Toon posts:

Wachtwoord in de mail

Pagina: 1
Acties:

Vraag


  • roberto250b
  • Registratie: December 2012
  • Laatst online: 31-03 08:59
Mijn vraag

Dag ik krijg van een website waar ik net een account heb aangemaakt een mail met de bevestiging van mijn account en mijn zelfgemaakte wachtwoord in pain tekst. Kan ik er vanuit gaan dat deze site zeer onveilig is of valt dat vaak mee?

Het is iig confronterend als je je eigen wachtwoord teruggestuurd krijgt van een info mailadres.

Alvast bedankt

Beste antwoord (via roberto250b op 22-02-2021 12:49)


  • mcDavid
  • Registratie: April 2008
  • Laatst online: 01-04 23:18
Als dat je zelfgemaakte wachtwoord is is het op zijn minst zeer bedenkelijk ja.

Dit betekent nog niet dat je wachtwoord plain-text in de database staat, want de mail kan gewoon gemaakt zijn nadat jij het ingevoerd hebt. Maar dan nog is het sowieso al een slecht idee om wachtwoorden te e-mailen, en al helemáál als het wachtwoorden zijn die mensen zelf ingevoerd hebben (een automatisch gegenereerd eenmalig bruikbaar wachtwoord is nog acceptabel).

Het eerste wat je nu zou willen doen is natuurlijk je wachtwoord wijzigen (want deze is compromised via de mailservers) maar dik kans dat je het nieuwe wachtwoord dan ook gelijk weer toegestuurd krijgt ;(

Edit: kleine toevoeging:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
- als dit een wachtwoord is wat je op meerdere plekken gebruikt(e) ben je natuurlijk flink zuur, dan heb je een aardige klus om ze allemaal te wijzigen nu.

[Voor 20% gewijzigd door mcDavid op 22-02-2021 13:30]

Alle reacties


  • bonzz.netninja
  • Registratie: Oktober 2001
  • Laatst online: 01-04 11:59

bonzz.netninja

Niente baffi

Of de site onveilig is weet je niet, maar wel dat ze wachtwoorden op onveilige manier opslaan. En dat geeft wel te denken. Dus groot gelijk dat er alarmbellen bij jou afgaan.

vuistdiep in het post-pc tijdperk van Steve  | Lees mijn maandelijke nieuwsbrief! | https://www.dedigitaletuin.nl


  • Sharky
  • Registratie: September 1999
  • Laatst online: 11:09

Sharky

Skamn Dippy!

Dat is niet meer van deze tijd, alhoewel het inderdaad nog steeds voorkomt. Zie ook: https://plaintextoffenders.com/

This too shall pass


  • TERW_DAN
  • Registratie: Juni 2001
  • Niet online

TERW_DAN

Met een hamer past alles.

Websites die je wachtwoord opslaan als plaintext zou ik niet vertrouwen.
Enige wat ik me nog kan voorstellen is dat ze vanuit de submit met jouw wachtwoord gelijk een mail versturen, en daarna pas het ding versleutelen. Dan nog vind ik het niet bijzonder ideaal.

Ik zou zelf m'n account daar verwijderen, en uiteraard een wachtwoord gebruiken dat je nergens anders gebruikt als je het toch echt nodig hebt.

Acties:
  • Beste antwoord
  • +2Henk 'm!

  • mcDavid
  • Registratie: April 2008
  • Laatst online: 01-04 23:18
Als dat je zelfgemaakte wachtwoord is is het op zijn minst zeer bedenkelijk ja.

Dit betekent nog niet dat je wachtwoord plain-text in de database staat, want de mail kan gewoon gemaakt zijn nadat jij het ingevoerd hebt. Maar dan nog is het sowieso al een slecht idee om wachtwoorden te e-mailen, en al helemáál als het wachtwoorden zijn die mensen zelf ingevoerd hebben (een automatisch gegenereerd eenmalig bruikbaar wachtwoord is nog acceptabel).

Het eerste wat je nu zou willen doen is natuurlijk je wachtwoord wijzigen (want deze is compromised via de mailservers) maar dik kans dat je het nieuwe wachtwoord dan ook gelijk weer toegestuurd krijgt ;(

Edit: kleine toevoeging:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
- als dit een wachtwoord is wat je op meerdere plekken gebruikt(e) ben je natuurlijk flink zuur, dan heb je een aardige klus om ze allemaal te wijzigen nu.

[Voor 20% gewijzigd door mcDavid op 22-02-2021 13:30]


  • Groentjuh
  • Registratie: September 2011
  • Laatst online: 10:28
bonzz.netninja schreef op maandag 22 februari 2021 @ 12:26:
Of de site onveilig is weet je niet, maar wel dat ze wachtwoorden op onveilige manier opslaan. En dat geeft wel te denken. Dus groot gelijk dat er alarmbellen bij jou afgaan.
Dat kun je niet concluderen. Als bij registratie per email het zojuist aangemaakte wachtwoord ontvangt, kan prima het wachtwoord na het versturen van de email alsnog gehashed zijn en in de database opgeslagen zijn.

Ja, het in een email zetten is inderdaad niet handig, maar hoeft niet gelijk te betekenen dat het wachtwoord plaintext in de database staat.

Zoals al gezegd wordt: wachtwoord wijzigen en hopen dat ze die niet nog eens toesturen. Zo wel: Run away!

[Voor 9% gewijzigd door Groentjuh op 22-02-2021 12:33]


  • roberto250b
  • Registratie: December 2012
  • Laatst online: 31-03 08:59
Ik heb melding gemaakt bij de zaak waar het om ging (lokale ondernemer)

Hij zij dat er wel meer niet goed ging bij de huidigr website en dat de huidige website nog 7 dagen online staat voordat hij is overgestapt op een nieuwe website van een ander bedrijf.

Hij had al meerdere malen ruzie gehad met degene die de huidige site heeft gebouwd.

  • GarBaGe
  • Registratie: December 1999
  • Laatst online: 08:53
Ik zou direct mijn wachtwoord wijzigen (die over de email is al compromised) en serieus overwegen mijn account op te heffen.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-2080 ; 1TB SSD


  • vanaalten
  • Registratie: September 2002
  • Nu online
mcDavid schreef op maandag 22 februari 2021 @ 12:29:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
@mcDavid grotendeels eens met je post, maar: de log van een mailserver zal de inhoud van een mail niet in de log van deze mailserver plaatsen.

Dat is in elk geval mijn verwachting op basis van een eigen mailserver (Linux & Postfix), waarbij de de log van alles over de verbinding staat, afzendadres, bestemming en zo, maar niet de tekst van de mail zelf.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee