Toon posts:

Tweak - Security

Pagina: 1
Acties:

  • Lendl Verschoor
  • Registratie: April 2015
  • Laatst online: 17-04-2022
Ik heb laatst een poging gedaan om van internet provider over te stappen.
Ik kwam daarbij op Tweak uit door een aanrader van een vriend en had het idee dat daar de geeks werken (door onder andere de tweakers podcast https://tweakers.net/geek...en-vrije-modemkeuzes.html).

Nadat ik het contract had ondertekend kreeg ik één e-mail met daarin de url naar het portaal me username en me wachtwoord. Na inloggen werdt er niet verwacht dat ik het wachtwoord veranderden. Toen ik uit me zelf me wachttwoord ging veranderen zag ik dat het wachtwoord aan de volgende regels moest voldoen 'Een password moet bestaan uit minimaal 5 karakters en maximaal 10.'. Het portaal ziet er daarnaast uit alsof het weinig tot geen aandacht heeft gekregen de afgelopen 10 jaar.

Dit was voor mij genoeg reden om me contract op te zeggen en naar een andere provider opzoek te gaan.
Ik ben zelf een software-ontwikkelaar en ik zag dit soort dingen 10 jaar geleden en heb sterk het idee dat ze de wachtwoorden in plain tekst opslaan en niet encrypten en wachtwoord van min 5 en max 10 karakters is niet meet van deze tijd imo.

Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 21-12-2022

MAX3400

XBL: OctagonQontrol

Dus omdat een interface je niet aanstaat, neem je aan dat alles kapot & onveilig is?

Tegenvraag; laat jouw gebouwde interfaces eens zie ; moeten we je dan ook niet meer inhuren als developer "want aannames hoe slecht de back-end is"?

Maar, in de trant van hoor & wederhoor: wat zei Tweak over jouw uitermate diepgravende en bewezen argumenten?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 10:27
Tja op SSLlabs.com halen ze een B score. (Hoogste is A+)

https://www.ssllabs.com/s...n.tweak.nl&hideResults=on

Is niet heel slecht maar komt vooral omdat ze TLS 1.0 en TLS 1.1 nog hebben aanstaan. Hun Cipher Suites zouden ze iets kunnen verbeteren en ze lopen wat Apache updates achter maar zie eigenlijk geen andere schokkende dingen op dit gebied.

Jouw huidige werkgever (je bent makkelijk te vinden aangezien je username je echte naam is) scoort op bovenstaand gebied net zo slecht en ook een B (zelfde verhaal TLS 1.0 en TLS 1.2 + een hoop Weak Ciphers) >:)

[Voor 28% gewijzigd door HKLM_ op 14-02-2022 22:30]

πŸ‘©β€πŸš€ -> Astronauts use Linux because you cant open Windows in space <- πŸš€


  • Jaaap
  • Registratie: Februari 2000
  • Niet online
Lendl Verschoor schreef op maandag 14 februari 2022 @ 21:50:
Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?
Het is bij andere aanbieders niet veel beter vrees ik.
Beste wat je kan doen is ze er op attent maken.

Dat betekent
Het gebeurt
Dit verandert
Wat bepaalt


  • Lendl Verschoor
  • Registratie: April 2015
  • Laatst online: 17-04-2022
MAX3400 schreef op maandag 14 februari 2022 @ 21:55:
Dus omdat een interface je niet aanstaat, neem je aan dat alles kapot & onveilig is?

Tegenvraag; laat jouw gebouwde interfaces eens zie ; moeten we je dan ook niet meer inhuren als developer "want aannames hoe slecht de back-end is"?

Maar, in de trant van hoor & wederhoor: wat zei Tweak over jouw uitermate diepgravende en bewezen argumenten?
Ik wil niet de indruk maken dat ik het beter kan en krijg het idee dat ik me vraag verkeerd heb geformuleerd.
Dit is wat ik heb meegemaakt en ik heb door bepaalde redenen zo gehandeld en ja misschien wat te snel.
En die redenen zijn aan de hand van aannamens omdat ik beperkte kennis en inzicht heb.

Dus ik vroeg me af of jullie ook zo zouden handelen of is dit te kort door de bocht?
HKLM_ schreef op maandag 14 februari 2022 @ 22:00:
Tja op SSLlabs.com halen ze een B score. (Hoogste is A+)

https://www.ssllabs.com/s...n.tweak.nl&hideResults=on

Is niet heel slecht maar komt vooral omdat ze TLS 1.0 en TLS 1.1 nog hebben aanstaan. Hun Cipher Suites zouden ze iets kunnen verbeteren en ze lopen wat Apache updates achter maar zie eigenlijk geen andere schokkende dingen op dit gebied.

Jouw huidige werkgever (je bent makkelijk te vinden aangezien je username je echte naam is) schoort op bovenstaand gebied net zo slecht en ook een B (zelfde verhaal TLS 1.0 en TLS 1.2 + een hoop Weak Ciphers) >:)
Leuk om deze data in te kunnen zien.
Jaaap schreef op maandag 14 februari 2022 @ 22:02:
[...]

Het is bij andere aanbieders niet veel beter vrees ik.
Beste wat je kan doen is ze er op attent maken.
Ja waarschijnlijk wel, heb dit niet gedaan ga dit gelijk doen (is wel zo netjes, goede tip).

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 28-01 19:31
Ik kan jouw redenatie helemaal volgen. Vaak genoeg gezien dat als dit slecht is, het een teken is van de algemene security bewustwording en cultuur in een organisatie die erg onder de maat is. En helemaal mee eens, wachtwoord van 5 karakters zijn bizar kort en max 10 karakters is bizar weinig.

Ik had waarschijnlijk exact hetzelfde gedaan als jij. Het zegt niets of andere partijen het beter geregeld hebben, maar hier heerst waarschijnlijk een cultuur dat security er niet toe doet.

  • Prx
  • Registratie: September 2002
  • Nu online

Prx

β™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿ

MAX3400 schreef op maandag 14 februari 2022 @ 21:55:
Dus omdat een interface je niet aanstaat, neem je aan dat alles kapot & onveilig is?
Waar rook is....
Tegenvraag; laat jouw gebouwde interfaces eens zie ; moeten we je dan ook niet meer inhuren als developer "want aannames hoe slecht de back-end is"?
Als alleen experts een mening mogen hebben over iets dan is elke discussie snel afgelopen, niet? En hier geeft de interface toch ook inzichten over de back-end.
Maar, in de trant van hoor & wederhoor: wat zei Tweak over jouw uitermate diepgravende en bewezen argumenten?
Doet dat er echt toe? Dat is toch ook niet de vraag die TS wil bespreken in dit topic? En met de laatste paar woorden ben je wel heel sarcastisch/denigrerend naar TS.

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 21-12-2022

MAX3400

XBL: OctagonQontrol

Prx schreef op dinsdag 15 februari 2022 @ 11:06:
[...]

Doet dat er echt toe? Dat is toch ook niet de vraag die TS wil bespreken in dit topic? En met de laatste paar woorden ben je wel heel sarcastisch/denigrerend naar TS.
Oke, leg uit?

Ik ben geen software-ontwikkelaar. Ik zie geen interface van Tweak. Ik ben geen afnemer bij ze met een account. Heb ook (nog) geen enkel contract waar financien tegenover staan.

Topicstarter roept dan 3 dingen: dat in zijn/haar/hen carriere de interface "minstens" 10 jaar geleden ook al voor kwam. En dat er een idee is over plain-text & niet encrypten. En dat de lengte van het password niet van deze tijd is.

De eerste twee zijn percepties / gokjes; er is geen bitje van bewezen en dat iets er oud uitziet, wil niet zeggen dat het niet werkt. Zie hieronder: zeg maar? Aan welke pixel mag / moet ik herkennen dat dit inlogscherm "veilig" is? Encrypted is? Niet 1, 3, 5 of 10 jaar "oud" is?


Het enige, maar nogmaals ik moet uitgaan van de topicstart zoals die er staat: ik weet niet of na het eerste inlogvenster met min-length 5 en max-length 10, je extra / andere / langere mogelijkheden hebt om het account te beveiligen. Dat een password van 5 kort is, absoluut. Dat je daar een leverancier even over kan bellen / informeren / extra info ophalen, absoluut.

Maar wat gebeurt er? Topicstarter zegt letterlijk: "Dit was voor mij genoeg reden om me contract op te zeggen". En Tweak reageert niet / niet meer / geen kans gekregen / niets? Ik weet het niet. En daar vraag ik dus om.

Dat jij dat als denigrerend bestempeld, helemaal prima. Maar plaats jouw mening dan wel in de context van de gegeven informatie uit de topicstart. En niet omdat iets anders jou niet zint in de vervolg-posts.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 23:57
Lendl Verschoor schreef op maandag 14 februari 2022 @ 21:50:
Ik heb laatst een poging gedaan om van internet provider over te stappen.
Ik kwam daarbij op Tweak uit door een aanrader van een vriend en had het idee dat daar de geeks werken (door onder andere de tweakers podcast https://tweakers.net/geek...en-vrije-modemkeuzes.html).

Nadat ik het contract had ondertekend kreeg ik één e-mail met daarin de url naar het portaal me username en me wachtwoord. Na inloggen werdt er niet verwacht dat ik het wachtwoord veranderden. Toen ik uit me zelf me wachttwoord ging veranderen zag ik dat het wachtwoord aan de volgende regels moest voldoen 'Een password moet bestaan uit minimaal 5 karakters en maximaal 10.'. Het portaal ziet er daarnaast uit alsof het weinig tot geen aandacht heeft gekregen de afgelopen 10 jaar.

Dit was voor mij genoeg reden om me contract op te zeggen en naar een andere provider opzoek te gaan.
Ik ben zelf een software-ontwikkelaar en ik zag dit soort dingen 10 jaar geleden en heb sterk het idee dat ze de wachtwoorden in plain tekst opslaan en niet encrypten en wachtwoord van min 5 en max 10 karakters is niet meet van deze tijd imo.

Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?
Om antwoord te geven op je vraag - ja, dat kan zeker een reden zijn om een dienst niet te gebruiken. Ik zou echter gezien het product allicht even de moeite hebben genomen om contact op te nemen.

Ik zit zelf bij XS4ALL, en werk meestal met random 64 karakter wachtwoorden. Ik had een tijd lang problemen met inloggen omdat mijn wachtwoord niet zou kloppen, wat natuurlijk vreemd is met een manager. Bleek dat er iets fout ging bij het opslaan boven de 32 karakters (mismatch DB en front-end geloof ik). Is allemaal netjes opgepakt en opgelost.

Ik deel wel je vermoeden dat de opslag niet in orde is. Ik hoop dat het wachtwoord niet in die plaintext mail zat overigens. De eisen zijn ook absoluut niet meer van deze tijd, een minimum van 8 is het minste wat je kunt doen, en als je een maximum in wilt stellen gebruik dan 256 of 512. Anders krijg je grapjassen die het script van de Bee Movie als wachtwoord gaan gebruiken.

En om te mieren neuken - wachtwoorden wil je niet encrypt opslaan, want dan zijn ze alsnog te achterhalen, daarom gebruiken we (salted) hashes :) Niet zelf verzinnen, gebruik gewoon een variant van Argon2 of vergelijkbaars.

  • Prx
  • Registratie: September 2002
  • Nu online

Prx

β™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿβ™Ÿ

MAX3400 schreef op dinsdag 15 februari 2022 @ 11:25:
[...]

Oke, leg uit?

Ik ben geen software-ontwikkelaar. Ik zie geen interface van Tweak. Ik ben geen afnemer bij ze met een account. Heb ook (nog) geen enkel contract waar financien tegenover staan.

Topicstarter roept dan 3 dingen: dat in zijn/haar/hen carriere de interface "minstens" 10 jaar geleden ook al voor kwam. En dat er een idee is over plain-text & niet encrypten. En dat de lengte van het password niet van deze tijd is.

De eerste twee zijn percepties / gokjes; er is geen bitje van bewezen en dat iets er oud uitziet, wil niet zeggen dat het niet werkt. Zie hieronder: zeg maar? Aan welke pixel mag / moet ik herkennen dat dit inlogscherm "veilig" is? Encrypted is? Niet 1, 3, 5 of 10 jaar "oud" is?
[Afbeelding]

Het enige, maar nogmaals ik moet uitgaan van de topicstart zoals die er staat: ik weet niet of na het eerste inlogvenster met min-length 5 en max-length 10, je extra / andere / langere mogelijkheden hebt om het account te beveiligen. Dat een password van 5 kort is, absoluut. Dat je daar een leverancier even over kan bellen / informeren / extra info ophalen, absoluut.

Maar wat gebeurt er? Topicstarter zegt letterlijk: "Dit was voor mij genoeg reden om me contract op te zeggen". En Tweak reageert niet / niet meer / geen kans gekregen / niets? Ik weet het niet. En daar vraag ik dus om.
Wanneer wachtwoorden hashed worden opgeslagen zal er altijd een vaste lengte uitkomen, waarmee het database schema hier dus exact op aangepast kan worden. Een SHA-256 hash is 64 karakters in de database bijvoorbeeld. Als er met vaste lengtes wordt gewerkt dan is dit alleen te verantwoorden omdat je geen grote input in je formulieren wil verwerken server-side. Maar dan is 10 nogsteeds veel te beperkt. Dit soort restricties kunnen inderdaad wijzen op het plaintext opslaan van wachtwoorden. Dus TS zit helemaal niet verkeerd te denken.
Dat een password van 5 kort is, absoluut. Dat je daar een leverancier even over kan bellen / informeren / extra info ophalen, absoluut.

Maar wat gebeurt er? Topicstarter zegt letterlijk: "Dit was voor mij genoeg reden om me contract op te zeggen". En Tweak reageert niet / niet meer / geen kans gekregen / niets? Ik weet het niet. En daar vraag ik dus om.
Waarom? Realistisch gezien gaat TS hier toch helemaal geen invloed kunnen uitoefenen, doe normaal zeg. En TS is helemaal niet verplicht om hier over te bellen en dat hoeft ook niet normaal te zijn. Als je het niet eens bent met hoe een dienst geleverd wordt (en dit is uiteindelijk onderdeel van die dienst in het geheel) dan is het zijn geheel recht om hier conclusies aan te verbinden.

Als Tweak dan een feedback vraagje stuurt dan is ook dat aan TS of hij dat wil laten weten.
Dat jij dat als denigrerend bestempeld, helemaal prima. Maar plaats jouw mening dan wel in de context van de gegeven informatie uit de topicstart. En niet omdat iets anders jou niet zint in de vervolg-posts.
Nee, denigrerend is jouw opmerking "jouw uitermate diepgravende en bewezen argumenten" en hoe je het brengt. Formuleer het dan gewoon even normaal...

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 21-12-2022

MAX3400

XBL: OctagonQontrol

Prx schreef op dinsdag 15 februari 2022 @ 11:35:
[...]

Dit soort restricties kunnen inderdaad wijzen op het plaintext opslaan van wachtwoorden. Dus TS zit helemaal niet verkeerd te denken.
+
Prx schreef op dinsdag 15 februari 2022 @ 11:06:
[...]

Als alleen experts een mening mogen hebben over iets dan is elke discussie snel afgelopen, niet? En hier geeft de interface toch ook inzichten over de back-end.
Nogmaals, en blijkbaar praten we langs elkaar heen: als de topicstart uitlegt (dus, exact wat je zegt ook "mindere experts" kunnen bijdragen / meelezen / helpen) waarom er niet verkeerd gedacht wordt, dan is de perceptie toch meteen anders?

Je legt het nu toch ook simpel & duidelijk en bijna sluitend uit? Lengte vs. restrictie vs. database. En als daarmee dan een topicstart net anders, duidelijker, technischer ingekleed zou zijn, dan zijn we er toch? En dan is de uiteindelijk vraag "Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?" toch meteen veel meer valide en beantwoordbaar?

Dat men dan hier alsmede hiermee alsnog de situatie negeert en/of niet met de leverancier bespreekt; ieder zo zijn heug en meug. Wel komen aangeven dat het mogelijk allemaal niet zo veilig lijkt maar dan er verder niets mee doen. Is de volgende klant ermee geholpen? Is Tweak ermee geholpen (dat hun naam nu hier geGoogle-cached is zonder wederhoor en zonder bewijs!!!!)?

@Lendl Verschoor neem aan dat je ook contact hebt gehad met de privacy-medewerkers van Tweak? Want je hebt ook recht om vergeten te worden bij ze. En als ze niet reageren en/of je bent het niet eens dat bepaalde data verwerkt wordt (zoals dus jouw perceptie van een kort password), mag je ook melding maken bij AP. Staat allemaal op hun site.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


  • Lendl Verschoor
  • Registratie: April 2015
  • Laatst online: 17-04-2022
Zebby schreef op dinsdag 15 februari 2022 @ 11:34:
[...]
Ik hoop dat het wachtwoord niet in die plaintext mail zat overigens.
Ja samen met de username, dit is ook het geval bij wachtwoord vergeten als je een nieuw wachtwoord krijgt opgestuurd.
Zebby schreef op dinsdag 15 februari 2022 @ 11:34:
[...]
En om te mieren neuken - wachtwoorden wil je niet encrypt opslaan, want dan zijn ze alsnog te achterhalen, daarom gebruiken we (salted) hashes :) Niet zelf verzinnen, gebruik gewoon een variant van Argon2 of vergelijkbaars.
Ja klopt maar ik wist niet zeker of dit ook verplicht is.
MAX3400 schreef op dinsdag 15 februari 2022 @ 12:21:
Je legt het nu toch ook simpel & duidelijk en bijna sluitend uit? Lengte vs. restrictie vs. database. En als daarmee dan een topicstart net anders, duidelijker, technischer ingekleed zou zijn, dan zijn we er toch? En dan is de uiteindelijk vraag "Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?" toch meteen veel meer valide en beantwoordbaar?
Ik dacht dat het met een voorbeeld me ervaring duidelijker was, maar dat is onnodig had het ook bij de techniek kunnen houden 8)7 .
MAX3400 schreef op dinsdag 15 februari 2022 @ 12:21:
@Lendl Verschoor neem aan dat je ook contact hebt gehad met de privacy-medewerkers van Tweak? Want je hebt ook recht om vergeten te worden bij ze. En als ze niet reageren en/of je bent het niet eens dat bepaalde data verwerkt wordt (zoals dus jouw perceptie van een kort password), mag je ook melding maken bij AP. Staat allemaal op hun site.
Ik heb dit ook gelijk ingediend bij het annuleren van me contract, helaas is dit nog niet gebeurd en na de reactie van @Jaaap heb ik het gisteren nog een keer gevraagd en me feedback gedeelt.

  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 23:57
Lendl Verschoor schreef op dinsdag 15 februari 2022 @ 17:34:
[...]

Ja samen met de username, dit is ook het geval bij wachtwoord vergeten als je een nieuw wachtwoord krijgt opgestuurd.
Dat kan echt niet meer. Melden bij AP voor niet volgen AVG wetgeving en https://plaintextoffenders.com/ wat mij betreft.
Ik kan zo snel de AVG norm niet vinden, maar op basis van de GDPR:
https://ico.org.uk/for-or...words-in-online-services/

Primair hieruit:
Any password system you deploy must protect against theft of stored passwords and β€˜brute-force’ or guessing attacks.
There are a number of additional considerations you will need to take account of when designing your password system, such as the use of an appropriate hashing algorithm to store your passwords, protecting the means by which users enter their passwords, defending against common attacks and the use of two-factor authentication.
...
When deploying a password reset process you should ensure that it is secure. Do not send passwords over email, even if they are temporary – use one time links, and ensure that you do not leak the credentials in any referral headers.
Alles van wat je aangeeft wijst echt op een enorme rommel op dit vlak.

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Lendl Verschoor schreef op maandag 14 februari 2022 @ 21:50:
...
Ik vroeg me af of dit ook een reden zou zijn voor jullie om een service niet te gebruiken?
Ja, regelmatig. Niet zozeer op technisch inhoudelijke aspecten, maar gewoon omdat het me irriteert.
Vandaag toevallig op zoek geweest naar een inductie fornuis. Had één van de aanbieders een mooie reclame stunt: inductie fornuis met gratis een gasslang. WTF? Bij zo'n toko koop ik dus nooit niks meer.
In de situatie die jij schetst zou ik hetzelfde doen; password restrikties uit het jaar kruik? Rot op

QnJhaGlld2FoaWV3YQ==

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee