Bedrijf stuurt wachtwoord per email, onversleuteld bewaard?

IIIIIIIIIIII schreef op woensdag 3 december 2025 @ 13:48:
Recent heb ik een vraag gesteld aan mijn energieleverancier, via de mail. Zij gaven, kort gezegd, aan dat ik dit het beste zelf kan vinden in mijn account. De medewerker heeft toen mijn login en wachtwoord naar mij gestuurd. Nu zit ik zelf niet in de İT/Software maar betekent niet dat mijn wachtwoord in plain text wordt opgeslagen in hun database?

Grote kans dat die IT medewerker je wachtwoord gereset heeft en dat dan naar je heeft verzonden (ook niet echt OK maar komt vaker voor). Of is het wachtwoord voor jou "herkenbaar"?

en ja, alle mail wordt in plain tekst gearchiveerd, dus je moet het sowieso wijzigen.

IIIIIIIIIIII schreef op woensdag 3 december 2025 @ 13:48:
...De medewerker heeft toen mijn login en wachtwoord naar mij gestuurd....

WTF?!? Zoiets kan echt niet.

GarBaGe schreef op woensdag 3 december 2025 @ 14:01:
[...]


WTF?!? Zoiets kan echt niet.

ligt eraan, als ze er een "Welkom01"van maken oid kan het prima

99ruud99 schreef op woensdag 3 december 2025 @ 14:12:
[...]

ligt eraan, als ze er een "Welkom01"van maken oid kan het prima

Dat is echt al jaren not done. Bijvoorbeeld: https://fusionauth.io/blog/plaintext-passwords

Was dat een email als in:

Beste IIIIIIIIIIII,
Hier zijn je login gegevens
username: IIIIIIIIIIII
wachtwoord: welkom01

Groetjes <energieleverancier_medewerker>

Of een email van het systeem met daarin je, nieuwe, gebruikersnaam en wachtwoord?
(wat je dan bij de eerst login moet aanpassen)
Al is dit ook not done, wel minder ernstig.

Het beste is een time restricted "reset" link waar je vervolgens zelf een wachtwoord kunt opgeven.

Leverancier kan gewoon SPPR configureren. de servicedesk een pwd laten aanmaken\verzinnen what ever en dan je username+pwd in 1 en dezelfde email versturen.

Even vragen aan zijn manager wat hij managed

IIIIIIIIIIII schreef op woensdag 3 december 2025 @ 15:34:
Het gaat om een bedrijfsaccount (waarvan degene die de wachtwoord weet vrij is) dus ik heb de klantenservice gevraagd of zij die wachtwoord zelf hebben aangemaakt. İn de wachtwoord staat het jaartal 2023 dus ik verwacht dat dit niet door de leverancier zelf is aangemaakt.

Als ze het door jullie zelf bedachte wachtwoord uit de database lepelen is dat zeer kwalijk ja. Die horen ze op geen manier te kunnen achterhalen. Dat is dan een fundamenteel beveiligingsprobleem.

Titel wat duidelijker gemaakt (was: İs mijn wachtwoord onveilig?)

F_J_K schreef op woensdag 3 december 2025 @ 16:47:
[...]

Als ze het door jullie zelf bedachte wachtwoord uit de database lepelen is dat zeer kwalijk ja. Die horen ze op geen manier te kunnen achterhalen. Dat is dan een fundamenteel beveiligingsprobleem.

OP zegt alleen niet dat het hun eigen ingestelde en veilige wachtwoord is. Ik lees tussen de regels door dat het een algemeen wachtwoord zoals “welkom2023” is en dat OP niet weet of zij zelf zulke wachtwoorden gebruiken of dat de leverancier bijvoorbeeld de mogelijkheid heeft om een wachtwoordreset uit te voeren.

Dit maakt het verhaal gewoon heel lastig. Heb ergens gewerkt waar de beveiliging heel goed op orde was en er waren allerlei rapporten en certificaten beschikbaar voor klanten, maar als je een digibeet treft met een klok/klepel-verhaal, dan heb je helaas echt een accountmanager nodig om de twijfel uit te bannen in plaats van een technische uitleg.

IIIIIIIIIIII schreef op woensdag 3 december 2025 @ 15:34:
[...]


Het gaat om een bedrijfsaccount (waarvan degene die de wachtwoord weet vrij is) dus ik heb de klantenservice gevraagd of zij die wachtwoord zelf hebben aangemaakt. İn de wachtwoord staat het jaartal 2023 dus ik verwacht dat dit niet door de leverancier zelf is aangemaakt.

Misschien goed om dat nog even concreet te vragen aan het bedrijf? Maakt nogal een verschil voor de discussie namelijk.

Heel simpel; wachtwoord via mail sturen is nooit oké, maar niet persé reden tot paniek. Snel wachtwoord wijzigen en je account is weer veilig.
Maar óók een wachtwoord dat gegenereerd is door die klantenservicemedewerker mag écht niet via mail gestuurd worden, want mail is per definitie onveilig. Er is vanuit die klantenservice geen garantie dat de ontvangende server goed beveiligd is.
Als er 2023 in staat is de kans groot dat de klantenservicemedewerker het uit een eerder ticket heeft gehaald, maar dat dan zomaar op jouw vraag naar je toe sturen is ook echt niet oké, want het is bij de meeste bedrijven niet zo lastig om toegang tot hun mail te krijgen en dan zou een hacker ook zomaar toegang tot dat account hebben nu.

Als het een gegeneerd tijdelijk wachtwoord is wat je moet wijzigen na inloggen lijkt het mij ok.

Volgens vele hier alsnog not done maar wat is dan het verschil tussen:
- tijdelijk wachtwoord wat je moet wijzigen na login
- hyperlink met “stel hier je wachtwoord in”

Waar het tijdelijke wachtwoord en de hyperlink dezelfde vervaldatum hebben en de mail geautomatiseerd verstuurd wordt en dus niet ingezien kan worden door medewerkers.

[ Voor 12% gewijzigd door laurens0619 op 04-12-2025 09:26 ]

Oon schreef op woensdag 3 december 2025 @ 17:11:
want het is bij de meeste bedrijven niet zo lastig om toegang tot hun mail te krijgen en dan zou een hacker ook zomaar toegang tot dat account hebben nu.

Als een hacker toegang heeft tot het mailadres kan hij ook gewoon een nieuw wachtwoord instellen bij de meeste applicaties, ongeacht hoe het wachtwoord wordt opgeslagen of verstuurd.

Wijzig het wachtwoord, mail terug dat je het wachtwoord hebt gewijzigd maar je het vergeten bent om het op te slaan. Vraag of ze je nogmaals willen helpen met het wachtwoord.

laurens0619 schreef op donderdag 4 december 2025 @ 06:40:
Als het een gegeneerd tijdelijk wachtwoord is wat je moet wijzigen na inloggen lijkt het mij ok.

Volgens vele hier alsnog not done maar wat is dan het verschil tussen:
- tijdelijk wachtwoord wat je moet wijzigen na login
- hyperlink met “stel hier je wachtwoord in”

Waar het tijdelijke wachtwoord en de hyperlink
Dezelfde vervaldatum hebben.

Het verschil is dat in het 2e geval de klantsnervice niet weet wat je nieuwe wachtwoord is, en in het 1e geval wel.
Nou is het heel erg afhankelijk van de applicatie en werkprocessen of dit relevant is, maar bij ons is het zo dat wanneer wij als een klant inloggen vanuit onze interface er netjes gelogd wordt wie we zelf zijn (dus wie er op de 'inloggen als klant' knop heeft geklikt), maar als ik het wachtwoord van een klant weet en via die route inlog niet. Het hebben van een audittrail is heel belangrijk, en zo'n hele simpele workaround is m.i. niet verdedigbaar in een ISO-audit.
Zeker een portal van een energieleverancier zal nogal wat gevoelige informatie hebben, niet alleen over verbruik maar ook over aansluiting en gegevens van degene die de overeenkomst heeft afgesloten. Absoluut niet acceptabel dat de klantenservice dan zomaar op je account kan inloggen zonder dat te herleiden is wie dat was.

Oon schreef op donderdag 4 december 2025 @ 07:22:
[...]

Het verschil is dat in het 2e geval de klantsnervice niet weet wat je nieuwe wachtwoord is, en in het 1e geval wel.
Nou is het heel erg afhankelijk van de applicatie en werkprocessen of dit relevant is, maar bij ons is het zo dat wanneer wij als een klant inloggen vanuit onze interface er netjes gelogd wordt wie we zelf zijn (dus wie er op de 'inloggen als klant' knop heeft geklikt), maar als ik het wachtwoord van een klant weet en via die route inlog niet. Het hebben van een audittrail is heel belangrijk, en zo'n hele simpele workaround is m.i. niet verdedigbaar in een ISO-audit.
Zeker een portal van een energieleverancier zal nogal wat gevoelige informatie hebben, niet alleen over verbruik maar ook over aansluiting en gegevens van degene die de overeenkomst heeft afgesloten. Absoluut niet acceptabel dat de klantenservice dan zomaar op je account kan inloggen zonder dat te herleiden is wie dat was.

Dat is wel een belangrijke nuance ja die ik was vergeten in mijn post.
In beide gevallen gaat het om een geautomatiseerde mail die door het systeem is verstuurd en niet ingezien kan worden door een klantenservice medewerker.

IIIIIIIIIIII schreef op woensdag 3 december 2025 @ 15:34:
[...]


Het gaat om een bedrijfsaccount (waarvan degene die de wachtwoord weet vrij is) dus ik heb de klantenservice gevraagd of zij die wachtwoord zelf hebben aangemaakt. İn de wachtwoord staat het jaartal 2023 dus ik verwacht dat dit niet door de leverancier zelf is aangemaakt.

Ik vind bovenstaande een nog veel groter probleem dan de password reset. Hoe weet de leverancier dat TS gerechtigd is dit te vragen en naar een vermoedelijk ander email adres te laten sturen? Degene die dit normaliter doet is immers "een dagje vrij".

laurens0619 schreef op donderdag 4 december 2025 @ 06:40:
Als het een gegeneerd tijdelijk wachtwoord is wat je moet wijzigen na inloggen lijkt het mij ok.

Volgens vele hier alsnog not done maar wat is dan het verschil tussen:
- tijdelijk wachtwoord wat je moet wijzigen na login
- hyperlink met “stel hier je wachtwoord in”

Waar het tijdelijke wachtwoord en de hyperlink dezelfde vervaldatum hebben en de mail geautomatiseerd verstuurd wordt en dus niet ingezien kan worden door medewerkers.

Not done want in de praktijk zit niet iedereen achter zijn mail. En is de kans het wachtwoord meteen gewijzigd wordt klein. Waardoor een grotere kans op een compromitteerde account.

Wij resetten ook wel eens een wachtwoord voor een klant, maar versturen dit sws via secure mail. En als het ww wat een collega verstuurd iets is van Welkom01 ga ik hem persoonlijk slaan.

Als we al een ww sturen is het sws een gegenereerd wachtwoord van minimaal 14 tekens etc etc.

[ Voor 5% gewijzigd door CrankyGamerOG op 04-12-2025 11:06 . Reden: verduidelijking :) ]

CrankyGamerOG schreef op donderdag 4 december 2025 @ 10:29:
En als het ww iets is van Welkom01 kom ik je persoonlijk slaan.

Je bedoelt als de gebruiker 'Welkom01' als wachtwoord heeft aangemaakt? Want dat betekent dat jij de wachtwoorden uit de database kunt plukken en dan kom ik je persoonlijk slaan

Skywalker27 schreef op donderdag 4 december 2025 @ 10:26:
[...]

Not done want in de praktijk zit niet iedereen achter zijn mail. En is de kans het wachtwoord meteen gewijzigd wordt klein. Waardoor een grotere kans op een compromitteerde account.

Bovenstaande WoW is prima wanneer het systeem forceert een nieuwe wachtwoord aan te maken bij eerstvolgende login ("change password on next login)". Sterker nog zelfs AD/AAD werkt op deze manier. Als beheerder kun je zelf een tijdelijk wachtwoord genereren en die delen met de gebruiker deze gebruiker moet deze dan wijzigen bij de 1e keer inloggen en het tijdelijk wachtwoord vervalt naar 24/48 uur.

Sharky schreef op donderdag 4 december 2025 @ 10:49:
[...]


Je bedoelt als de gebruiker 'Welkom01' als wachtwoord heeft aangemaakt? Want dat betekent dat jij de wachtwoorden uit de database kunt plukken en dan kom ik je persoonlijk slaan

Nee wanneer een collega dat durft in te stellen en te mailen naar een klant.