image

Bank wijzigt beledigend wachtwoord van klant

donderdag 28 augustus 2008, 12:30 door Redactie, 11 reacties

De Britse bank Lloyds TSB heeft het wachtwoord van een klant gewijzigd omdat die beledigend zou zijn. Uit onvrede over de dienstverlening van de bank veranderde Steve Jetley zijn wachtwoord in "Lloyds is pants". Toen hij niet meer kon inloggen ontdekte hij dat een medewerker van de bank het wachtwoord had veranderd in "no it's not". Als reactie daarop wilde Jetley een ander wachtwoord instellen, maar dat stond de bank niet toe. Uiteindelijk bood de bank excuses aan en liet weten dat de medewerker er niet meer werkte.

Jetley was woedend toen hij hoorde dat hij zou oude wachtwoord niet meer mocht gebruiken omdat het ongepast zou zijn. "Ik vroeg ze of ze 'pants' niet leuk vonden, en of 'Lloyds is waardeloos' wel ok was? Maar ze vonden van niet. Dus probeerde ik 'Barclays is beter' en ook dat viel niet in goede aarde. Ook wijzigden ze de regels en vertelde me dat het één woord moest zijn. Ik probeerde censuur, maar ook dat kwam er niet door heen. Toen lieten ze weten dat het woord niet langer dan zes letters mocht zijn."

De bank liet in een reactie weten dat ze teleurgesteld was dat Jetley op deze manier zijn onvrede over de dienstverlening uitte. "Klanten kunnen elk wachtwoord kiezen dat ze willen en het is niet ons beleid om personeel de wachtwoorden van klanten zonder hun toestemming te laten wijzigen." Bij normale rekeningen zou het personeel de wachtwoorden niet kunnen inzien. In het geval van Jetley betrof het een zakelijke rekening waar de accountmanager het hele wachtwoord kan lezen.

Reacties (11)
28-08-2008, 12:47 door Anoniem
Waarom slaan ze de wachtwoorden uberhaupt OOIT in plaintext op?
28-08-2008, 12:55 door Dunes
Pardon zeg.
Waarom zou de bank in vredesnaam de wachtwoorden van haar klanten leesbaar bewaren, beoordelen en op eigen initiatief wijzigen. Daar zou je geen klant willen zijn.
28-08-2008, 13:07 door Anoniem
als je het artikel gelezen had had je kunnen zien dat het om wachtwoorden voor voice-authenticatie gaat. Dus waar mensen via de telefoon zich authenticeren bij een bank mederwerker, in theory kan je die wel gehashed opslaan, maar erg practisch wordt dat nooit.
28-08-2008, 13:16 door U4iA
In het geval van Jetley betrof het een zakelijke rekening waar de accountmanager het hele wachtwoord kan lezen.

Dus kort gezegd hoef je als crimineel alleen de accountgegevens van de accountmanager te ontfutselen en je kan de wachtwoorden van al zijn klanten lezen en wijzigen. Kan je daarna ook transacties verrichten? Al met al een geweldige security...voor een bank!
28-08-2008, 13:41 door Anoniem
waarom werken ze daar uberhaupt nog met wachtwoorden ... al van strong authentication gehoord?
28-08-2008, 13:56 door Anoniem
Blijkbaar heeft de klant nogal gelijk als ze dit kunnen zien.....
28-08-2008, 14:59 door Anoniem
6 letters hmmm: SECURE
Wat is de reden van een medewerker om uberhaupt een wachtwoord te weten van een klant?
28-08-2008, 21:51 door Anoniem
Les een: je slaat als bank alleen de hash op en nooit het paswoord. Dan maar een challenge.
29-08-2008, 10:41 door Anoniem
Door AnoniemLes een: je slaat als bank alleen de hash op en nooit het paswoord. Dan maar een challenge.

Scary....

Ik dacht dat Admin inzage in gebruikerswachtwoorden dateerde van de jaren stillekes...

Niet dus...

Bewijst nogmaals mijn stelling dat banken niet te vertrouwen zijn ...

't verbaast mij dat de Britse toezichthouder niet ingrijpt op dit soort kafkaiaanse praktijken. Om nog maar te zwijgen van de prehistorische beveiligingspraktijken
29-08-2008, 10:51 door Anoniem
Door Anoniemals je het artikel gelezen had had je kunnen zien dat het om wachtwoorden voor voice-authenticatie gaat. Dus waar mensen via de telefoon zich authenticeren bij een bank mederwerker, in theory kan je die wel gehashed opslaan, maar erg practisch wordt dat nooit.
Net even gelabo'd met een standaard spraakherkenningspakketje en C#: komen prachtig consistente hashes uit, hoor... (drie personen. avg score 90% + herkenning. In max drie pogingen 100% toegang)

Dus het is zelfs erg praktisch en vergt slechts 1 stapje meer dan thashing alleen.
29-08-2008, 15:39 door Anoniem
Waarbij aangetekend dat voiceprinting hier natuurlijk niet opgaat (zie mijn testje) en het alleen om spraakherkenning gaat, niet om stemherkenning. Maar dat zou te mooi zijn in een 10 minuten progje en een halfuurtje testen met goede buren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.