 2008
  • Laatst online: 20:17
Geen expert hier, maar ik kan me voorstellen dat de herkomst van het wachtwoord dat je gemaild hebt gekregen wel van belang is voor de beantwoording van de vraag: had je dit wachtwoord zelf al ergens ingegeven, of is het een gegenereerd wachtwoord dat bij eerste keer inloggen gewijzigd moet worden?

Acties:
  • +3Henk 'm!

  • Remz
  • Registratie: mei 2008
  • Laatst online: 23:11
Dat is een redelijk sterke hint naar dat het niet versleuteld wordt opgeslagen.
Zo snel mogelijk dat wachtwoord wijzigen en voortaan een wachtwoordmanager gaan gebruiken.

Acties:
  • +1Henk 'm!

  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 01:22

AW_Bos

Waar ga je heen? ☀

Dan wis je toch de mail, en sla je het password op in je passwordmanager?
En waarom gebruik je een wachtwoord die je al op andere sites gebruikt?

Waar ga je heen?


Acties:
  • +3Henk 'm!

  • Puc van S.
  • Registratie: maart 2002
  • Laatst online: 16:39
sandpatt schreef op maandag 8 juni 2020 @ 13:53:
Hallo,

Zonet heb ik een account moeten maken op een website waar ik iets wou bestellen.
Zoals zo vaak krijg je hierna een bevestigingsmail (welkom bij....)

In deze mail staan in plain text zowel mijn gebruikersnaam als mijn wachtwoord.

"Gebruik de volgende gegevens om in te loggen:"

Ik stel me hier serieus de vraag hoe veilig zoiets is? Vooral omdat ik het gekozen wachtwoord ook op andere sites gebruik (ik weet het, niet zo veilig...)

Iemand die hier raad mee weet?
Wat zou hier het probleem zijn? Had die site het wachtwoord encrypted naar jou door moeten sturen?

Of verwacht je nu dat die site zijn wachtwoorden unencrypted/hashed opgeslagen heeft? Dat laatste hoeft natuurlijk totaal niet, ze kunnen rustig de invoer die jij gedaan hebt voor het wachtwoord in de mail gezet hebben en encrypted/hashed opslaan.

Of ben je bang dat iemand het mail verkeer onderschept heeft?
Remz schreef op maandag 8 juni 2020 @ 13:56:
Dat is een redelijk sterke hint naar dat het niet versleuteld wordt opgeslagen.
Zo snel mogelijk dat wachtwoord wijzigen en voortaan een wachtwoordmanager gaan gebruiken.
Hoezo is didt een sterke hint dat het niet versleuteld opgeslagen word?

[Voor 15% gewijzigd door Puc van S. op 08-06-2020 13:58]

[http://www.okbreijnen.nl] [Overwatch] [Cennahysh]


Acties:
  • +1Henk 'm!

  • Rannasha
  • Registratie: januari 2002
  • Laatst online: 00:13

Rannasha

aka "Species5618"

In principe is het mogelijk dat de website in het script dat het aanmaken van het account afhandelt zowel de bevestigingsemail verstuurt als het wachtwoord hasht en in de DB opslaat.

Het is geen goed idee om een wachtwoord in plain text over de email te sturen, maar het is niet noodzakelijkerwijs een indicatie dat de website het wachtwoord niet op de juiste manier opslaat.

|| Vierkant voor Wiskunde ||


Acties:
  • +2Henk 'm!

  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 01:22

AW_Bos

Waar ga je heen? ☀

Remz schreef op maandag 8 juni 2020 @ 13:56:
Dat is een redelijk sterke hint naar dat het niet versleuteld wordt opgeslagen.
Dat zegt nog niets over niet-versleuteld opslaan. De invoer wordt blijkbaar gewoon gemaild per mail.

Persoonlijk vind ik dit de beste flow voor een webshop:

- Gebruiker maakt account aan
- Bepaalt zelf zijn wachtwoord, zolang deze sterk is.
- Niet het wachtwoord mailen, wel bevestigingslink voor account.

