Toon posts:

Buckaroo stuurt wachtwoord via e-mail

Pagina: 1
Acties:

dinsdag 22 februari 2022 16:15

Acties:
  • +1Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 03-02 15:14

TCMR

Topicstarter
Onze CPSP (Buckaroo) stuurde ons zojuist, zonder dat wij hierom gevraagd hebben, via e-mail (!) inloggegevens voor onze accountomgeving (migratie vanwege overname Sisow). Wow!

Dit soort praktijken kom je (gelukkig) niet tegen bij serieuze financiële dienstverleners. Zijn er geen regels voor CPSP's vanuit Current die veiliger procedures vereisen? We zijn verbijsterd. Als je weet waar je allemaal aan moet voldoen voordat je via iDeal betalingen mag gaan (laten) verwerken, dan snap ik deze volstrekt amateuristische manier van verstrekken van wachtwoorden niet. Weet iemand of er regels zijn waaruit blijkt dat financiële dienstverleners bepaalde beveiligingseisen in acht moeten nemen bij het verstrekken van gevoelige gegevens?

Ik was er 100% van overtuigd dat het phishingberichten waren, maar navraag bij hun supportafdeling bevestigt dat ze serieus gewoon wachtwoorden op deze manier versturen.

[Voor 10% gewijzigd door TCMR op 22-02-2022 16:16]

Elektrische auto besteld? Levertijd gokken via https://evdelivery.org

woensdag 23 februari 2022 15:03

Acties:
  • 0Henk 'm!
  • oak3
  • Registratie: Juli 2010
  • Laatst online: 03-02 20:19

oak3

Helemaal mee eens dat je dit niet verwacht van een dergelijke partij. Zullen waarschijnlijk weinig regels voor zijn, maar zou het bij hen escaleren en er een serieuze klacht van maken. Waarschijnlijk zijn ze daar wel gevoelig voor.

woensdag 23 februari 2022 15:07

Acties:
  • 0Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:48

celshof

Ik kan me niet voorstellen dat dit volgens de PCI regels is. En nou mag Buckaroo niet de grootste provider zijn, ze bestaan toch al best een tijd en zijn ook niet klein.

woensdag 23 februari 2022 15:21

Acties:
  • 0Henk 'm!
  • oak3
  • Registratie: Juli 2010
  • Laatst online: 03-02 20:19

oak3

celshof schreef op woensdag 23 februari 2022 @ 15:07:
Ik kan me niet voorstellen dat dit volgens de PCI regels is. En nou mag Buckaroo niet de grootste provider zijn, ze bestaan toch al best een tijd en zijn ook niet klein.
Dat zal zeker niet het geval zijn, maar je mag je afvragen of dit systeem in de scope van de regels valt. Waarschijnlijk niet.

woensdag 23 februari 2022 19:15

Acties:
  • 0Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:48

celshof

oak3 schreef op woensdag 23 februari 2022 @ 15:21:
[...]


Dat zal zeker niet het geval zijn, maar je mag je afvragen of dit systeem in de scope van de regels valt. Wraarschijnlijk niet.
ik twijfel ook. Ik ken de systemen van Buckaroo niet goed genoeg om dat in te schatten.

donderdag 24 februari 2022 15:11

Acties:
  • 0Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 03-02 15:14

TCMR

Topicstarter
Inmiddels bericht vanuit de ticket dat "de vraag is doorgezet naar collega's van de security afdeling". Ik ben reuzebenieuwd...

@celshof Bedankt voor de link naar PCI.

Elektrische auto besteld? Levertijd gokken via https://evdelivery.org

vrijdag 25 februari 2022 18:37

Acties:
  • 0Henk 'm!
  • Darses
  • Registratie: September 2017
  • Niet online

Darses

celshof schreef op woensdag 23 februari 2022 @ 15:07:
Ik kan me niet voorstellen dat dit volgens de PCI regels is. En nou mag Buckaroo niet de grootste provider zijn, ze bestaan toch al best een tijd en zijn ook niet klein.
De PCI regels zijn alleen van toepassing op systemen die credit card gegevens verwerken. Als het gaat om een wachtwoord van een gebuiker/account systeem, dan zullen die niet onder de PCI regels vallen.

