Tweak - Security

Dus omdat een interface je niet aanstaat, neem je aan dat alles kapot & onveilig is?

Tegenvraag; laat jouw gebouwde interfaces eens zie ; moeten we je dan ook niet meer inhuren als developer "want aannames hoe slecht de back-end is"?

Maar, in de trant van hoor & wederhoor: wat zei Tweak over jouw uitermate diepgravende en bewezen argumenten?

Tja op SSLlabs.com halen ze een B score. (Hoogste is A+)

https://www.ssllabs.com/s...n.tweak.nl&hideResults=on

Is niet heel slecht maar komt vooral omdat ze TLS 1.0 en TLS 1.1 nog hebben aanstaan. Hun Cipher Suites zouden ze iets kunnen verbeteren en ze lopen wat Apache updates achter maar zie eigenlijk geen andere schokkende dingen op dit gebied.

Jouw huidige werkgever (je bent makkelijk te vinden aangezien je username je echte naam is) scoort op bovenstaand gebied net zo slecht en ook een B (zelfde verhaal TLS 1.0 en TLS 1.2 + een hoop Weak Ciphers)

[ Voor 28% gewijzigd door HKLM_ op 14-02-2022 22:30 ]

Lendl Verschoor schreef op maandag 14 februari 2022 @ 21:50:
Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?

Het is bij andere aanbieders niet veel beter vrees ik.
Beste wat je kan doen is ze er op attent maken.

Ik kan jouw redenatie helemaal volgen. Vaak genoeg gezien dat als dit slecht is, het een teken is van de algemene security bewustwording en cultuur in een organisatie die erg onder de maat is. En helemaal mee eens, wachtwoord van 5 karakters zijn bizar kort en max 10 karakters is bizar weinig.

Ik had waarschijnlijk exact hetzelfde gedaan als jij. Het zegt niets of andere partijen het beter geregeld hebben, maar hier heerst waarschijnlijk een cultuur dat security er niet toe doet.

MAX3400 schreef op maandag 14 februari 2022 @ 21:55:
Dus omdat een interface je niet aanstaat, neem je aan dat alles kapot & onveilig is?

Waar rook is....

Tegenvraag; laat jouw gebouwde interfaces eens zie ; moeten we je dan ook niet meer inhuren als developer "want aannames hoe slecht de back-end is"?

Als alleen experts een mening mogen hebben over iets dan is elke discussie snel afgelopen, niet? En hier geeft de interface toch ook inzichten over de back-end.

Maar, in de trant van hoor & wederhoor: wat zei Tweak over jouw uitermate diepgravende en bewezen argumenten?

Doet dat er echt toe? Dat is toch ook niet de vraag die TS wil bespreken in dit topic? En met de laatste paar woorden ben je wel heel sarcastisch/denigrerend naar TS.

Prx schreef op dinsdag 15 februari 2022 @ 11:06:
[...]

Doet dat er echt toe? Dat is toch ook niet de vraag die TS wil bespreken in dit topic? En met de laatste paar woorden ben je wel heel sarcastisch/denigrerend naar TS.

Oke, leg uit?

Ik ben geen software-ontwikkelaar. Ik zie geen interface van Tweak. Ik ben geen afnemer bij ze met een account. Heb ook (nog) geen enkel contract waar financien tegenover staan.

Topicstarter roept dan 3 dingen: dat in zijn/haar/hen carriere de interface "minstens" 10 jaar geleden ook al voor kwam. En dat er een idee is over plain-text & niet encrypten. En dat de lengte van het password niet van deze tijd is.

De eerste twee zijn percepties / gokjes; er is geen bitje van bewezen en dat iets er oud uitziet, wil niet zeggen dat het niet werkt. Zie hieronder: zeg maar? Aan welke pixel mag / moet ik herkennen dat dit inlogscherm "veilig" is? Encrypted is? Niet 1, 3, 5 of 10 jaar "oud" is?


Het enige, maar nogmaals ik moet uitgaan van de topicstart zoals die er staat: ik weet niet of na het eerste inlogvenster met min-length 5 en max-length 10, je extra / andere / langere mogelijkheden hebt om het account te beveiligen. Dat een password van 5 kort is, absoluut. Dat je daar een leverancier even over kan bellen / informeren / extra info ophalen, absoluut.

Maar wat gebeurt er? Topicstarter zegt letterlijk: "Dit was voor mij genoeg reden om me contract op te zeggen". En Tweak reageert niet / niet meer / geen kans gekregen / niets? Ik weet het niet. En daar vraag ik dus om.

Dat jij dat als denigrerend bestempeld, helemaal prima. Maar plaats jouw mening dan wel in de context van de gegeven informatie uit de topicstart. En niet omdat iets anders jou niet zint in de vervolg-posts.

Lendl Verschoor schreef op maandag 14 februari 2022 @ 21:50:
Ik heb laatst een poging gedaan om van internet provider over te stappen.
Ik kwam daarbij op Tweak uit door een aanrader van een vriend en had het idee dat daar de geeks werken (door onder andere de tweakers podcast https://tweakers.net/geek...en-vrije-modemkeuzes.html).

Nadat ik het contract had ondertekend kreeg ik één e-mail met daarin de url naar het portaal me username en me wachtwoord. Na inloggen werdt er niet verwacht dat ik het wachtwoord veranderden. Toen ik uit me zelf me wachttwoord ging veranderen zag ik dat het wachtwoord aan de volgende regels moest voldoen 'Een password moet bestaan uit minimaal 5 karakters en maximaal 10.'. Het portaal ziet er daarnaast uit alsof het weinig tot geen aandacht heeft gekregen de afgelopen 10 jaar.

Dit was voor mij genoeg reden om me contract op te zeggen en naar een andere provider opzoek te gaan.
Ik ben zelf een software-ontwikkelaar en ik zag dit soort dingen 10 jaar geleden en heb sterk het idee dat ze de wachtwoorden in plain tekst opslaan en niet encrypten en wachtwoord van min 5 en max 10 karakters is niet meet van deze tijd imo.

Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?

Om antwoord te geven op je vraag - ja, dat kan zeker een reden zijn om een dienst niet te gebruiken. Ik zou echter gezien het product allicht even de moeite hebben genomen om contact op te nemen.

Ik zit zelf bij XS4ALL, en werk meestal met random 64 karakter wachtwoorden. Ik had een tijd lang problemen met inloggen omdat mijn wachtwoord niet zou kloppen, wat natuurlijk vreemd is met een manager. Bleek dat er iets fout ging bij het opslaan boven de 32 karakters (mismatch DB en front-end geloof ik). Is allemaal netjes opgepakt en opgelost.

Ik deel wel je vermoeden dat de opslag niet in orde is. Ik hoop dat het wachtwoord niet in die plaintext mail zat overigens. De eisen zijn ook absoluut niet meer van deze tijd, een minimum van 8 is het minste wat je kunt doen, en als je een maximum in wilt stellen gebruik dan 256 of 512. Anders krijg je grapjassen die het script van de Bee Movie als wachtwoord gaan gebruiken.

En om te mieren neuken - wachtwoorden wil je niet encrypt opslaan, want dan zijn ze alsnog te achterhalen, daarom gebruiken we (salted) hashes Niet zelf verzinnen, gebruik gewoon een variant van Argon2 of vergelijkbaars.

MAX3400 schreef op dinsdag 15 februari 2022 @ 11:25:
[...]

Oke, leg uit?

Ik ben geen software-ontwikkelaar. Ik zie geen interface van Tweak. Ik ben geen afnemer bij ze met een account. Heb ook (nog) geen enkel contract waar financien tegenover staan.

Topicstarter roept dan 3 dingen: dat in zijn/haar/hen carriere de interface "minstens" 10 jaar geleden ook al voor kwam. En dat er een idee is over plain-text & niet encrypten. En dat de lengte van het password niet van deze tijd is.

De eerste twee zijn percepties / gokjes; er is geen bitje van bewezen en dat iets er oud uitziet, wil niet zeggen dat het niet werkt. Zie hieronder: zeg maar? Aan welke pixel mag / moet ik herkennen dat dit inlogscherm "veilig" is? Encrypted is? Niet 1, 3, 5 of 10 jaar "oud" is?
[Afbeelding]

Het enige, maar nogmaals ik moet uitgaan van de topicstart zoals die er staat: ik weet niet of na het eerste inlogvenster met min-length 5 en max-length 10, je extra / andere / langere mogelijkheden hebt om het account te beveiligen. Dat een password van 5 kort is, absoluut. Dat je daar een leverancier even over kan bellen / informeren / extra info ophalen, absoluut.

Maar wat gebeurt er? Topicstarter zegt letterlijk: "Dit was voor mij genoeg reden om me contract op te zeggen". En Tweak reageert niet / niet meer / geen kans gekregen / niets? Ik weet het niet. En daar vraag ik dus om.

Wanneer wachtwoorden hashed worden opgeslagen zal er altijd een vaste lengte uitkomen, waarmee het database schema hier dus exact op aangepast kan worden. Een SHA-256 hash is 64 karakters in de database bijvoorbeeld. Als er met vaste lengtes wordt gewerkt dan is dit alleen te verantwoorden omdat je geen grote input in je formulieren wil verwerken server-side. Maar dan is 10 nogsteeds veel te beperkt. Dit soort restricties kunnen inderdaad wijzen op het plaintext opslaan van wachtwoorden. Dus TS zit helemaal niet verkeerd te denken.

Dat een password van 5 kort is, absoluut. Dat je daar een leverancier even over kan bellen / informeren / extra info ophalen, absoluut.

Maar wat gebeurt er? Topicstarter zegt letterlijk: "Dit was voor mij genoeg reden om me contract op te zeggen". En Tweak reageert niet / niet meer / geen kans gekregen / niets? Ik weet het niet. En daar vraag ik dus om.

Waarom? Realistisch gezien gaat TS hier toch helemaal geen invloed kunnen uitoefenen, doe normaal zeg. En TS is helemaal niet verplicht om hier over te bellen en dat hoeft ook niet normaal te zijn. Als je het niet eens bent met hoe een dienst geleverd wordt (en dit is uiteindelijk onderdeel van die dienst in het geheel) dan is het zijn geheel recht om hier conclusies aan te verbinden.

Als Tweak dan een feedback vraagje stuurt dan is ook dat aan TS of hij dat wil laten weten.

Dat jij dat als denigrerend bestempeld, helemaal prima. Maar plaats jouw mening dan wel in de context van de gegeven informatie uit de topicstart. En niet omdat iets anders jou niet zint in de vervolg-posts.

Nee, denigrerend is jouw opmerking "jouw uitermate diepgravende en bewezen argumenten" en hoe je het brengt. Formuleer het dan gewoon even normaal...

Prx schreef op dinsdag 15 februari 2022 @ 11:35:
[...]

Dit soort restricties kunnen inderdaad wijzen op het plaintext opslaan van wachtwoorden. Dus TS zit helemaal niet verkeerd te denken.

+

Prx schreef op dinsdag 15 februari 2022 @ 11:06:
[...]

Als alleen experts een mening mogen hebben over iets dan is elke discussie snel afgelopen, niet? En hier geeft de interface toch ook inzichten over de back-end.

Nogmaals, en blijkbaar praten we langs elkaar heen: als de topicstart uitlegt (dus, exact wat je zegt ook "mindere experts" kunnen bijdragen / meelezen / helpen) waarom er niet verkeerd gedacht wordt, dan is de perceptie toch meteen anders?

Je legt het nu toch ook simpel & duidelijk en bijna sluitend uit? Lengte vs. restrictie vs. database. En als daarmee dan een topicstart net anders, duidelijker, technischer ingekleed zou zijn, dan zijn we er toch? En dan is de uiteindelijk vraag "Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?" toch meteen veel meer valide en beantwoordbaar?

Dat men dan hier alsmede hiermee alsnog de situatie negeert en/of niet met de leverancier bespreekt; ieder zo zijn heug en meug. Wel komen aangeven dat het mogelijk allemaal niet zo veilig lijkt maar dan er verder niets mee doen. Is de volgende klant ermee geholpen? Is Tweak ermee geholpen (dat hun naam nu hier geGoogle-cached is zonder wederhoor en zonder bewijs!!!!)?

@Lendl Verschoor neem aan dat je ook contact hebt gehad met de privacy-medewerkers van Tweak? Want je hebt ook recht om vergeten te worden bij ze. En als ze niet reageren en/of je bent het niet eens dat bepaalde data verwerkt wordt (zoals dus jouw perceptie van een kort password), mag je ook melding maken bij AP. Staat allemaal op hun site.

Lendl Verschoor schreef op dinsdag 15 februari 2022 @ 17:34:
[...]

Ja samen met de username, dit is ook het geval bij wachtwoord vergeten als je een nieuw wachtwoord krijgt opgestuurd.

Dat kan echt niet meer. Melden bij AP voor niet volgen AVG wetgeving en https://plaintextoffenders.com/ wat mij betreft.
Ik kan zo snel de AVG norm niet vinden, maar op basis van de GDPR:
https://ico.org.uk/for-or...words-in-online-services/

Primair hieruit:

Any password system you deploy must protect against theft of stored passwords and ‘brute-force’ or guessing attacks.
There are a number of additional considerations you will need to take account of when designing your password system, such as the use of an appropriate hashing algorithm to store your passwords, protecting the means by which users enter their passwords, defending against common attacks and the use of two-factor authentication.
...
When deploying a password reset process you should ensure that it is secure. Do not send passwords over email, even if they are temporary – use one time links, and ensure that you do not leak the credentials in any referral headers.

Alles van wat je aangeeft wijst echt op een enorme rommel op dit vlak.

Lendl Verschoor schreef op maandag 14 februari 2022 @ 21:50:
...
Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?

Ja, regelmatig. Niet zozeer op technisch inhoudelijke aspecten, maar gewoon omdat het me irriteert.
Vandaag toevallig op zoek geweest naar een inductie fornuis. Had één van de aanbieders een mooie reclame stunt: inductie fornuis met gratis een gasslang. WTF? Bij zo'n toko koop ik dus nooit niks meer.
In de situatie die jij schetst zou ik hetzelfde doen; password restrikties uit het jaar kruik? Rot op