Abuse Melding

Je hebt een klacht over de onderstaande posting:

15-09-2024, 03:12 door Erik van Straten

Door Anoniem:Of iedereen een mini cursus sterke wachtwoorden + MFA/OTP/FIDO plus key overhandigen. Zinloos als je niet heel zeker weet dat de aanvallers: • Geen plain text wachtwoorden hebben gelogd op de server toen ze werden ingevoerd vanaf clients; • Geen TOTP shared secrets opgeslagen (noodzakelijkerwijs onversleuteld en ongehashed) op de server hebben gekopieerd; • Geen WebAuthn (FIDO2 hardware keys of passkeys) public keys hebben vervangen of hebben toegevoegd (aan account-records). M.b.t. dat laatste punt: "om" zo'n public key zit namelijk geen certificaat (digitaal ondertekend, dus lastig te vervalsen indien de private key dáárvoor niet tevens gekopiejat is) waarin tevens de uniek identificerende informatie van de eigenaar zou zijn opgenomen. Certificaten die je dan ook nog eens had kunnen intrekken. Nb. VZIW bestaat er geen standaard systeem voor het intrekken van WebAuthn public keys - en is zo'n systeem dus óók niet beschikbaar voor mensen die hun smartphone en/of Yubikey(s) ...

Beschrijf je klacht (Optioneel):

captcha