Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

O'Reilly reset mijn password en stuurt hem plaintext

Pagina: 1
Acties:

  • armageddon_2k1
  • Registratie: september 2001
  • Nu online
Ik heb een subscription bij SafariBooks van O'Reilly en had een hoop problemen met de app en heb ze een mail gestuurd, nu krijg ik vanochtend het volgende:
Hi armageddon_2k1,

Thank you for reaching out. I'm sorry for the inconvenience. I have reset your password to troubleshoot the issue, and have resolved the problem. I was able to sign in to the O'Reilly app with your email and password: [knip]Iets heel korts, bijna zoiets als welcome123[/knip]

If you have any other questions, or concerns, please let me know.

Best regards,

Tami | Customer Service
Even afgezien van het feit dat het nogal lomp is zo te doen staan er allemaal vertrouwelijke dingen in mijn account die ik in moest vullen. Zoals, mijn creditcard gegevens en mijn adresgegevens. Ik ben dus, begrijpelijk niet heel erg amused, maar vraag me af of er hier geen juridische grenzen overschreden worden? Het is een amerikaans bedrijf, maar dan nog vraag ik me af of ik het ergens moet melden?

Passieve Einzelgänger met een 10 tot 3 mentaliteit - avwie.github.io


Acties:
  • +2Henk 'm!

  • ImNotnoa
  • Registratie: september 2011
  • Nu online

ImNotnoa

Meisje!

Je kunt ze in ieder geval op de schandpaal nagelen: https://plaintextoffenders.com/

Of er een (US) overheidsinstantie is waar je zoiets kunt melden, geen idee eigenlijk.

Ik zou iig meteen een verzoek versturen naar die website om AL je gegevens te verwijderen aangezien ze niet in staat zijn deze op een veilige manier te bewaren

In my defence: I wás left unsupervised.


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je zou (ondanks dat het een US bedrijf is) je kunnen beroepen op de GDPR, bij hun Britse (!) data security manager melden dat dit een data breach is. Wijs ze er op dat ze in hun privacy policy beweren to transmit sensitive data using standard security protocols and mechanisms (such as secure socket layer (SSL) [sic!] encryption)
Of het veel uit gaat halen is maar de vraag.
Check of ze zouden moeten voldoen aan PA-DSS. Dan zou cardholder data transmission versleuteld moeten gebeuren namelijk.

Edit: al kan het natuurlijk zijn dat een dergelijk password werkt zoals een tijdelijke passwordvergeetlink. Kan zijn dat een opgestuurd password eenmalig kan worden gebruikt en misschien ook wel maar tijdelijk werkt. Zoals ook een wachtwoordvergeet-link kan werken dat ook maar slechts een stel karakters op een rij is.

[Voor 19% gewijzigd door F_J_K op 30-06-2020 09:15]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1Henk 'm!

  • delphium
  • Registratie: november 2005
  • Laatst online: 03-06 17:35
Hoe had je graag gezien dat ze het hadden opgelost?

Acties:
  • 0Henk 'm!

  • job
  • Registratie: februari 2002
  • Laatst online: 08:59
delphium schreef op vrijdag 3 juli 2020 @ 10:16:
Hoe had je graag gezien dat ze het hadden opgelost?
Een wachtwoord reset-link lijkt me handiger.

Acties:
  • +2Henk 'm!

  • delphium
  • Registratie: november 2005
  • Laatst online: 03-06 17:35
Maar als ik die e-mail onderschep, zit ik ook in zijn account.

Acties:
  • 0Henk 'm!

  • Compizfox
  • Registratie: januari 2009
  • Nu online

Compizfox

Bait for wenchmarks

delphium schreef op vrijdag 3 juli 2020 @ 10:16:
Hoe had je graag gezien dat ze het hadden opgelost?
Wachtwoorden gehasht opslaan en reset-links gebruiken als de gebruiker zijn/haar wachtwoord is vergeten.

Het is echt een big no-no om wachtwoorden in plaintext op te slaan in een database.

Acties:
  • +3Henk 'm!

  • SinergyX
  • Registratie: november 2001
  • Laatst online: 11:02

SinergyX

____(>^^(>0o)>____

job schreef op vrijdag 3 juli 2020 @ 10:18:
[...]

Een wachtwoord reset-link lijkt me handiger.
Handiger precie hoe? Mail onderscheppen maakt het geen kloot uit of dit plaintext of een URL is, beide kan ik dus prima zijn account pakken.

Daarbij een compleet aparte website draaien enkel voor afwikkeling van wachtwoord resets (zover ik weet draait die Oreilly enkel via de app, ook registeren),
Compizfox schreef op vrijdag 3 juli 2020 @ 10:22:
[...]

Wachtwoorden gehasht opslaan en reset-links gebruiken als de gebruiker zijn/haar wachtwoord is vergeten.

Het is echt een big no-no om wachtwoorden in plaintext op te slaan in een database.
Nu doe je een aanname die je niet hard kan maken, niets zegt dat die wachtwoorden ook zo worden opgeslagen, uitsluitend zo naar hem zijn gestuurd. Ik kan jou prima een wachtwoord sturen, deze daarna door het systeem met de hoogst mogelijke encryptie opslaan.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • +4Henk 'm!

  • delphium
  • Registratie: november 2005
  • Laatst online: 03-06 17:35
Wachtwoorden gehasht opslaan en reset-links gebruiken als de gebruiker zijn/haar wachtwoord is vergeten.

Het is echt een big no-no om wachtwoorden in plaintext op te slaan in een database.
Dat is hier helemaal niet aan de orde, of dat weten we in elk geval niet. Het wachtwoord is gereset door de beheerder en doorgestuurd naar de klant. Dat zegt niets over hoe ze worden opgeslagen in de DB.

Acties:
  • 0Henk 'm!

  • Compizfox
  • Registratie: januari 2009
  • Nu online

Compizfox

Bait for wenchmarks

SinergyX schreef op vrijdag 3 juli 2020 @ 10:23:
[...]
Nu doe je een aanname die je niet hard kan maken, niets zegt dat die wachtwoorden ook zo worden opgeslagen, uitsluitend zo naar hem zijn gestuurd. Ik kan jou prima een wachtwoord sturen, deze daarna door het systeem met de hoogst mogelijke encryptie opslaan.
Ah, iets te snel gelezen zie ik. Ik dacht dat ze TS' eigen wachtwoord (die ze dan dus wel plaintext moeten hebben opgeslagen) hadden opgestuurd.

Acties:
  • 0Henk 'm!

  • delphium
  • Registratie: november 2005
  • Laatst online: 03-06 17:35
Wat natuurlijk wel echt heel slecht is in dit specifieke geval is dat in de e-mail ook doodleuk wordt vermeld dat het wachtwoord is bedoeld voor de O'reilly app en dat waarschijnlijk (hopelijk niet!) het e-mailadres de gebruikersnaam is. Dat het wachtwoord plaintext is, hoeft echter geen probleem te zijn.

Acties:
  • 0Henk 'm!

  • armageddon_2k1
  • Registratie: september 2001
  • Nu online
Nee ze hebben mijn wachtwoord aangepast naar iets heel simpels en die me gewoon gemaild. De email is m’n login.

Ik heb nu contact met ze en het is niet de bedoeling iig. Als je als helpdesk al mee wil kijken in een account dan verwacht ik daarna een password reset link oid.

Passieve Einzelgänger met een 10 tot 3 mentaliteit - avwie.github.io


Acties:
  • +1Henk 'm!

  • delphium
  • Registratie: november 2005
  • Laatst online: 03-06 17:35
armageddon_2k1 schreef op vrijdag 3 juli 2020 @ 10:27:
Als je als helpdesk al mee wil kijken in een account dan verwacht ik daarna een password reset link oid.
Maar zoals gezegd, is dat niet veiliger dan een plaintext wachtwoord. Sterker nog; een wachtwoord heeft de voorkeur, mits het verstuurd wordt naar een alternatief e-mailadres en er in de e-mail verder geen details staan over waar het precies voor dient.

Acties:
  • 0Henk 'm!

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Laatst online: 23-06 13:40
Ik denk dat ik het juist erger zou vinden dat zij zelf in loggen op mijn account dan het versturen van een plaintext wachtwoord per mail.

Acties:
  • +1Henk 'm!

  • u34186
  • Registratie: september 2001
  • Niet online
delphium schreef op vrijdag 3 juli 2020 @ 10:31:
[...]


Maar zoals gezegd, is dat niet veiliger dan een plaintext wachtwoord. Sterker nog; een wachtwoord heeft de voorkeur, mits het verstuurd wordt naar een alternatief e-mailadres en er in de e-mail verder geen details staan over waar het precies voor dient.
Wat een onzin. Als het bedrijf een wachtwoord stuurt, is dat het wachtwoord. Veel gebruikers passen dat niet meer aan. Als je een reset-linkje krijgt, blijft het wachtwoord onbekend en moet de gebruiker zelf een wachtwoord kiezen.

Daarom stuur je een password reset link.

(Én tegenwoordig is het e-mailadres meestal ook de gebruikersnaam.)

[Voor 5% gewijzigd door u34186 op 03-07-2020 10:49]

Block ads en trackers: uBlock Origin, uMatrix, Pi-Hole
YouTube: SponsorBlock en YoutubeVanced


Acties:
  • 0Henk 'm!

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Evanescent schreef op vrijdag 3 juli 2020 @ 10:48:
[...]

Wat een onzin. Als het bedrijf een wachtwoord stuurt, is dat het wachtwoord. Veel gebruikers passen dat niet meer aan.
Ik mag hopen (.....) dat een dergelijk gestuurd wachtwoord bij 1e keer inloggen verplicht moet worden aangepast naar iets sterkers. (Alleen) dan zijn reset links en passwords in de mail defacto gelijk.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0Henk 'm!

  • delphium
  • Registratie: november 2005
  • Laatst online: 03-06 17:35
Wat een onzin. Als het bedrijf een wachtwoord stuurt, is dat het wachtwoord. Veel gebruikers passen dat niet meer aan. Als je een reset-linkje krijgt, blijft het wachtwoord onbekend en moet de gebruiker zelf een wachtwoord kiezen.
Je kunt op veel systemen ook vereisen dat na de volgende inlog het wachtwoord moet worden aangepast. Dat is dus hetzelfde effect als een reset-link. Het probleem met de reset-link is dat het ook meteen het platform blootgeeft waar een nieuw wachtwoord voor is aangevraagd.

Acties:
  • +2Henk 'm!

  • kwibox
  • Registratie: mei 2015
  • Laatst online: 21-06 23:33
Ik denk dat @armageddon_2k1 niet helemaal begrijpt waarom er altijd word gezegd dat plain-text wachtwoorden mailen een erg slecht idee is en wat de reden daarachter is:

Dit heeft betrekking op als je je wachtwoord kan opvragen (en dan letterlijk je eigen wachtwoord in je mail terug krijgt). Wat echt belachelijk is imo, ICT'ers die dat nog zonder extreem goede reden doen, mogen wat mij betreft gekruisigd worden :+

Daarbij is niet zozeer het feit dat je email makkelijk kan onderscheppen het probleem (want dat kan ook gewoon met een wachtwoord-reset-link) maar juist dat men jou eigen wachtwoord kan plain-text kan inzien. Dit komt omdat men de wachtwoorden dan niet met een fatsoenlijke hashing met salt in de database zet.

Dat staat los van het kunnen plain-text mailen van wachtwoorden. De wachtwoorden kunnen prima voor gehashed te worden op de mail gezet worden om vervolgens als hash met salt in de DB opgeslagen te worden.

Als je dit fatsoenlijk doet is het namelijk onmogelijk om het echte wachtwoord terug te halen.

Als je een wachtwoord reset kan dat met link of met een nieuw wachtwoord via mail. Dit laatste heeft niet de voorkeur (omdat je een link een bepaalde geldigheidsduur kan geven), maar als het systeem vervolgens forceert dat je je wachtwoord moet aanpassen na een eerste login (met dat toegestuurde wachtwoord), is er niks aan de hand.

Ook wachtwoord-reset links zijn niet heilig als je url niet random genoeg maakt; kortom beide manier zijn vrijwel gelijkwaardig als goed uitgevoerd.

[Voor 12% gewijzigd door kwibox op 03-07-2020 11:12]


Acties:
  • 0Henk 'm!

  • u34186
  • Registratie: september 2001
  • Niet online
F_J_K schreef op vrijdag 3 juli 2020 @ 10:52:
[...]

Ik mag hopen (.....) dat een dergelijk gestuurd wachtwoord bij 1e keer inloggen verplicht moet worden aangepast naar iets sterkers. (Alleen) dan zijn reset links en passwords in de mail defacto gelijk.
delphium schreef op vrijdag 3 juli 2020 @ 10:52:
[...]


Je kunt op veel systemen ook vereisen dat na de volgende inlog het wachtwoord moet worden aangepast. Dat is dus hetzelfde effect als een reset-link. Het probleem met de reset-link is dat het ook meteen het platform blootgeeft waar een nieuw wachtwoord voor is aangevraagd.
Fair point, als echter aan al die voorwaarden voldaan wordt. Helaas zie je dit zelden. Het is makkelijk te achterhalen welke dienst de e-mail verstuurt en het eenmalig gebruik van een wachtwoord heeft dan inderdaad weinig meerwaarde t.o.v. een reset-link. Maar... Als wel aan die voorwaarden voldaan wordt, is dat inderdaad veiliger. Niet gebruikersvriendelijker maar wel veiliger (de bekende driehoek :+).

Block ads en trackers: uBlock Origin, uMatrix, Pi-Hole
YouTube: SponsorBlock en YoutubeVanced


Acties:
  • 0Henk 'm!

  • DukeBox
  • Registratie: april 2000
  • Laatst online: 11:11

DukeBox

Voor je 't weet wist je 't nie

Wat ik zo ook begrijp is dat het niet helemaal de standaard manier is maar nu zo gedaan is na interactie met de support desk. Sterker nog, als ik zo kijk hebben ze over het algemeen de beveiliging netjes op orde met ondersteuning van SSO waarbij 2FA mogelijk is.

Edit: Al lijkt safari books dat niet te ondersteunen (via een andere login) maar ook daar wordt een reset link verzonden bij het resetten met de normale manier.

[Voor 23% gewijzigd door DukeBox op 03-07-2020 11:14]

Duct tape can't fix stupid, but it can muffle the sound.

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True