[Voor 29% gewijzigd door AW_Bos op 08-06-2020 14:00]

Waar ga je heen?


Acties:
  • 0Henk 'm!

  • reddevil001
  • Registratie: januari 2002
  • Laatst online: 19-06 21:48
Het zou als volgt moeten werken.
1. Account inclusief wachtwoord aanmaken op de website.
2. Daarna mailtje met eventueel bevestigingslink (maar in ieder geval zonder wachtwoord).

None


Acties:
  • +11Henk 'm!

  • u_nix_we_all
  • Registratie: augustus 2002
  • Niet online
Het grootste probleem zit bij jezelf. In alle adviezen over veilig internetten wordt erop gehamerd om niet overal hetzelfde wchtwoord te gebruiken.

Acties:
  • +1Henk 'm!

  • Remz
  • Registratie: mei 2008
  • Laatst online: 23:11
AW_Bos schreef op maandag 8 juni 2020 @ 13:58:
[...]

Dat zegt nog niets over niet-versleuteld opslaan. De invoer wordt blijkbaar gewoon gemaild per mail.

Persoonlijk vind ik dit de beste flow voor een webshop:

- Gebruiker maakt account aan
- Bepaalt zelf zijn wachtwoord, zolang deze sterk is.
- Niet het wachtwoord mailen, wel bevestigingslink voor account.
Eens, daarom zei ik ook sterke hint.
De site maakt meerdere fouten, ze maken het blijkbaar mogelijk om hun mail systeem het wachtwoord uit te laten lezen. Dus nog voordat het wachtwoord versleuteld is, is de mail al aangemaakt. Mogelijk dat daarna er toch nog versleuteling plaats vindt.
Daarnaast sturen ze het wachtwoord per mail op, plain text, mail is geen veilig medium.

Als je dit soort fouten maakt, dan ga ik er eigenlijk al vanuit dat de rest van de security ook slecht geregeld is. En daarmee: ga er maar vanuit dat het niet versleuteld is.

Acties:
  • 0Henk 'm!

  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 01:22

AW_Bos

Waar ga je heen? ☀

Ik raad toch aan om eens naar die site te mailen.
Ik denk dat ze toch wel graag hun security willen aanpassen, als je zulke zaken aan hun meldt. :)

[Voor 31% gewijzigd door AW_Bos op 08-06-2020 14:07]

Waar ga je heen?


Acties:
  • +4Henk 'm!

  • DataGhost
  • Registratie: augustus 2003
  • Laatst online: 19:47

DataGhost

iPL dev

Je moet gewoon nooit wachtwoorden hergebruiken. Elke keer dat jij je wachtwoord invoert op een website is een mogelijkheid voor die website, legitiem of niet, al dan niet gehackt, om jouw wachtwoord te onderscheppen, vaak in combinatie met je mailadres. Daarmee kan iemand waarschijnlijk je mailbox in of tenminste op een heleboel sites proberen of 'ie in kan loggen met die combinatie.

Als je overal een apart wachtwoord gebruikt maakt het eigenlijk niet eens uit of de website in kwestie het onversleuteld opslaat, de impact beperkt zich dan altijd alleen maar tot die website.

Acties:
  • 0Henk 'm!

  • sandpatt
  • Registratie: november 2014
  • Laatst online: 21:23
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop. Hoe kan dit gecontroleerd worden?

[Voor 6% gewijzigd door sandpatt op 08-06-2020 14:08]


Acties:
  • +1Henk 'm!

  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 01:22

AW_Bos

Waar ga je heen? ☀

sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop.
Helaas hebben wij en jij geen inzicht in de achterliggende database en programmeercode.
Het beste is om je bevindingen naar hun toe te mailen, met argumentatie waarom je het graag anders ziet. Hopelijk doen ze er wat mee, en misschien belonen ze je nog wel met iets.

Waar ga je heen?


Acties:
  • 0Henk 'm!

  • DataGhost
  • Registratie: augustus 2003
  • Laatst online: 19:47

DataGhost

iPL dev

sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop.
Dat kan je simpelweg niet afleiden aan de hand van alleen maar een mailtje. Dat zal je aan de webshop moeten vragen, en die gaan je dat hoogstwaarschijnlijk niet vertellen. Misschien dat ze wel aanpassingen doen en dat eventueel aan je melden.
De enige manier waarop je zeker kan weten dat het wel onversleuteld is opgeslagen (je kan niet zeker weten dat het niet onversleuteld is opgeslagen zonder dat ze dat letterlijk aan je vertellen) is om bij het inloggen aan te geven dat je je wachtwoord bent vergeten. Als ze je dan nogmaals een mailtje met je wachtwoord sturen weet je dat het onversleuteld is opgeslagen. Als je een linkje krijgt waar je een nieuw wachtwoord kan kiezen weet je niks.

En overal waar ik (of iedereen hier) "(on)versleuteld" zegt, wordt "(on)gehasht" bedoeld. Het doel van hashen is dat het eenrichting is, dus dat je het originele wachtwoord nooit terug kan rekenen uit de hash. Dat kan met versleuteling wel, en dat is dus "onveiliger".

Acties:
  • 0Henk 'm!

  • Puc van S.
  • Registratie: maart 2002
  • Laatst online: 16:39
Remz schreef op maandag 8 juni 2020 @ 14:04:
[...]

De site maakt meerdere fouten, ze maken het blijkbaar mogelijk om hun mail systeem het wachtwoord uit te laten lezen. Dus nog voordat het wachtwoord versleuteld is, is de mail al aangemaakt. Mogelijk dat daarna er toch nog versleuteling plaats vindt.

En daarmee: ga er maar vanuit dat het niet versleuteld is.
Hoe kom je hier nu weer op? De kans is groot dat het wachtwoord gewoon in een soort van string replace in een tekst gezet word welke vervolgens als geheel aan hun "mailsysteem" aangeboden word? Waarschijnlijk leest het mailsysteem helemaal niets uit, krijgt het gewoon een lap tekst/html binnen en verstuurd dat naar een emailadres.

Ik ben het met je eens dat het niet super is het wachtwoord in de mail te versturen maar om daar nu uit af te kunnen leiden dat het waarschijnlijk niet versleuteld is slaat nergens op natuurlijk.

[http://www.okbreijnen.nl] [Overwatch] [Cennahysh]


Acties:
  • 0Henk 'm!

  • Spierenburg
  • Registratie: maart 2010
  • Laatst online: 14-06 13:03
sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.

Maar toch stel ik mij de vraag hoe veilig dit allemaal is langs de kant van de webshop. Hoe kan dit gecontroleerd worden?
Je kan en wilt dit niet bij elke shop gaan controleren.

1. Gebruik een uniek wachtwoord voor alles.
2. Gebruik 2-staps authenticatie wanneer het belangrijk is.

Acties:
  • +2Henk 'm!

  • Exocet
  • Registratie: januari 2001
  • Niet online
Als je "wachtwoord vergeten" uitvoert op die site en vervolgens weer het wachtwoord plain text terugkrijgt, dan weet je genoeg, dan is het niet versleuteld.

Acties:
  • 0Henk 'm!

  • RenaldoN
  • Registratie: november 2007
  • Laatst online: 22:56
Puc van S. schreef op maandag 8 juni 2020 @ 13:57:
[...]


Wat zou hier het probleem zijn? Had die site het wachtwoord encrypted naar jou door moeten sturen?

Of verwacht je nu dat die site zijn wachtwoorden unencrypted/hashed opgeslagen heeft? Dat laatste hoeft natuurlijk totaal niet, ze kunnen rustig de invoer die jij gedaan hebt voor het wachtwoord in de mail gezet hebben en encrypted/hashed opslaan.

Of ben je bang dat iemand het mail verkeer onderschept heeft?

[...]
ik denk dat het probleem sowieso al is dat je het wachtwoord in de mail krijg.
als je het wachtwoord al via een account hebt aangemaakt waarom zouden ze je wachtwoord dan nog moeten na mailen ?

en als ze alsnog een wachtwoord willen sturen per email dan zou dit voor mij altijd een wachtwoord moeten zjin wat je maar éénmalig kan gebruiken.

[Voor 27% gewijzigd door RenaldoN op 08-06-2020 14:19]


Acties:
  • 0Henk 'm!

  • sandpatt
  • Registratie: november 2014
  • Laatst online: 21:23
Wachtwoord vergeten stuurt mij een link waar ik zelf een nieuw wachtwoord kan kiezen.

Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.

Acties:
  • +1Henk 'm!

  • Opifex
  • Registratie: september 2013
  • Laatst online: 17-06 22:14
Ik ben het absoluut niet eens met de reacties van hierboven die stellen dat dit geen beveiligingsrisico inhoudt.

Ik stel voor de website in te geven bij plaintextoffenders. Deze website is een soort "schandpaal" voor websites die het niet zo nauw nemen met de veiligheid van hun gebruikers door hun wachtwoorden in plain text op te slaan, of zoals bij jou: ze in plain text naar je te mailen.

Acties:
  • 0Henk 'm!

  • Puc van S.
  • Registratie: maart 2002
  • Laatst online: 16:39
sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Wachtwoord vergeten stuurt mij een link waar ik zelf een nieuw wachtwoord kan kiezen.

Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.
Nee dat hoeft helemaal niet zo te zijn, mails kunnen gerust vanaf een emailadres verstuurd worden zonder dat ze in een "outbox" of iets dergelijks terecht komen

[http://www.okbreijnen.nl] [Overwatch] [Cennahysh]


Acties:
  • +2Henk 'm!

  • Remz
  • Registratie: mei 2008
  • Laatst online: 23:11
Puc van S. schreef op maandag 8 juni 2020 @ 14:11:
[...]


Hoe kom je hier nu weer op? De kans is groot dat het wachtwoord gewoon in een soort van string replace in een tekst gezet word welke vervolgens als geheel aan hun "mailsysteem" aangeboden word? Waarschijnlijk leest het mailsysteem helemaal niets uit, krijgt het gewoon een lap tekst/html binnen en verstuurd dat naar een emailadres.

Ik ben het met je eens dat het niet super is het wachtwoord in de mail te versturen maar om daar nu uit af te kunnen leiden dat het waarschijnlijk niet versleuteld is slaat nergens op natuurlijk.
Sorry, maar als je in de basis al fouten maakt zoals het wachtwoord versturen via mail, ben je bij mij al een groot deel vertrouwen verloren. Dus ja, ik ga er vanuit dat het wachtwoord dan niet versleuteld opgeslagen is. Ook ga ik er vanuit dat er misschien wel andere zaakjes niet in orde zijn. Het is echter niet eenvoudig (of niet mogelijk) om dat ook echt te toetsen, dus zorg ik er voor dat ik zelf eventuele schade kan beperken.

Dit is trouwens een OWASP Top 10: Sensitive Data Exposure fout, iets wat de gemiddelde web developer echt wel zou moeten voorkomen.

Acties:
  • 0Henk 'm!

  • DataGhost
  • Registratie: augustus 2003
  • Laatst online: 19:47

DataGhost

iPL dev

sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.
Dat is 99,99999% zeker niet zo. Mail komt alleen maar in een map "Verzonden items" als het verzendende programma de mail daar in zet na het sturen. Dat is niet iets wat automatisch gaat, maar wel iets wat vrijwel elke mailclient automatisch doet. Ik kan me op geen enkele manier voorstellen dat de welkomstmail door zo'n standaard mailclient verstuurd wordt, in bijna alle gevallen is dat gewoon een script wat deel uitmaakt van de website. Deze sturen alleen maar de mail en zetten niks in een Verzonden-map. Waarschijnlijk weet dat script überhaupt niet eens dat die mailbox bestaat.

Sowieso, als het ongehasht is opgeslagen kan elke medewerker met toegang tot de database zomaar je username+wachtwoord zien. Daar ga je helemaal niks aan kunnen doen. Daarnaast, zoals ik eerder zei, elke medewerker of hacker met schrijftoegang tot de code van de website kan jouw username+wachtwoord afvangen op het moment dat jij inlogt en naar zichzelf doorsturen, of het nou gehasht in de database is opgeslagen of niet. Daar ga je ook helemaal niks aan kunnen doen. Daarom moet je dus je eigen damage control doen door overal een ander wachtwoord te gebruiken.

Acties:
  • 0Henk 'm!

  • DataGhost
  • Registratie: augustus 2003
  • Laatst online: 19:47

DataGhost

iPL dev

Opifex schreef op maandag 8 juni 2020 @ 14:20:
Ik ben het absoluut niet eens met de reacties van hierboven die stellen dat dit geen beveiligingsrisico inhoudt.

Ik stel voor de website in te geven bij plaintextoffenders. Deze website is een soort "schandpaal" voor websites die het niet zo nauw nemen met de veiligheid van hun gebruikers door hun wachtwoorden in plain text op te slaan, of zoals bij jou: ze in plain text naar je te mailen.
Dat kan, maar die website is vooral opgekomen jaren geleden toen er veel wachtwoorden uitlekten (want plaintext) en dat grote impact had (want hergebruik door users). Als jij overal andere wachtwoorden gebruikt is de impact dus minimaal als er toch eentje uitlekt. Op het moment dat zo'n database uitlekt kan je ervan uitgaan dat de rest van de site ook al klaar is, dus je wachtwoord is dan eigenlijk niet eens interessant meer. En zoals ik al een paar keer heb gezegd is de database lang niet de enige aanvalsvector waarmee jouw wachtwoord in plaintext achterhaald kan worden. Het beveiligingsrisico is er dus wel, maar echt niet zo groot als je schetst als je je wachtwoordmanagement op orde hebt.

Eigenlijk is het nu tijd geworden voor iets als reuseoffenders.com voor mensen die hetzelfde wachtwoord op meerdere plekken gebruiken :+

Acties:
  • 0Henk 'm!

  • Opifex
  • Registratie: september 2013
  • Laatst online: 17-06 22:14
DataGhost schreef op maandag 8 juni 2020 @ 14:29:

Dat kan, maar die website is vooral opgekomen jaren geleden toen er veel wachtwoorden uitlekten (want plaintext) en dat grote impact had (want hergebruik door users). Als jij overal andere wachtwoorden gebruikt is de impact dus minimaal als er toch eentje uitlekt. Op het moment dat zo'n database uitlekt kan je ervan uitgaan dat de rest van de site ook al klaar is, dus je wachtwoord is dan eigenlijk niet eens interessant meer. En zoals ik al een paar keer heb gezegd is de database lang niet de enige aanvalsvector waarmee jouw wachtwoord in plaintext achterhaald kan worden. Het beveiligingsrisico is er dus wel, maar echt niet zo groot als je schetst als je je wachtwoordmanagement op orde hebt.

Eigenlijk is het nu tijd geworden voor iets als reuseoffenders.com voor mensen die hetzelfde wachtwoord op meerdere plekken gebruiken :+
"We zijn beginnen vaccineren voor Polio in een tijd dat er nog veel slachtoffers vielen door Polio. Ondertussen hebben we bijna geen gevallen meer, dus kunnen we evengoed stoppen met vaccineren"

Beetje zelfde redenering. Uiteraard ligt de grootste verantwoordelijkheid bij de gebruiker die er gewoon voor moet zorgen dat hij zijn eigen wachtwoorden op orde heeft. Maar dat wil niet zeggen dat webbeheerders hun website niet meer moeten beveiligen...

Acties:
  • 0Henk 'm!

  • DataGhost
  • Registratie: augustus 2003
  • Laatst online: 19:47

DataGhost

iPL dev

Dat is een vreemde analogie. Maar hoe ga jij je beschermen tegen een malafide websitebeheerder of een gehackte website die jouw wachtwoord gewoon in de code onderschept? Daar gaat geen https, encryptie of hashing tegen helpen. Om in je analogie te blijven is het niet hergebruiken van wachtwoorden het vaccin, en is het gehasht opslaan van wachtwoorden slechts een paracetamolletje. Beide zorgen voor minder symptomen maar alleen het vaccin biedt de beste beveiliging.

Edit: je vertelt letterlijk een van je grote geheimen aan iedereen die er om vraagt (wil je alsjeblieft een account maken?) en verwacht dat iedereen dat geheim houdt.

[Voor 15% gewijzigd door DataGhost op 08-06-2020 14:46]


Acties:
  • 0Henk 'm!

  • Falcon
  • Registratie: februari 2000
  • Laatst online: 15:09

Falcon

Q.A. Engineer (.net/azure)

Had er al iemand contact gehad met de desbetreffende websitebeheerder?

"You never come second by putting other people first"


Acties:
  • 0Henk 'm!

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Laatst online: 16:20
1) Wijzig je wachtwoord (heb je al gedaan dus?)
2) Zoek een andere webshop die het beter regelt
3) Als je tijd teveel hebt ga je het aan de webshop melden en hoop je dat ze een oplossing gaan regelen

Acties:
  • 0Henk 'm!

  • peize9
  • Registratie: juni 2012
  • Laatst online: 21-06 03:27
Welke webshop was het?

Het is verre van best practice om wachtwoorden te mailen die je zelf al moest ingeven, zeg maar gerust dat het gewoon niet mag gebeuren. De mail zal waarschijnlijk tijdens dezelfde post zijn verstuurd en daarna vergeten zijn, althans meer dat ik het hoop).

Ik vraag me dan af of het wachtwoord ook encrypted is en niet hashed. Plain text zal het vast niet zijn.

Best practice is om een hash(SHA3-512 of blowfish) te gebruiken met zout en peper. Ik denk iig niet dat ze dat gebruiken.

Als ik dit tegen kwam zou ik iig niet verder bestellen bij de webshop, als je systeem zo gedateerd is en je zo slecht met de data van je klanten om gaat dan verdien je mij als klant niet.

Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying. ― Arthur C. Clarke


Acties:
  • 0Henk 'm!

  • sandpatt
  • Registratie: november 2014
  • Laatst online: 21:23
Het was zeker niet mijn bedoeling om een discussie te ontketenen tussen wie verantwoordelijk is voor de veiligheid.
Ik besef zeer goed dat het dom was om een gebruikt paswoord in te geven, maar goed.

Ik vroeg me gewoon af hoe veilig het was, maar ik concludeer dat het eigenlijk erg moeilijk te bepalen is.

Het was geen grote webshop. Een lokale sportwinkel die zijn producten ook via een webshop aanbiedt en waar ik een giftcard wou kopen voor de verjaardag van mijn zus.

Acties:
  • 0Henk 'm!

  • Droefsnoet
  • Registratie: augustus 2011
  • Laatst online: 15-03 12:44
AW_Bos schreef op maandag 8 juni 2020 @ 14:06:
Ik raad toch aan om eens naar die site te mailen.
Ik denk dat ze toch wel graag hun security willen aanpassen, als je zulke zaken aan hun meldt. :)
Falcon schreef op maandag 8 juni 2020 @ 14:43:
Had er al iemand contact gehad met de desbetreffende websitebeheerder?
Dikke kans dat de webshop een aangekocht (of misschien zelfs gratis) stukje software is waar de websitebeheerder verder geen ene snars van snapt. Het enige wat die doet is producten toevoegen en klaar.

