Wachtwoord in de mail

maandag 22 februari 2021 12:24

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag

Dag ik krijg van een website waar ik net een account heb aangemaakt een mail met de bevestiging van mijn account en mijn zelfgemaakte wachtwoord in pain tekst. Kan ik er vanuit gaan dat deze site zeer onveilig is of valt dat vaak mee?

Het is iig confronterend als je je eigen wachtwoord teruggestuurd krijgt van een info mailadres.

Alvast bedankt

maandag 22 februari 2021 12:29

mcDavid

Als dat je zelfgemaakte wachtwoord is is het op zijn minst zeer bedenkelijk ja.

Dit betekent nog niet dat je wachtwoord plain-text in de database staat, want de mail kan gewoon gemaakt zijn nadat jij het ingevoerd hebt. Maar dan nog is het sowieso al een slecht idee om wachtwoorden te e-mailen, en al helemáál als het wachtwoorden zijn die mensen zelf ingevoerd hebben (een automatisch gegenereerd eenmalig bruikbaar wachtwoord is nog acceptabel).

Het eerste wat je nu zou willen doen is natuurlijk je wachtwoord wijzigen (want deze is compromised via de mailservers) maar dik kans dat je het nieuwe wachtwoord dan ook gelijk weer toegestuurd krijgt

Edit: kleine toevoeging:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
- als dit een wachtwoord is wat je op meerdere plekken gebruikt(e) ben je natuurlijk flink zuur, dan heb je een aardige klus om ze allemaal te wijzigen nu.

[ Voor 20% gewijzigd door mcDavid op 22-02-2021 13:30 ]

maandag 22 februari 2021 12:26

Acties:

+1 Henk 'm!

bonzz.netninja

Niente baffi

Of de site onveilig is weet je niet, maar wel dat ze wachtwoorden op onveilige manier opslaan. En dat geeft wel te denken. Dus groot gelijk dat er alarmbellen bij jou afgaan.

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

maandag 22 februari 2021 12:27

Acties:

0 Henk 'm!

Sharky

Skamn Dippy!

Dat is niet meer van deze tijd, alhoewel het inderdaad nog steeds voorkomt. Zie ook: https://plaintextoffenders.com/

This too shall pass

maandag 22 februari 2021 12:27

Acties:

0 Henk 'm!

TERW_DAN

Met een hamer past alles.

Websites die je wachtwoord opslaan als plaintext zou ik niet vertrouwen.
Enige wat ik me nog kan voorstellen is dat ze vanuit de submit met jouw wachtwoord gelijk een mail versturen, en daarna pas het ding versleutelen. Dan nog vind ik het niet bijzonder ideaal.

Ik zou zelf m'n account daar verwijderen, en uiteraard een wachtwoord gebruiken dat je nergens anders gebruikt als je het toch echt nodig hebt.

maandag 22 februari 2021 12:29

Acties:

Beste antwoord ✓
+2 Henk 'm!

mcDavid

Als dat je zelfgemaakte wachtwoord is is het op zijn minst zeer bedenkelijk ja.

Dit betekent nog niet dat je wachtwoord plain-text in de database staat, want de mail kan gewoon gemaakt zijn nadat jij het ingevoerd hebt. Maar dan nog is het sowieso al een slecht idee om wachtwoorden te e-mailen, en al helemáál als het wachtwoorden zijn die mensen zelf ingevoerd hebben (een automatisch gegenereerd eenmalig bruikbaar wachtwoord is nog acceptabel).

Het eerste wat je nu zou willen doen is natuurlijk je wachtwoord wijzigen (want deze is compromised via de mailservers) maar dik kans dat je het nieuwe wachtwoord dan ook gelijk weer toegestuurd krijgt

Edit: kleine toevoeging:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat
- als dit een wachtwoord is wat je op meerdere plekken gebruikt(e) ben je natuurlijk flink zuur, dan heb je een aardige klus om ze allemaal te wijzigen nu.

[ Voor 20% gewijzigd door mcDavid op 22-02-2021 13:30 ]

maandag 22 februari 2021 12:30

Acties:

+4 Henk 'm!

Groentjuh

bonzz.netninja schreef op maandag 22 februari 2021 @ 12:26:
Of de site onveilig is weet je niet, maar wel dat ze wachtwoorden op onveilige manier opslaan. En dat geeft wel te denken. Dus groot gelijk dat er alarmbellen bij jou afgaan.

Dat kun je niet concluderen. Als bij registratie per email het zojuist aangemaakte wachtwoord ontvangt, kan prima het wachtwoord na het versturen van de email alsnog gehashed zijn en in de database opgeslagen zijn.

Ja, het in een email zetten is inderdaad niet handig, maar hoeft niet gelijk te betekenen dat het wachtwoord plaintext in de database staat.

Zoals al gezegd wordt: wachtwoord wijzigen en hopen dat ze die niet nog eens toesturen. Zo wel: Run away!

[ Voor 9% gewijzigd door Groentjuh op 22-02-2021 12:33 ]

maandag 22 februari 2021 12:41

Acties:

0 Henk 'm!

roberto250b

Topicstarter

Ik heb melding gemaakt bij de zaak waar het om ging (lokale ondernemer)

Hij zij dat er wel meer niet goed ging bij de huidigr website en dat de huidige website nog 7 dagen online staat voordat hij is overgestapt op een nieuwe website van een ander bedrijf.

Hij had al meerdere malen ruzie gehad met degene die de huidige site heeft gebouwd.

maandag 22 februari 2021 12:52

Acties:

0 Henk 'm!

GarBaGe

Ik zou direct mijn wachtwoord wijzigen (die over de email is al compromised) en serieus overwegen mijn account op te heffen.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

maandag 22 februari 2021 14:34

Acties:

0 Henk 'm!

vanaalten

mcDavid schreef op maandag 22 februari 2021 @ 12:29:
- hoewel het onduidelijk blijft hoe het PW in de database staat, is de kans natuurlijk erg groot dat deze nu plaintext in logs van mailservers staat

@mcDavid grotendeels eens met je post, maar: de log van een mailserver zal de inhoud van een mail niet in de log van deze mailserver plaatsen.

Dat is in elk geval mijn verwachting op basis van een eigen mailserver (Linux & Postfix), waarbij de de log van alles over de verbinding staat, afzendadres, bestemming en zo, maar niet de tekst van de mail zelf.

Vraag

Beste antwoord (via roberto250b op 22-02-2021 12:49)

Alle reacties