Bedrijf kijkt mee in wachtwoorden - Privacy en beveiliging

maandag 12 april 2021 22:00

Acties:

Een beetje vreemd; wel lekker

Topicstarter

Mijn partner kreeg eerder vandaag een mail vanuit de IT beheerder van het bedrijf waar ze voor werkt.
Ze hebben gemerkt dat haar wachtwoord voor intern Microsoft account overeen kwam met het wachtwoord dat ze op een third-party website van een supplier gebruikte.

Betekend dit dat het bedrijf dus in principe met alle ingevoerde wachtwoorden kan meekijken?

En dus dat als er privé diensten worden gebruikt dit ook op een (hopelijk encrypted) manier met big brother gedeeld wordt?

In hoeverre is dit in Nederland rechtmatig? Moederbedrijf en IT beheerder zitten in UK maar ze is onder contract van Nederlandse bv

Uit interesse ben ik benieuwd hoe dit werkt. Is dit een stukje software dat alle in wachtwoord forms ingevulde data naar HQ stuurt en vergelijkt met het bij hun bekende password?

maandag 12 april 2021 22:02

Acties:

Sick Nick

Drop the top!

Keylogger misschien? Ik zou in ieder geval per direct niks meer persoonlijks doen (indien je dit deed) op de werk laptop. Lekker extern houden!

maandag 12 april 2021 22:03

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Dat lijken me goede vragen om in eerste instantie aan het bedrijf zelf te stellen. Hier kunnen we vrijwel alleen maar speculeren.

Exchange en Office 365 specialist. Mijn blog.

maandag 12 april 2021 22:08

Acties:

wodkabuikje

Speculeren dan. Voor een intern Microsoft account lijkt het me logisch dat ze het wachtwoord weten. Voor een account bij een leverancier lijkt het mij ook logisch dat ze het wachtwoord weten of horen te weten.

Het wachtwoord voor het viva forum dat wordt bezocht tijdens werktijd horen ze niet te weten.

niet iedereen heeft een bierbuikje

maandag 12 april 2021 22:10

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

wodkabuikje schreef op maandag 12 april 2021 @ 22:08:
Voor een intern Microsoft account lijkt het me logisch dat ze het wachtwoord weten. Voor een account bij een leverancier lijkt het mij ook logisch dat ze het wachtwoord weten of horen te weten.

Niemand hoort een wachtwoord te weten. Alleen Microsoft en de externe leverancier hoeven een hash van het wachtwoord te hebben. De / een IT-beheerder heeft geen zak met je wachtwoorden whatsoever te maken. Stél dat ze je wachtwoorden onderscheppen of je gebruikt een door hun geleverde wachtwoord-manager o.i.d. dan nog hoeven ze je wachtwoord niet te hebben/weten maar zouden ze wel hashes langs elkaar kunnen leggen om de conclusie te trekken dat je je wachtwoord op verschillende plaatsen gebruikt. Maar dat zijn héle vieze spelletjes als die gespeeld worden zonder je medeweten.

[ Voor 26% gewijzigd door RobIII op 12-04-2021 22:13 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 12 april 2021 22:11

Acties:

DukeBox

loves wheat smoothies

Wordt er niet gewoon gebruik gemaakt van een credential manager waarbij er een melding komt bij dubbele hashes ?

Duct tape can't fix stupid, but it can muffle the sound.

maandag 12 april 2021 22:15

Acties:

DarkSide

theres no place like ::1

Er kan gekeken worden naar de hash.
Ze hoeven het wachtwoord niet te weten.

Hebben ze echt gezegd je wachtwoord is: Welkom01 bv. En die wordt ook gebruikt op site x.

Of blijkt dat het gebruikte wachtwoord bekend is uit een know database.

Er zijn genoeg tools die controleren of je wachtwoord simpel is : naam1234 of de bedrijfsnaambevat.
Of voorkomt in een bekende database.

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

maandag 12 april 2021 22:21

Acties:

joppybt

RobIII schreef op maandag 12 april 2021 @ 22:10:
[...]

Niemand hoort een wachtwoord te weten. Alleen Microsoft en de externe leverancier hoeven een hash van het wachtwoord te hebben. De / een IT-beheerder heeft geen zak met je wachtwoorden whatsoever te maken. Stél dat ze je wachtwoorden onderscheppen of je gebruikt een door hun geleverde wachtwoord-manager o.i.d. dan nog hoeven ze je wachtwoord niet te hebben/weten maar zouden ze wel hashes langs elkaar kunnen leggen om de conclusie te trekken dat je je wachtwoord op verschillende plaatsen gebruikt. Maar dat zijn héle vieze spelletjes als die gespeeld worden zonder je medeweten.

Ik kan geen uitspraak doen over de third-party website maar ik durf te wedden dat Microsoft de wachtwoorden hasht samen een fatsoenlijke salt en dat elke hash verschillend zal zijn, zelfs bij identieke wachtwoorden.

maandag 12 april 2021 22:22

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

joppybt schreef op maandag 12 april 2021 @ 22:21:
[...]

Ik kan geen uitspraak doen over de externe leverancier maar ik durf te wedden dat Microsoft de wachtwoorden hasht samen een fatsoenlijke salt en dat elke hash verschillend zal zijn, zelfs bij identieke wachtwoorden.

...your point being?
Denk je dat "IT-beheer" bij de (salted-of-niet) hashes van MS kan? On-prem (Active Directory ofzo), allicht, maar Office 365 etc. natuurlijk niet. Maar dat is verder ook niet relevant want dat was 't punt niet

[ Voor 24% gewijzigd door RobIII op 12-04-2021 22:53 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 12 april 2021 22:23

Acties:

joppybt

RobIII schreef op maandag 12 april 2021 @ 22:22:
[...]

...your point being?

Dat hier geen sprake kan zijn van hashes naast elkaar leggen en dat de systeembeheerder (heel foutief) blijkbaar de plaintekst wachtwoorden kan vergelijken.

maandag 12 april 2021 22:24

Acties:

Stalensnuitje

RobIII schreef op maandag 12 april 2021 @ 22:22:
[...]

...your point being?
Denk je dat "IT-beheer" bij de (salted-of-niet) hashes van MS kan?

Dat een IT-beheerder in geval van hashes dus alsnog niet zou kunnen weten dat het om dezelfde ww's gaat, omdat de hashes verschillend (zouden moeten) zijn? Tenminste, zo lees ik het.

maandag 12 april 2021 22:25

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

joppybt schreef op maandag 12 april 2021 @ 22:23:
[...]

Dat hier geen sprake kan zijn van hashes naast elkaar leggen en dat de systeembeheerder (heel foutief) blijkbaar de plaintekst wachtwoorden kan vergelijken.

IT beheer kan toch zélf hashes bijhouden en die langs elkaar leggen? Als jij je wachtwoord ergens invult kunnen ze dat onderscheppen (browser-plugin, "wachtwoord manager", keylogger, MitM whatever) en een hash ervan (of erger: je plaintext wachtwoord) opslaan. Niemand heeft 't ooit gehad over de hashes van MS of 'third-party website'.

Onder de streep: de kans is groot dat ze een 'enterprise' wachtwoordmanager gebruiken die dergelijke analyses mogelijk maakt.

[ Voor 12% gewijzigd door RobIII op 12-04-2021 22:27 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 12 april 2021 22:46

Acties:

beascob

Ik mis een deel
TS vertelt niet wat IT adviseert. Moest er soms meteen via een "link " ingelogd worden? Dan zou het kunnen stinken...

gewaarwordingshorizon

maandag 12 april 2021 22:49

Acties:

burnedhardware

https://specopssoft.com/b...sswords-active-directory/

maandag 12 april 2021 22:51

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

burnedhardware schreef op maandag 12 april 2021 @ 22:49:
https://specopssoft.com/b...sswords-active-directory/

TS heeft het specifiek over een wachtwoord dat overeen zou komen met een wachtwoord dat gebruikt wordt op een "third-party website"

[ Voor 13% gewijzigd door RobIII op 12-04-2021 22:51 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 12 april 2021 22:52

Acties:

burnedhardware

educated guess: ... die gelekt is en waarvan de database via haveibeenpawned is vrijgegeven?
Anders kan je niet vergelijken (he amazon, doe mij al je password hashes want ik wil die vergelijken met de hashes van AD)

maandag 12 april 2021 22:52

Acties:

FoxLenny

Met bepaalde (bedrijfs) wachtwoord managers kan je als beheerder analyses doen als hergebruik van wachtwoorden, moeilijkheidsgraad, of ie een gelekte datasbase voorkomt, etc.
Zonder details te weten dus lastig wat over te zeggen.

maandag 12 april 2021 22:53

Acties:

burnedhardware

Dat is waar (lastpass waarschuwt daarvoor en daar kan je inderdaad rapportages op draaien)

maandag 12 april 2021 22:54

Acties:

opblaashaas

Dikke kans dat er gewoon een dump is gemaakt van de NTDFS file en de hash is vergeleken met HaveIbeenPwned.

Kun je zelfs lokaal doen omdat de database ter download staat. (zonder wachtwoorden, puur de hashes en in hoeveel dumps ze zitten)

maandag 12 april 2021 23:10

Acties:

wagenveld

Ik gok dat ze deze feature in Azure aangeslingerd hebben:
https://docs.microsoft.co...rview-identity-protection

maandag 12 april 2021 23:14

Acties:

De_Bastaard

Volgens mij kan een keyvault zoals LastPass dit ook detecteren...

maandag 12 april 2021 23:21

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

wagenveld schreef op maandag 12 april 2021 @ 23:10:
Ik gok dat ze deze feature in Azure aangeslingerd hebben:
https://docs.microsoft.co...rview-identity-protection

Hier wat meer informatie over de feature: https://docs.microsoft.co...on-risks#common-questions

En werkt uiteraard alleen als je Password Hash Sync gebruikt.

Exchange en Office 365 specialist. Mijn blog.

maandag 12 april 2021 23:25

Acties:

ISaFeeliN

Als dat SSL verkeer is geweest wat aannemelijk is, dan zou je of voor een transparante proxy moeten zitten, of ze loggen inderdaad keyboard. Laatste lijkt me onwaarschijnlijk. Dan pas kunnen ze zien wat je invoert. Dat zouden ze kunnen verwerken als hashes, functioneel net zo goed. Hopen maar dat dat zo is. Je zou er iig. van te voren van moeten weten dat ze het doen, anders is het niet legaal.

maandag 12 april 2021 23:34

Acties:

SgtElPotato

Ligt er natuurlijk ook aan wat er in het contract stond / staat bij het ontvangen van de laptop en werken in de omgeving van de werkgever. Mocht het bij een high-security strict policy bedrijf zijn neem ik aan dat dit soort zaken gewoon vooraf bekend zijn. En indien er gebruik gemaakt wordt van een zakelijke wachtwoordmanager van het bedrijf kan het zo maar zijn dat ze daar analyses op doen (adhv de hashes) om zo te kunnen achterhalen of dezelfde wachtwoorden gebruikt worden.

Maar voor nu is het gissen aangezien we vrij weinig weten van de situatie, waar je partner werkt, wat er in de mail stond (welke verwoording) en wat er vooraf is afgesproken tussen bedrijf / werknemer.

Snelste manier om dit te vragen is aan de IT beheerder. En als je het leuk brengt krijg je misschien een uitgebreide uitleg van hoe en waarom omdat hij graag over de techniek vertelt!

Zucht...

woensdag 14 april 2021 10:54

Acties:

Ducksy88

Een beetje vreemd; wel lekker

Topicstarter

SgtElPotato schreef op maandag 12 april 2021 @ 23:34:
Ligt er natuurlijk ook aan wat er in het contract stond / staat bij het ontvangen van de laptop en werken in de omgeving van de werkgever. Mocht het bij een high-security strict policy bedrijf zijn neem ik aan dat dit soort zaken gewoon vooraf bekend zijn.

Bedankt; ik zal wat aanvullende info geven. Ik snap dat het bij speculatie blijft. Voor mij zelf is dit tweeledig. Ben vooral algemeen geïnteresseerd in IT en netwerk security en dit is dan ook een stukje persoonlijk nieuwsgierigheid. Ten tweede wil privacy wetgeving hoog kunnen houden en dit vooral triggerde mij vooral daarom. Heb je geen zin in deze speculatie begrijp ik dat en heel eerlijk, maakt de discussie misschien ook wel nutteloos.

Mijn partner werkt voor een relatief klein hospitality bedrijf uit de UK met maar een paar vestigingen in de EU, waaronder NL. Zij hebben (een deel van?) IT beheer uitbesteed aan Chorus
We hebben het dus echt niet over een high-risk of high-profile bedrijf waar ze voor werkt. Verre van.
Deze firma Chorus was de verzender van de waarschuwingsemail.

Mijn vriendin vond dit voorval raar, maar niet bijzonder interessant. Ze heeft bij haar direct leidinggevende navraag gedaan maar die heeft geen kennis van IT en zal moeten vertrouwen op het feit dat hun UK-HQ het vast op orde heeft. Haar leidinggevende geeft aan dat het rechtmatig is "want bedrijfslaptop". Of daar een duidelijke overeenkomst/privacy verklaring is getekend bij ontvangen/in-dienst treden weet ik niet en mijn vriendin zou dat moeten nagraven in papierwinkel. Dat is (nog) niet gebeurt.
Mijn vriendin heeft geen interesse om dit richting een UK office na te jagen en detail/technische vragen te stellen over iets waar ze zelf niets van weet. Mijn nieuwsgierigheid is echter niet gestild.

De strekking uit het waarschuwingsmailtje "We have detected that the password you used on a third-party website xxx.website.nl matches the password used for your main account." Toen een stukje over hoe gevaarlijk dat kan zijn en het vriendelijke doch dringende verzoek om haar Microsoft/AD password uniek te houden en nergens anders te gebruiken en asap te veranderen via de daarvoor geldende procedure.

beascob schreef op maandag 12 april 2021 @ 22:46:
Ik mis een deel
TS vertelt niet wat IT adviseert. Moest er soms meteen via een "link " ingelogd worden? Dan zou het kunnen stinken...

Er was geen link om op te klikken. Tevens werd het adres van de third-party correct benoemd in de mail en is het inderdaad waar dat de passwords matchte. Mijn vriendin moest eerder deze week een nieuw password kiezen bij de 3rd party, had even geen inspiratie en daarom inderdaad haar main-account pass op die thirdparty gebruikt. Dit geeft mij een redelijke zekerheid dat het niet om een (spear)phish gaat maar dat haar bedrijf inderdaad weet wat er aan password gedeeld is met 3rd party. Haar wachtwoord is niet in cleartext benoemd in de mail.

Deze third party is een lokaal afvalverwerkingsbedrijf met een simpel klant portaal om een afval pickup te kunnen regelen, facturen in te zien etc. Dit is een https verbinding. Heeft niets te maken met het bedrijf waar vriendin voor werkt en aan te nemen dat ze geen toegang hebben tot de database van dit afvalverwerkingsbedrijf.

En indien er gebruik gemaakt wordt van een zakelijke wachtwoordmanager van het bedrijf kan het zo maar zijn dat ze daar analyses op doen (adhv de hashes) om zo te kunnen achterhalen of dezelfde wachtwoorden gebruikt worden.

Haar email komt niet voor in HIBP database en het password zelf ook niet.
Er wordt geen password manager gebruikt; wel staan beide opgeslagen in Chrome bedenk ik me.

Mijn noob ingeving is dat er meegekeken wordt, lokaal op de laptop/in de browser of eventueel via het netwerk verkeer en niet een tool die publieke databreaches scanned. Prima dat dat zo is, maar daar komt wel een privacy vraagstuk.

woensdag 14 april 2021 12:06

Acties:

jvanhambelgium

Eigenlijk zou je eens op die laptop moeten surfen naar die bepaalde xxx.website.nl en vervolgens op het icoontje van het SSL-certificaat kijken en kijken wie de uitgever is ;-)

Volgens mij is er gewoon sprake van SSL-decrypt/interceptie op de internet-gateway.
Op die bedrijfslaptop staan denkelijk de nodige certificaten gepushed omdat allemaal transparent te maken.

woensdag 14 april 2021 12:06

Acties:

DukeBox

loves wheat smoothies

Ducksy88 schreef op woensdag 14 april 2021 @ 10:54:
wel staan beide opgeslagen in Chrome bedenk ik me.

Zakelijk chrome (Google Apps) account ? Zo ja dan zit het mogelijk daar in, die meldingen krijg ik ook regelmatig van mijn gebruikers als deze geen unieke pw gebruiken.

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 14 april 2021 12:15

Acties:

Rukapul

Dit kan prima volgens NL arbeidsrecht mits aan bepaalde voorwaarden wordt voldaan. Zo hoort de werknemer op de hoogte te zijn van eventuele monitoring. In aanvulling hierop wordt normaal gesproken met de OR e.e.a. afgestemd om waarborgen te treffen wat betreft privacy en persoonlijke belangen (dat het het doel dient, maar geen visoperatie wordt om werknemers later op te pakken).

Wat hier waarschijnlijk gebeurt is dat extern verkeer gemonitord wordt (al dan niet door versleuteld verkeer te ontsleutelen), dat vervolgens geheel automatisch wachtwoorden uit formulieren geextraheerd worden en tegen de domain server worden gevalideerd (de salt is publiek dus deze controle kan zonder enig probleem uitgevoerd worden met het plain-text password).

Vanuit een awareness oogpunt is die mail prima. Een van de weinig gevallen waar DLP (Data Leakage Protection) rommel iets zinnigs doet

"geen inspiratie" voor een wachtwoord daarentegen is een doodzonde voor het bedrijf. Blijkbaar heeft de toko niet standaard een wachtwoordmanager bij alle medewerkers geinstalleerd zodat alleen nog maar op 'generate password' geklikt hoeft te worden.

[ Voor 12% gewijzigd door Rukapul op 14-04-2021 12:16 ]

woensdag 14 april 2021 12:22

Acties:

Standeman

Prutser 1e klasse

jvanhambelgium schreef op woensdag 14 april 2021 @ 12:06:
Eigenlijk zou je eens op die laptop moeten surfen naar die bepaalde xxx.website.nl en vervolgens op het icoontje van het SSL-certificaat kijken en kijken wie de uitgever is ;-)

Volgens mij is er gewoon sprake van SSL-decrypt/interceptie op de internet-gateway.
Op die bedrijfslaptop staan denkelijk de nodige certificaten gepushed omdat allemaal transparent te maken.

Daar ben ik ook bang voor.

Je kan er dus vanuit gaan dat alle wachtwoorden die je op die laptop ingetikt hebt, (geautomatiseerd?) bekeken zijn door de werkgever en ze in feite op straat liggen. Van je bank, digi-id, ww-manager, etc.

Dus tijd om alle wachtwoorden te gaan veranderen die ooit ingevuld zijn op die laptop en deze alleen nog maar voor werk te gebruiken.

The ships hung in the sky in much the same way that bricks don’t.

woensdag 14 april 2021 12:22

Acties:

Ducksy88

Een beetje vreemd; wel lekker

Topicstarter

Dank je @jvanhambelgium @DukeBox en @Rukapul

De vraag is dus vooral welke communicatie is er naar mijn vriendin hierover geweest en is er een duidelijke policy opgesteld waar de monitoring voor dient etc.
Toch die papierwinkel even doorzoeken en kijken wat er met haar gedeeld is hierover.

jvanhambelgium schreef op woensdag 14 april 2021 @ 12:06:
Eigenlijk zou je eens op die laptop moeten surfen naar die bepaalde xxx.website.nl en vervolgens op het icoontje van het SSL-certificaat kijken en kijken wie de uitgever is ;-)

Volgens mij is er gewoon sprake van SSL-decrypt/interceptie op de internet-gateway.
Op die bedrijfslaptop staan denkelijk de nodige certificaten gepushed omdat allemaal transparent te maken.

Help me out here; als ze inderdaad op die manier naar het verkeer kijken, wat moet mij dan opvallen aan het certificaat? Dat het door hunzelf getekend is? (Chorus, of werkgever van mijn vriendin)

Standeman schreef op woensdag 14 april 2021 @ 12:22:
[...]

Je kan er dus vanuit gaan dat alle wachtwoorden die je op die laptop ingetikt hebt, (geautomatiseerd?) bekeken zijn door de werkgever en ze in feite op straat liggen. Van je bank, digi-id, ww-manager, etc.

Gelukkig heeft ze een werk ethos dat je tijdens werktijd gewoon niet prive dingen doet en dus maar heel weinig zaken op die laptop gedaan. Maar wel wat.

[ Voor 72% gewijzigd door Ducksy88 op 14-04-2021 12:27 ]

woensdag 14 april 2021 13:42

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Ducksy88 schreef op woensdag 14 april 2021 @ 12:22:
Help me out here; als ze inderdaad op die manier naar het verkeer kijken, wat moet mij dan opvallen aan het certificaat? Dat het door hunzelf getekend is? (Chorus, of werkgever van mijn vriendin)

SSL-verkeer inspecteren en daar wachtwoorden in proberen te vinden? Lijkt me heel onwaarschijnlijk, volgens mij is dat niet iets wat bedrijven doen.

Maar nogmaals, waarom laat je haar dit niet gewoon vragen? Het is een legitieme vraag.

Exchange en Office 365 specialist. Mijn blog.

woensdag 14 april 2021 14:27

Acties:

Martijn.C.V

Gewoon om je er bewust van te maken:

Blijkbaar kunnen ze *iets* met wachtwoorden inzien. Dat betekent dus dat ze mogelijk ALLE ingevulde wachtwoorden automatisch inspecteren.

Als ze ALLE wachtwoorden kunnen inspecteren, zou ze ook (uiteraard door een foutje) je wachtwoorden kunnen bijhouden/inzien.

Ga er dus voor de zekerheid maar van uit dat ALLES waar ze op ingelogd is (geweest) op die computer bij hun bekend is, en ze dus kunnen inloggen als je vriendin.
(Ik ga er vanuit dat ze dat niet door, maar ze kunnen het dus wel)

Complimentje?

woensdag 14 april 2021 14:43

Acties:

BlackMonkey

DukeBox schreef op woensdag 14 april 2021 @ 12:06:
[...]

Zakelijk chrome (Google Apps) account ? Zo ja dan zit het mogelijk daar in, die meldingen krijg ik ook regelmatig van mijn gebruikers als deze geen unieke pw gebruiken.

Dit. Laat haar is kijken of hier dezelfde match tussen de wachtwoorden wordt gemaakt: https://passwords.google.com/checkup

woensdag 14 april 2021 15:44

Acties:

torretje2012

BlackMonkey schreef op woensdag 14 april 2021 @ 14:43:
[...]

Dit. Laat haar is kijken of hier dezelfde match tussen de wachtwoorden wordt gemaakt: https://passwords.google.com/checkup

Kijk er wel even goed bij welke at risk / compromised zijn, hier klopte de lijst er van totaal niet.

woensdag 14 april 2021 16:22

Acties:

dennisp3n

Speciaal een account aangemaakt, ben normaal een "lezer"

Ik denk dat de corporate firewall een credential phishing prevention achtige functie heeft. Deze installeer ik zelf ook wel eens, wachtwoorden zijn dan _NIET_ bekend, maar aan de hand van een "bloom filter" kan een firewall kijken of ingevulde credentials overeen komen met de "corporate credentials".

SSL decryption moet hiervoor aan staan. Zie eerdere reacties voor hoe je dat kunt checken.

Zit ze thuis, heeft ze wellicht een VPN zonder splittunnel (alle verkeer gaat door de VPN heen), waardoor de firewall ook dit verkeer kan filteren (vanuit een security oogpunt: netjes!).

Kortom: het bedrijf kent niet haar credentials, maar kan wel haar "corporate credentials" vergelijken.

woensdag 14 april 2021 16:31

Acties:

Marzman

They'll never get caught.

Chrome heeft toch ook zo'n functie die je waarschuwt met je wachtwoorden als er iets is? Ik weet niet hoe, maar misschien doet dat bedrijf het op dezelfde manier. Iets met de hash denk ik.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

woensdag 14 april 2021 19:03

Acties:

Mickey77

Allround ICT-er

Ik zie mijzelf niet als een echte beveiligingsexpert maar ik heb wel kennis van php, salt en hash. Ik ga er van uit dat de twee accounts van de TS niet op dezelfde server worden gehost en dat de hashes bij een gelijk wachtwoord verschillend zijn. Omdat de server een eigen aandeel heeft in de hash. Toch?

Dus ik vind het in de eerste plaats vreemd als iemand in staat zou zijn om beide hashes in te zien (van twee verschillende databases). In de tweede plaats kan ik dan niet indenken dat iemand zou kunnen concluderen dat de wachtwoorden gelijk zouden zijn? Ik vind dit een heel gek verhaal dus ik denk dan ook aan keylogging of dat wachtwoorden zijn buit gemaakt ofzo... heel vreemd.

woensdag 14 april 2021 23:50

Acties:

laurens0619

dennisp3n schreef op woensdag 14 april 2021 @ 16:22:
Speciaal een account aangemaakt, ben normaal een "lezer"

Ik denk dat de corporate firewall een credential phishing prevention achtige functie heeft. Deze installeer ik zelf ook wel eens, wachtwoorden zijn dan _NIET_ bekend, maar aan de hand van een "bloom filter" kan een firewall kijken of ingevulde credentials overeen komen met de "corporate credentials".

SSL decryption moet hiervoor aan staan. Zie eerdere reacties voor hoe je dat kunt checken.

Zit ze thuis, heeft ze wellicht een VPN zonder splittunnel (alle verkeer gaat door de VPN heen), waardoor de firewall ook dit verkeer kan filteren (vanuit een security oogpunt: netjes!).

Kortom: het bedrijf kent niet haar credentials, maar kan wel haar "corporate credentials" vergelijken.

Ah zo werkt dat dus

enig idee of er ook endpoint oplossingen voor bestaan?

Deze kwam ik van fw tegen
https://docs.fortinet.com...ntial-phishing-prevention
https://docs.paloaltonetw...ntial-phishing-prevention

[ Voor 19% gewijzigd door laurens0619 op 14-04-2021 23:55 ]

CISSP! Drop your encryption keys!

zondag 18 april 2021 01:26

Acties:

aex351

I am the one

Ik weet dat bepaalde grote organisaties een tussen laag hebben in SSL/HTTPS verkeer. Je moet dan een bepaalde SSL certificaat accepteren voordat je gebruik kan maken van het internet. Hierdoor kunnen ze dus al het verkeer onderscheppen en ontcijferen. Dit alles in het kader van 'veiligheid'. ING is bijvoorbeeld zo'n bedrijf.

Dit kan je zien als een man-in-the-middle attack. Wikipedia: Man-in-the-middle attack. Wanneer je dus inlogt op je persoonlijke e-mail account of je logt in op je wachtwoord manager. Dan kan alles opgeslagen/ingezien worden. Nu is natuurlijk de vraag of het bedrijf / IT beheerder dit doet. Maar stel nu dat het bedrijf gehackt wordt. Dan heeft een derden toegang tot je gegevens.

Gelukkig is zo'n oplossing veilig

(schijnveiligheid). in elk geval een positief voordeel op dit alles: het houdt mensen aan het werk.

< dit stukje webruimte is te huur >