Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Wachtwoord in de mail

Pagina: 1
Acties:

Vraag


  • roberto250b
  • Registratie: december 2012
  • Laatst online: 03-06 19:23
Mijn vraag

Dag ik krijg van een website waar ik net een account heb aangemaakt een mail met de bevestiging van mijn account en mijn zelfgemaakte wachtwoord in pain tekst. Kan ik er vanuit gaan dat deze site zeer onveilig is of valt dat vaak mee?

Het is iig confronterend als je je eigen wachtwoord teruggestuurd krijgt van een info mailadres.

Alvast bedankt

Beste antwoord (via roberto250b op 22-02-2021 12:49)


  • mcDavid
  • Registratie: april 2008
  • Laatst online: 17:06
Als dat je zelfgemaakte wachtwoord is is het op zijn minst zeer bedenkelijk ja.

Dit betekent nog niet dat je wachtwoord plain-text in de database staat, want de mail kan gewoon gemaakt zijn nadat jij het ingevoerd hebt. Maar dan nog is het sowieso al een slecht idee om wachtwoorden te e-mailen, en al helemáál als het wachtwoorden zijn die mensen zelf ingevoerd hebben (een automatisch gegenereerd eenmalig bruikbaar wachtwoord is nog acceptabel).

Het eerste wat je nu zou willen doen is natuurlijk je wachtwoord wijzigen (want deze is compromised via de mailservers) maar dik kans dat je het nieuwe wachtwoord dan ook gelijk weer toegestuurd krijgt ;(

Edit: kleine toevoeging:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
- als dit een wachtwoord is wat je op meerdere plekken gebruikt(e) ben je natuurlijk flink zuur, dan heb je een aardige klus om ze allemaal te wijzigen nu.

[Voor 20% gewijzigd door mcDavid op 22-02-2021 13:30]

Alle reacties


  • bonzz.netninja
  • Registratie: oktober 2001
  • Laatst online: 17:52

bonzz.netninja

business analist

Of de site onveilig is weet je niet, maar wel dat ze wachtwoorden op onveilige manier opslaan. En dat geeft wel te denken. Dus groot gelijk dat er alarmbellen bij jou afgaan.

vuistdiep in het post-pc tijdperk van Steve  | geensnor.nl - Misschien wel een uber hippe "Digital Garden" | | Omloop de Snor 2019


  • Sharky
  • Registratie: september 1999
  • Laatst online: 16:21

Sharky

Skamn Dippy!

Dat is niet meer van deze tijd, alhoewel het inderdaad nog steeds voorkomt. Zie ook: https://plaintextoffenders.com/

This too shall pass


  • TERW_DAN
  • Registratie: juni 2001
  • Niet online

TERW_DAN

Met een hamer past alles.

Websites die je wachtwoord opslaan als plaintext zou ik niet vertrouwen.
Enige wat ik me nog kan voorstellen is dat ze vanuit de submit met jouw wachtwoord gelijk een mail versturen, en daarna pas het ding versleutelen. Dan nog vind ik het niet bijzonder ideaal.

Ik zou zelf m'n account daar verwijderen, en uiteraard een wachtwoord gebruiken dat je nergens anders gebruikt als je het toch echt nodig hebt.

Acties:
  • Beste antwoord
  • +2Henk 'm!

  • mcDavid
  • Registratie: april 2008
  • Laatst online: 17:06
Als dat je zelfgemaakte wachtwoord is is het op zijn minst zeer bedenkelijk ja.

Dit betekent nog niet dat je wachtwoord plain-text in de database staat, want de mail kan gewoon gemaakt zijn nadat jij het ingevoerd hebt. Maar dan nog is het sowieso al een slecht idee om wachtwoorden te e-mailen, en al helemáál als het wachtwoorden zijn die mensen zelf ingevoerd hebben (een automatisch gegenereerd eenmalig bruikbaar wachtwoord is nog acceptabel).

Het eerste wat je nu zou willen doen is natuurlijk je wachtwoord wijzigen (want deze is compromised via de mailservers) maar dik kans dat je het nieuwe wachtwoord dan ook gelijk weer toegestuurd krijgt ;(

Edit: kleine toevoeging:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
- als dit een wachtwoord is wat je op meerdere plekken gebruikt(e) ben je natuurlijk flink zuur, dan heb je een aardige klus om ze allemaal te wijzigen nu.

[Voor 20% gewijzigd door mcDavid op 22-02-2021 13:30]


  • Groentjuh
  • Registratie: september 2011
  • Laatst online: 17:08
bonzz.netninja schreef op maandag 22 februari 2021 @ 12:26:
Of de site onveilig is weet je niet, maar wel dat ze wachtwoorden op onveilige manier opslaan. En dat geeft wel te denken. Dus groot gelijk dat er alarmbellen bij jou afgaan.
Dat kun je niet concluderen. Als bij registratie per email het zojuist aangemaakte wachtwoord ontvangt, kan prima het wachtwoord na het versturen van de email alsnog gehashed zijn en in de database opgeslagen zijn.

Ja, het in een email zetten is inderdaad niet handig, maar hoeft niet gelijk te betekenen dat het wachtwoord plaintext in de database staat.

Zoals al gezegd wordt: wachtwoord wijzigen en hopen dat ze die niet nog eens toesturen. Zo wel: Run away!

[Voor 9% gewijzigd door Groentjuh op 22-02-2021 12:33]


  • roberto250b
  • Registratie: december 2012
  • Laatst online: 03-06 19:23
Ik heb melding gemaakt bij de zaak waar het om ging (lokale ondernemer)

Hij zij dat er wel meer niet goed ging bij de huidigr website en dat de huidige website nog 7 dagen online staat voordat hij is overgestapt op een nieuwe website van een ander bedrijf.

Hij had al meerdere malen ruzie gehad met degene die de huidige site heeft gebouwd.

  • GarBaGe
  • Registratie: december 1999
  • Laatst online: 16:55
Ik zou direct mijn wachtwoord wijzigen (die over de email is al compromised) en serieus overwegen mijn account op te heffen.

Ryzen5 2600X; 16GB DDR4-3200 ; RTX-2080 ; 1TB SSD


  • vanaalten
  • Registratie: september 2002
  • Laatst online: 16:24
mcDavid schreef op maandag 22 februari 2021 @ 12:29:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
@mcDavid grotendeels eens met je post, maar: de log van een mailserver zal de inhoud van een mail niet in de log van deze mailserver plaatsen.

Dat is in elk geval mijn verwachting op basis van een eigen mailserver (Linux & Postfix), waarbij de de log van alles over de verbinding staat, afzendadres, bestemming en zo, maar niet de tekst van de mail zelf.
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True