Nu weet ik dat tweakers geen enkele klantervaring hebben, dus geloof me, iemand overtuigen dat die zijn site moet updaten is ontzettend moeilijk. Ik kon dat al niet toen ik bij een hostingbedrijf werkte en ik in 2016 nog steeds tegen klanten moest zeggen dat Frontpage al 10 jaar niet meer is bijgewerkt, laat staan dat je als (eenmalige) klant gaat mailen dat iemand zijn webshop software moet bijwerken/vervangen.

Acties:
  • 0Henk 'm!

  • u_nix_we_all
  • Registratie: augustus 2002
  • Niet online
Ook als het wachtwoord wel na het mailen gehashed wordt opgeslagen is er nog een klein risico, wat als je per ongeluk een typo hebt gemaakt in het mailadres ? Dan krijgt iemand anders misschien de mail met inloggegevens en het juiste wachtwoord :P

Acties:
  • +1Henk 'm!

  • Gomez12
  • Registratie: maart 2001
  • Laatst online: 01-04 12:22
Het is toch best wel grappig hoe hier het probleem benoemd wordt..

Het daadwerkelijke probleem is de gebruiker die wachtwoorden hergebruikt.
Door dat probleem is de kromme situatie ontstaan dat zelfs de gebruiker zelf niet meer zijn eigen wachtwoord mag terughalen.
Los je dat probleem op, dan kan je naar veel gebruiksvriendelijker systemen die gewoon veel meer kunnen met wachtwoorden... Aangezien het gemiddelde wachtwoord op zichzelf niets waar is, alleen door hergebruik is het veel waard.

Acties:
  • 0Henk 'm!

  • Falcon
  • Registratie: februari 2000
  • Laatst online: 15:09

Falcon

Q.A. Engineer (.net/azure)

Gomez12 schreef op maandag 8 juni 2020 @ 15:58:
Het is toch best wel grappig hoe hier het probleem benoemd wordt..

Het daadwerkelijke probleem is de gebruiker die wachtwoorden hergebruikt.
Door dat probleem is de kromme situatie ontstaan dat zelfs de gebruiker zelf niet meer zijn eigen wachtwoord mag terughalen.
Los je dat probleem op, dan kan je naar veel gebruiksvriendelijker systemen die gewoon veel meer kunnen met wachtwoorden... Aangezien het gemiddelde wachtwoord op zichzelf niets waar is, alleen door hergebruik is het veel waard.
Het zegt iets over security awareness van de developer(s) die dit gebouwd heeft. Als we verder zouden zoeken, komt er vast nog meer boven water.

"You never come second by putting other people first"


Acties:
  • 0Henk 'm!

  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 10-01 17:43

Wim-Bart

Zie signature voor een baan.

sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Wachtwoord vergeten stuurt mij een link waar ik zelf een nieuw wachtwoord kan kiezen.

Overigens is het zo, stel nu nog dat het paswoord gehashed is, het mailtje werd verstuurd vanuit de info@.

Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.
Niet per sé. info@ kan gewoon een bestaande mailbox zijn, maar ondanks dat hoeft de mail niet in de outbox van die mailbox te staan. De mail wordt gewoon via een achterliggend process van webservice rechtstreeks aangenboden aan een SMTP service welke de boel verzend. Het gaat dan niet eerst naar een mailserver, die het netjes in een box plaatst. Het is meer een fire and forget service.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


Acties:
  • 0Henk 'm!

  • kodak
  • Registratie: augustus 2001
  • Laatst online: 18-06 22:12

kodak

FP ProMod
@sandpatt Zoals je kan lezen zijn er genoeg risico's voor de winkel en voor de klanten. Vermoedelijk weet de winkel dat niet omdat het niet hun werk lijkt om websites te maken. Je kan de winkel de vraag stellen of ze weten dat hun website dit doet. Met de extra vragen of de wachtwoorden dan niet ergens leesbaar opgeslagen worden, zoals bij verzonden mail of in een database. En hoe de winkel zorgt dat alleen de klant het wachtwoord weet als mail niet geschikt is om wachtwoorden of persoonsgegevens te verzenden.

[Voor 3% gewijzigd door kodak op 14-06-2020 13:08]


Acties:
  • 0Henk 'm!

  • DutchKel
  • Registratie: mei 2002
  • Laatst online: 22:37
Dit gebeurde vroeger vaker dan tegenwoordig (dat direct na een aanmelding het wachtwoord direct wordt doorgestuurd naar het ingevulde e-mail adres). De reden erachter weet ik niet. Overigens was er vaak maar 1 lek en dat is dat de e-mail mogelijk onderschept werd, al is die kans ook erg klein. Het wachtwoord werd in de meeste gevallen gewoon encrypted opgeslagen en stond ook niet in een verzonden items mailbox aangezien de server deze e-mails verstuurde en dit niet via een aparte client gebeurde.

Mogelijk was de reden dat mensen sporadisch bestellingen doen en het omslachtig is om een nieuw wachtwoord aan te vragen. Het is makkelijker om het wachtwoord op te zoeken in je eigen mailbox.

Ik zie hier niet direct een veiligheidsrisico in. Zelf heb ik vroeger ook zulke dingen gemaakt waarin het wachtwoord direct voordat deze in de database encrypted wordt opgeslagen via de e-mail is verstuurd. Het was een stukje klantvriendelijkheid. Tegenwoordig is het meer not done omdat mailboxen ook worden overgenomen.

Don't drive faster than your guardian angel can fly.


Acties:
  • 0Henk 'm!

  • Xander
  • Registratie: oktober 2002
  • Laatst online: 00:47
sandpatt schreef op maandag 8 juni 2020 @ 14:07:
Dat ik dom ben geweest om eenzelfde paswoord te gebruiken is een volledig terechte opmerking! Ondertussen heb ik het paswoord gewijzigd naar iets dat ik niet gebruik.
Ik neem aan dat je niet (alleen) het wachtwoord bij deze webshop hebt gewijzigd, maar juist het wachtwoord op alle andere websites waar je ditzelfde wachtwoord gebruikt?
sandpatt schreef op maandag 8 juni 2020 @ 14:20:
Ik vermoed dat dit gewoon een Full Mailbox is en dat deze dus in de verzonden items staat. Elke medewerker met toegang tot die mailbox zou dus zomaar username+wachtwoord kunnen zien.
Het lijkt me niet het meest rampzalige scenario dat een medewerker van die winkel toegang kan krijgen tot je webshop account. Het wordt juist vervelend als ze met die informatie toegang hebben tot andere zaken. ;)

Sterker nog, afhankelijk van de webshop interesseert het me ook vrij weinig als derden het wachtwoorden zouden kunnen achterhalen. Bijvoorbeeld bij webshops die pas verzenden na vooraf betalen kan iemand naar mijn idee weinig kwaad doen. Daarvoor gebruik ik nou ook niet echt de sterkste wachtwoorden, die ik ieder kwartaal wijzig, ofzo... Laat een hacker maar lekker door mijn bestelgeschiedenis bladeren. :+

Het grotere probleem komt door het hergebruik van wachtwoorden, dit doe ik daarom nergens. ;)

Bij winkels die achteraf betalen aanbieden, of die een betaalmethode zoals automatische incasso of creditcards in je account opslaan, wordt het natuurlijk vervelender als ze je account misbruiken. Al helemaal als het mogelijk is om naar een onbekend adres te verzenden en daarbij één van die betaalmethoden te gebruiken.

[Voor 10% gewijzigd door Xander op 14-06-2020 13:45]

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True