In de OP lees ik dat het wachtwoord opgestuurd is naar aanleiding van een migratie. Waarschijnlijk moesten er nieuwe accounts aangemaakt worden voor deze migratie en moet daarbij ook het nieuwe wachtwoord gecommuniceerd worden. Een alternatieve oplossing zou zijn dat je een registratielink krijgt waarbij je zelf een account kan aanmaken. Qua beveiliging maakt dat natuurlijk geen verschil, als je de e-mail kan onderscheppen ben je in beide gevallen binnen. Maar goed, dat is een beetje speculeren waarom dit zo gelopen is.

vrijdag 25 februari 2022 19:27

Acties:
  • 0Henk 'm!
  • FuaZe
  • Registratie: April 2014
  • Laatst online: 18:05

FuaZe

Is het een nieuw wachtwoord of sturen ze jou 'eigen' wachtwoord?

Dat tweede moet namelijk niet eens mogelijk zijn...

zaterdag 26 februari 2022 00:42

Acties:
  • 0Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:48

celshof

Darses schreef op vrijdag 25 februari 2022 @ 18:37:
[...]
De PCI regels zijn alleen van toepassing op systemen die credit card gegevens verwerken. Als het gaat om een wachtwoord van een gebuiker/account systeem, dan zullen die niet onder de PCI regels vallen.
Systemen die allerlei betalingsgegevens verwerken en opslaan. En met het wachtwoord kun je inloggen op je omgeving, waar je wellicht wel toegang tot dit soort gegevens hebt of actie mee kunt ondernemen (bijvoorbeeld een refund initiëren).

zaterdag 26 februari 2022 01:26

Acties:
  • 0Henk 'm!
  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 03-02 21:57

Zebby

Darses schreef op vrijdag 25 februari 2022 @ 18:37:
[...]


De PCI regels zijn alleen van toepassing op systemen die credit card gegevens verwerken. Als het gaat om een wachtwoord van een gebuiker/account systeem, dan zullen die niet onder de PCI regels vallen.

In de OP lees ik dat het wachtwoord opgestuurd is naar aanleiding van een migratie. Waarschijnlijk moesten er nieuwe accounts aangemaakt worden voor deze migratie en moet daarbij ook het nieuwe wachtwoord gecommuniceerd worden. Een alternatieve oplossing zou zijn dat je een registratielink krijgt waarbij je zelf een account kan aanmaken. Qua beveiliging maakt dat natuurlijk geen verschil, als je de e-mail kan onderscheppen ben je in beide gevallen binnen. Maar goed, dat is een beetje speculeren waarom dit zo gelopen is.
Het wordt verplicht voor partijen die CC data verwerken, maar is wel een breder geaccepteerde IT Security standaard binnen de financiele markt. Anders zijn er genoeg andere NEN normen waar dit wordt verwacht, of ISO 27001.
PCI Security Standards
Each Merchant and Payment Service Provider that accepts credit card transactions, has to meet the PCI Data Security safety standards required by the major credit card companies. Each year, Buckaroo is audited for the purpose of monitoring compliance with these standards. Needless to say, Buckaroo meets the most onerous security requirements. Check out Buckaroo’sPCI certificate yourself.
https://www.buckaroo.eu/m...tion_11-november-2021.pdf

Ook maar een mailtje naar SecureTrust dan maar. Dit kan echt niet. Stuur aub die mail met wachtwoord en alles erin (na wijziging uiteraard) door: Any queries please contact SecureTrust at ComplianceQA@SecureTrust.com.

[Voor 4% gewijzigd door Zebby op 26-02-2022 01:28]

zaterdag 26 februari 2022 01:31

Acties:
  • 0Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 16:27

Reptile209

- gers -

Darses schreef op vrijdag 25 februari 2022 @ 18:37:
[...]
Qua beveiliging maakt dat natuurlijk geen verschil, als je de e-mail kan onderscheppen ben je in beide gevallen binnen. Maar goed, dat is een beetje speculeren waarom dit zo gelopen is.
Jawel, dat maakt uit. Als ze je ww kunnen opsturen, is het dus ergens onversleuteld of reversibel opgeslagen. Dus iemand kan hun systeem hacken en je ww achterhalen, of je mail onderscheppen en je ww achterhalen. Als je dat ww dan nog ergens gebruikt hebt, ben je de pineut... Met een reset-link ben je alleen dat ene account kwijt.

Ik verafschuw wat u zegt, maar ik zal uw recht om het te zeggen met mijn leven verdedigen. - Voltaire

zaterdag 26 februari 2022 11:06

Acties:
  • 0Henk 'm!
  • Darses
  • Registratie: September 2017
  • Niet online

Darses

Reptile209 schreef op zaterdag 26 februari 2022 @ 01:31:
Jawel, dat maakt uit. Als ze je ww kunnen opsturen, is het dus ergens onversleuteld of reversibel opgeslagen. Dus iemand kan hun systeem hacken en je ww achterhalen, of je mail onderscheppen en je ww achterhalen. Als je dat ww dan nog ergens gebruikt hebt, ben je de pineut... Met een reset-link ben je alleen dat ene account kwijt.
Dat snap ik. Vandaag dat ik mij hardop afvroeg of het ging om een nieuw aangemaakt wachtwoord in verband met een migratie.
Zebby schreef op zaterdag 26 februari 2022 @ 01:26:
Het wordt verplicht voor partijen die CC data verwerken, maar is wel een breder geaccepteerde IT Security standaard binnen de financiele markt. Anders zijn er genoeg andere NEN normen waar dit wordt verwacht, of ISO 27001.
Ik heb de ISO 27001 meerdere keren gelezen, maar voor zover ik weet staat daar nergens in 'je mag geen wachtwoorden per e-mail versturen'. Misschien denk je aan de ISO27002? Heb je een referentie naar de specifieke control waar dit in staat?

zaterdag 26 februari 2022 11:57

Acties:
  • 0Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 16:27

Reptile209

- gers -

Darses schreef op zaterdag 26 februari 2022 @ 11:06:
[...]


Dat snap ik. Vandaag dat ik mij hardop afvroeg of het ging om een nieuw aangemaakt wachtwoord in verband met een migratie.


[...]
Dat is dan inderdaad een terechte vraag voor @TCMR : is het een nieuw, tijdelijk wachtwoord dat ze hebben toegestuurd, of is het je eigen wachtwoord?

Ik verafschuw wat u zegt, maar ik zal uw recht om het te zeggen met mijn leven verdedigen. - Voltaire

zaterdag 26 februari 2022 12:56

Acties:
  • 0Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 18:27

kodak

FP ProMod
Regels zijn niet altijd heel specifiek, om de simpele redenen dat regels al snel verouderd kunnen zijn en het tijd kost om ze dan aan te passen en alles opnieuw te ontwikkelen. En omdat hoe dan ook niet iedereen het eens is met gestelde regels en er dan creatief iets op bedenkt wat wel aan de regels voldoet maar alsnog onveilig is.

@TCMR ik mis een uitleg wat je met het versturen wel acceptabel zou vinden. Want anders sturen ze volgende keer een wachtwoord per post, waarbij een ander kan klagen dat die niet altijd door de juiste persoon opengemaakt zal worden, of sturen ze het volgende keer per sms, waarbij een ander kan klagen dat er sim-swapping bestaat. Het zal dus niet snel goed zijn zonder extra voorwaarden.

Maar ook bij die extra voorwaarden zal niet iedereen het eens zijn. Als ze het wachtwoord sturen met je gebruikersnaam erbij dan kan een ander dus misschien zelf dat wachtwoord aanpassen.
Dus kunnen er ook voorwaarden in het systeem bestaan dat je eerst je oude wachtwoord moet opgeven? Of dat je niet zomaar kan inloggen vanaf een 'onbekend' IP-adres of apparaat?

zaterdag 26 februari 2022 20:01

Acties:
  • 0Henk 'm!
  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 03-02 21:57

Zebby

Darses schreef op zaterdag 26 februari 2022 @ 11:06:


Ik heb de ISO 27001 meerdere keren gelezen, maar voor zover ik weet staat daar nergens in 'je mag geen wachtwoorden per e-mail versturen'. Misschien denk je aan de ISO27002? Heb je een referentie naar de specifieke control waar dit in staat?
Over het algemeen zijn de termen veel vager dan dat helaas. Het zou kunnen dat het een andere ISO norm was, of NEN, of EIDAS, of NIST; laten we het houden op breed geaccepteerde best practices :D
Over het algemeen is dit er niet een van.

donderdag 3 maart 2022 13:40

Acties:
  • 0Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 16:54

CAPSLOCK2000

zie teletekst pagina 888

TCMR schreef op dinsdag 22 februari 2022 @ 16:15:
Onze CPSP (Buckaroo) stuurde ons zojuist, zonder dat wij hierom gevraagd hebben, via e-mail (!) inloggegevens voor onze accountomgeving (migratie vanwege overname Sisow). Wow!

(...)
Weet iemand of er regels zijn
Gewetensvraag: Wat probeer je te bereiken? Waarom wil je weten of er regels zijn? Je hebt je oordeel over de situatie toch al klaar?

Ik heb geen regels nodig om te weten dat ik mijn hond niet in de magnetron moet stoppen.
Ik heb geen regels nodig om te weten dat ik mijn auto niet /in/ de tweede kamer mag parkeren
Ik heb geen regels nodig om te weten dat je wachtwoorden niet per e-mail verstuurd.
Wat maakt het nu uit of het wel of niet volgens een officiele regel is?

De enige goede reden om naar de regels te kijken in dit soort situaties is als je een argument nodig hebt om je contract voortijdig te verbreken.

Je lijkt, terecht, niet blij te zijn met de situatie. Ik denk niet dat er regels zijn die je nog gaan helpen. Misschien wel een contract met een boeteclausule ofzo, maar uiteindelijk is het een kwestie van vertrouwen. Geeft Buckaroo een reactie die je het vertrouwen geeft dat ze beseffen dat ze een fout hebben gemaakt en dat ze die hebben gecorrigeerd / onmogelijk gemaakt? Of kun je beter op zoek gaan naar een ander?

Overigens ben ik bang dat als er wel regels zijn het aan jou is om te controleren of je dienstverlener daar ook aan voldoet.

[Voor 4% gewijzigd door CAPSLOCK2000 op 03-03-2022 13:44]

This post is warranted for the full amount you paid me for it.

vrijdag 4 maart 2022 11:05

Acties:
  • 0Henk 'm!
  • oak3
  • Registratie: Juli 2010
  • Laatst online: 03-02 20:19

oak3

kodak schreef op zaterdag 26 februari 2022 @ 12:56:
Regels zijn niet altijd heel specifiek, om de simpele redenen dat regels al snel verouderd kunnen zijn en het tijd kost om ze dan aan te passen en alles opnieuw te ontwikkelen. En omdat hoe dan ook niet iedereen het eens is met gestelde regels en er dan creatief iets op bedenkt wat wel aan de regels voldoet maar alsnog onveilig is.
PCI-DSS is nu net 1 van de standaarden die wel specifiek zijn en gedetailleerde maatregelen oplegt. Maar dat is wel de uitzondering op de regel m.b.t. de meeste standaarden.

vrijdag 18 maart 2022 14:29

Acties:
  • 0Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 03-02 15:14

TCMR

Topicstarter
Reptile209 schreef op zaterdag 26 februari 2022 @ 11:57:
Dat is dan inderdaad een terechte vraag voor @TCMR : is het een nieuw, tijdelijk wachtwoord dat ze hebben toegestuurd, of is het je eigen wachtwoord?
Sorry iedereen, ik krijg om onduidelijke redenen nooit een notificatie van tweakers als er iets gepost wordt, ongeacht mijn instellingen. Ik zal 'ns kijken of er überhaupt iets op mijn mailserver wordt aangeboden, maar mogelijk niet voldoet (DKIM, SPF).

Het was een nieuw wachtwoord, anders was ik inderdaad helemaal uitgeflipt. Afdeling security was er zo te lezen niet blij mee, maar het zag er niet uit als een handmatig bericht, dus er zijn ongetwijfeld meer mensen die zo'n bericht hebben gekregen. Ik ben nog achter screenshots aan aan het gaan, want ik heb die berichten (uiteraard) meteen van m'n IMAP server gedonderd. Hoe ik die nu nog terug kan halen wordt wat lastig, want ik doe alleen nachtelijke backups. Maar ik verzin iets... (Time Machine?).
CAPSLOCK2000 schreef op donderdag 3 maart 2022 @ 13:40:
Gewetensvraag: Wat probeer je te bereiken? Waarom wil je weten of er regels zijn? Je hebt je oordeel over de situatie toch al klaar?
Ik lees in mijn bericht niet een oordeel. Maar in jouw bericht wel: namelijk dat ik m'n oordeel al klaar heb. Ik weet niet helemaal wat je wilt bereiken, maar ik vind dat de overige posters nuttige informatie over dit onderwerp verstrekt hebben, waarvoor dank. Wat ik daarmee doe, kan ik daarna bekijken. Ik probeer eerst helder te krijgen wat hier gebeurd is, en of dat naar het oordeel van de slimme(re) mensen hier door de beugel kan. Maar jij weet vanuit mijn vraag blijkbaar dat ik mijn oordeel al klaar heb. Wedervraag: hoe weet je dit? Waaruit maak je dat op? Waarom zou ik geen klacht kunnen indienen, in de hoop dat interne procedures bij deze club misschien worden aangescherpt, maar moet ik blijkbaar meteen bij Buckaroo weg?
Wat maakt het nu uit of het wel of niet volgens een officiele regel is?
Ja inderdaad, wat maakt het eigenlijk allemaal nog uit...

[Voor 38% gewijzigd door TCMR op 18-03-2022 14:43]

Elektrische auto besteld? Levertijd gokken via https://evdelivery.org

vrijdag 18 maart 2022 15:53

Acties:
  • 0Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 16:54

CAPSLOCK2000

zie teletekst pagina 888

Excuses, volgens mij is mijn bericht niet overgekomen zoals ik het bedoeld had. Waarschijnlijk omdat de uitdrukking "je mening klaar hebben" vaak negatief gebruikt wordt voor vooroordelen. Zo bedoel ik het niet. Wat ik bedoel is dat je al weet dat het niet goed is.
TCMR schreef op vrijdag 18 maart 2022 @ 14:29:
Ik lees in mijn bericht niet een oordeel.
Je schreef dat jullie "verbijsterd" waren. Dat bekent voor mij dat jullie geoordeeld hebben dat het niet goed is.
Waarom zou ik geen klacht kunnen indienen, in de hoop dat interne procedures bij deze club misschien worden aangescherpt, maar moet ik blijkbaar meteen bij Buckaroo weg?
Als jij niet blij bent met het gebeurde mag je daar natuurlijk over klagen en hopen dat het beter wordt, maar daar heb je geen regels voor nodig.

De vragen die ik stel zijn echte vragen, geen onderhandse terechtwijzingen.
Ik zeg niet dat je weg moet bij Buckaroo maar dat de regels je niet gaan helpen.
Het spijt me dat het verkeerd is overgekomen.

This post is warranted for the full amount you paid me for it.

vrijdag 18 maart 2022 15:57

Acties:
  • 0Henk 'm!
  • Hackus
  • Registratie: December 2009
  • Niet online

Hackus

Lifting Rusty Iron !

TCMR schreef op dinsdag 22 februari 2022 @ 16:15:
Onze CPSP (Buckaroo) stuurde ons zojuist, zonder dat wij hierom gevraagd hebben, via e-mail (!) inloggegevens voor onze accountomgeving (migratie vanwege overname Sisow). Wow!

Dit soort praktijken kom je (gelukkig) niet tegen bij serieuze financiële dienstverleners. Zijn er geen regels voor CPSP's vanuit Current die veiliger procedures vereisen? We zijn verbijsterd. Als je weet waar je allemaal aan moet voldoen voordat je via iDeal betalingen mag gaan (laten) verwerken, dan snap ik deze volstrekt amateuristische manier van verstrekken van wachtwoorden niet. Weet iemand of er regels zijn waaruit blijkt dat financiële dienstverleners bepaalde beveiligingseisen in acht moeten nemen bij het verstrekken van gevoelige gegevens?

Ik was er 100% van overtuigd dat het phishingberichten waren, maar navraag bij hun supportafdeling bevestigt dat ze serieus gewoon wachtwoorden op deze manier versturen.
Random open in e-mail, niet verpakt ?

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

vrijdag 18 maart 2022 16:01

Acties:
  • 0Henk 'm!
  • SgtElPotato
  • Registratie: Juli 2008
  • Laatst online: 16:47

SgtElPotato

Een van de redenen dat wij overgestapt zijn, Buckaroo is niet meer wat het vroeger was, het is een log en groot bedrijf geworden dat bepaalde waardes te veel heeft laten zakken.

vrijdag 18 maart 2022 19:40

Acties:
  • 0Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 22:14

laurens0619

Zit er mfa op die omgeving of alleen een wachtwoord?

Indien alleen wachtwoord: kun je het wachtwoord herstellen via email?

moest je na inloggen met het wachtwoord wat je kreeg via email direct het wachtwoord veranderen?

CISSP! Drop your encryption keys!

vrijdag 18 maart 2022 21:30

Acties:
  • 0Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 03-02 15:14

TCMR

Topicstarter
CAPSLOCK2000 schreef op vrijdag 18 maart 2022 @ 15:53:
Het spijt me dat het verkeerd is overgekomen.
No problem, ik heb jouw bericht gewoon niet juist geïnterpreteerd. Je vragen zijn niet onterecht, maar lopen naar mijn idee iets te ver vooruit op de situatie. Ik ga na zo'n actie niet meteen over naar een andere PSP, zeker niet nadat deze net is overgenomen, en er mogelijk pannenkoeken bij de overdracht betrokken zijn.
laurens0619 schreef op vrijdag 18 maart 2022 @ 19:40:
Zit er mfa op die omgeving of alleen een wachtwoord?

Indien alleen wachtwoord: kun je het wachtwoord herstellen via email? moest je na inloggen met het wachtwoord wat je kreeg via email direct het wachtwoord veranderen?
Het was een one-time password, bleek achteraf, maar stond niet in het bericht. Maar dan nog: waar slaat dat op? Wie doet dat nu nog, anno 2022? MFA is niet verplicht. Ik snap dat het sowieso lastig wordt als je mailaccount gecomprommiteerd is, maar dit (plain text wachtwoord in e-mail) kwam voor een financiële dienstverlener gewoon TE amateuristisch over. En toen vroeg ik mij gewoon af: "mag dat"? (hier had nu een leuke link naar het officiële Rembo&Rembo-archief van de VPRO moeten staan, maar daar kwam een foutmelding, en toen ik op de NPO-site ging kijken en de link voor Rembo&Rembo uit de zoekresultaten plukte, kwam ik op een compleet andere pagina uit. Over WAAR-DE-LOZE "bedrijven" (overheid, I know) gesproken...)

Elektrische auto besteld? Levertijd gokken via https://evdelivery.org

vrijdag 18 maart 2022 21:50

Acties:
  • 0Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Nu online

DiedX

Hoe had je het anders voor je gezien? Sms authenticatie?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 18 maart 2022 21:58

Acties:
  • 0Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 22:14

laurens0619

@TCMR ik snap je perceptie maar security technisch is er 0 verschil tussen een otp plain text wachtwoord of een resetlink (misschien de expiry time). Een plain text passw lijkt minder veilig maar beide geven je toegang tot je account

dus de echte wtf voor mij is dat je bii een financiele instelling kunt inloggen zonder mfa/enkel wachtwoord :)

[Voor 14% gewijzigd door laurens0619 op 18-03-2022 22:00]

CISSP! Drop your encryption keys!

zaterdag 19 maart 2022 08:03

Acties:
  • 0Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 03-02 15:14

TCMR

Topicstarter
DiedX schreef op vrijdag 18 maart 2022 @ 21:50:
Hoe had je het anders voor je gezien? Sms authenticatie?
Bijvoorbeeld.
laurens0619 schreef op vrijdag 18 maart 2022 @ 21:58:
@TCMR ik snap je perceptie maar security technisch is er 0 verschil tussen een otp plain text wachtwoord of een resetlink (misschien de expiry time). Een plain text passw lijkt minder veilig maar beide geven je toegang tot je account
Ik bouw zelf systemen met wachtwoord-authenticatie, en het blijft een armoedig systeem. Maar er gaan nooit wachtwoorden "over de lijn", de links om je wachtwoord te resetten zijn zeer beperkt houdbaar, en er gaan ook bevestigingsmailtjes zodra wachtwoord gewijzigd is uit. En dan gaat dit absoluut niet om financiële dienstverlening ala PSP. Maar goed, ook hier blijft het een kansloze zaak als een e-mailaccount gecompromitteerd is. Als grootste verschil met dat (one-time) password dat Buckaroo stuurde zou kunnen zijn dat daar geen tijdsbeperking op zat. Want waarom zou je een wachtwoord sturen, als er een tijdsbeperking voor het eerste gebruik op zit? Dan stuur je toch gewoon een wachtwoord-instel-of-reset-link? En ja, ik ben het met je eens dat bij zoiets als een PSP portal 2FA een minimale vereiste is.

Elektrische auto besteld? Levertijd gokken via https://evdelivery.org

donderdag 23 juni 2022 22:59

Acties:
  • +1Henk 'm!
  • Kentsfield
  • Registratie: November 2007
  • Laatst online: 11-01 13:40

Kentsfield

Een late reactie..
MFA is bij Buckaroo niet verplicht maar wel instelbaar de keuze is aan de ondernemer of ze dit willen enforcen op hun account of de keuze aan de medewerker willen laten. De plain text password mail zou inderdaad beter een token kunnen zijn die time constraints heeft en zo bij onderschepping minder risico's met zich mee brengt.
De password reset functionaliteit werkt al op die manier en de plaintext password mail was een keuze tijdens een al complexe migratie. We zullen deze keuze mocht dit opnieuw aan de orde komen heroverwegen.

Overigens, zag een post over onversleuteld opslaan wachtwoorden, dat doet Buckaroo niet alles is hashed met salts. Het klanten portal geeft op geen manieren toegang tot card data. Als er nog verdere vragen zijn over de beveiliging van de betaling systemen van buckaroo laat het maar weten. Ik heb dit draadje helaas gemist anders had ik eerder gereageerd.

[Voor 10% gewijzigd door Kentsfield op 23-06-2022 23:18]

Dingen!

maandag 27 juni 2022 13:19

Acties:
  • 0Henk 'm!
  • amx
  • Registratie: December 2007
  • Laatst online: 17:08

amx

TCMR schreef op donderdag 24 februari 2022 @ 15:11:
Inmiddels bericht vanuit de ticket dat "de vraag is doorgezet naar collega's van de security afdeling". Ik ben reuzebenieuwd...

@celshof Bedankt voor de link naar PCI.
Die hebben niks beters te doen blijkbaar |:(
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee