Security Professionals - ipfw add deny all from eindgebruikers to any

Wachtwoord issues op Mijn Postbank

04-12-2008, 09:47 door root, 19 reacties
Ik heb zojuist 2 vreemde dingen ontdekt bij het wijzigen van mijn wachtwoord op Mijn Postbank.

1. Bij de postbank moet je je wachtwoord om de zoveel tijd wijzigen. Als je dat hebt gedaan, dan kun je je wachtwoord direct weer terug wijzigen in je oude. Veel mensen schijnen dit te doen (ik heb rond gevraagd). Voert de postbank een "als het maar niet aan ons ligt"-beleid? Zou het niet verstandiger zijn om alle (hashes van) wachtwoorden van de gebruikers op te slaan en te vergelijk met het nieuwe wachtwoord, zodat gebruikte wachtwoorden niet worden geaccepteerd?

2. Ik heb bij het verplicht wijzigen van mijn wachtwoord geprobeerd een teken toe te voegen. Dus als mijn wachtwoord "3,kLjop5" was, dan typ ik "3,kLjop5?". Dat werd niet geaccepteerd. Dit doet vermoeden dat de postbank plaintext wachtwoorden opslaat, of (minder waarschijnlijk) hashes berekent van delen van je nieuwe wachtwoord en deze vergelijkt met de oude hash. Het opslaan van plaintext wachtwoorden wordt echter in de beveiligingswereld gezien als onveilig.

Is er iemand die meer weet hierover en het één en ander kan verklaren?
Reacties (19)
04-12-2008, 14:04 door Anoniem
Het frequent moeten wijzigen van een wachtwoord is IMHO ook slecht voor de kwaliteit van het wachtwoord.
Je krijgt dan reeksen als Jantje1, Marieke1, Jantje2,.... etc waarbij de naam van beide kids in dit geval niet moeilijk te raden is ;)
04-12-2008, 14:38 door [Account Verwijderd]
[Verwijderd]
04-12-2008, 14:58 door Anoniem
De komma en het vraagteken worden niet geaccepteerd door de Postbank.
Zie de aanbevelingen van de Postbank:

**********************
Om te voorkomen dat u uw wachtwoord vergeet heeft Postbank voor u een paar tips:
- Het wachtwoord moet:
- Uit minimaal 8 en maximaal 18 tekens bestaan.
- Minimaal 1 cijfer en 1 letter bezitten.
- Anders zijn dan de gebruikersnaam.
- Drie opeenvolgende karakters uit het wachtwoord mogen niet in de gebruikersnaam voorkomen.

Een aantal tips om misbruik te voorkomen:
- Gebruik leestekens: punt (.) en gewoon streepje (-) en liggend streepje (_) en !, @, #, $, %.
- Kies geen voor de hand liggende code.
- Gebruik geen wachtwoord dat bestaat uit persoonlijke informatie.
- Geef uw wachtwoord nooit aan anderen.
- Schrijf uw gebruikersnaam en wachtwoord nergens op.
- Wijzig geregeld uw wachtwoord.
*********************
04-12-2008, 15:10 door Anoniem
Ik heb er geen verklaring voor. Ik kan alleen bevestigen dat het wachtwoord dat ik wil gebreuken ook niet wordt geaccepteerd. Misschien een idee om de postbank supportdesk eens te bellen met de vraag wat wel en niet mogelijk is.
04-12-2008, 15:23 door Anoniem
Voor het wijzigen moet je ook het oude wachtwoorde opgeven, daar kan mee worden vergeleken.
04-12-2008, 17:10 door ctrlaltdelete
LOL.

Ik heb 't wachtwoord altijd maar een beetje gewijzigd. Stel dat het wachtwoord is kiekeboe123 was dan maakt ik er kiekeboe456 van en dat werkt prima.

Natuurlijk was ik dat een dag later alweer vergeten, maar het werd tijdens het veranderen wel geaccepteerd door de Postbank.
04-12-2008, 17:14 door Anoniem
Wat doet dat ding als je een karakter anders zet midden in?
04-12-2008, 17:41 door [Account Verwijderd]
[Verwijderd]
04-12-2008, 18:41 door Anoniem
Beetje vaag.

Een wachtwoord sla je als een "hash" op en nooit als "plain-text". Als de boel ge-hacked wordt, kan er immers (bijna) geen misbruik van gemaakt worden.

Naar ik aanneem voldoet de Postbank ook aan deze algemene regel voor programmeurs...
05-12-2008, 01:26 door Anoniem
Ik vind logisch dat iemand met een blik gericht op beveiliging de foute scenario's als mogelijkheid naar voren schuift, maar dan moet dat niet gebeuren door het proces niet zo volledig mogelijk te bekijken.

De aanname is dus dat de Postbank wachtwoorden in klare tekst opslaat of in deeltjes hashed omdat het bij bepaalde patronen begint te piepen dat een nieuw wachtwoord teveel overeen komt met het oude. Ja, dat kan je gaan denken als je er vanuit gaat dat het systeem het controleert aan de hand van een opgeslagen oud wachtwoord.

Alleen: bekijk dat formulier eens! Als je je wachtwoord wilt wijzigen moet je 2x het nieuwe wachtwoord intikken EN het oude wachtwoord. Die worden veilig maar in onversleutelde vorm naar de Postbank gestuurd waar ze dus makkelijk vergeleken kunnen worden voordat het nieuwe wachtwoord in een veilige vorm wordt omgezet om later tegen te authenticeren.
05-12-2008, 10:32 door Anoniem
Door AnoniemHet frequent moeten wijzigen van een wachtwoord is IMHO ook slecht voor de kwaliteit van het wachtwoord.
Je krijgt dan reeksen als Jantje1, Marieke1, Jantje2,.... etc waarbij de naam van beide kids in dit geval niet moeilijk te raden is ;)


Helemaal mee eens! Mensen zijn meestal niet in staat allerlei verschillende wachtwoorden te onthouden voor verschillende sites, die dan ook nog eens periodiek aanzienlijk zouden moeten wijzigen. Het heeft ook helemaal geen zin, het enige dat men met dit beleid in theorie mee bereikt is dat een gecompromiteerd account na een tijdje mogelijk niet meer te misbruiken is, maar dan is het kwaad natuurlijk al lang geschied.
(Ik heb dit destijds ook gemeld bij de Postbank, maar nooit reactie op gehad)
07-12-2008, 11:53 door root
Door AnoniemDe komma en het vraagteken worden niet geaccepteerd door de Postbank.
Zie de aanbevelingen van de Postbank:
...

Ik zie nergens staan dat je geen ? mag gebruiken en ik zou ook niet weten waarom niet. Ik zal het nog eens goed bekijken.
07-12-2008, 11:58 door root
Door Anoniem
.
.

Alleen: bekijk dat formulier eens! Als je je wachtwoord wilt wijzigen moet je 2x het nieuwe wachtwoord intikken EN het oude wachtwoord. Die worden veilig maar in onversleutelde vorm naar de Postbank gestuurd waar ze dus makkelijk vergeleken kunnen worden voordat het nieuwe wachtwoord in een veilige vorm wordt omgezet om later tegen te authenticeren.

Je hebt helemaal gelijk! Punt 2 laat ik bij deze vervallen :)

Bedankt voor de reactie.
07-12-2008, 12:01 door root
De vraag blijft echter:

"Zou het verstandig zijn om alle hashes van wachtwoorden van de gebruikers op te slaan en te vergelijken met de hash van het nieuwe wachtwoord, zodat gebruikte wachtwoorden niet worden geaccepteerd?"

(dit is meer een vraag in het algemeen, dan dat het met de postbank te maken heeft hoor).
08-12-2008, 15:58 door Anoniem
dat is maar de vraag.

Stel je wisselt alleen maar tussen twee steeds dezelfde wachtwoorden, heb je een bit entropie. Dat is dus eigenlijk niets. Maar als je steeds de zoekruimte kleiner maakt door oude dingen (en misschien nog erger: dingen die daar op lijken) te weigeren dan wordt, zeker in combinatie met een totaal gebrek aan welwillendheid en fantasie bij diegene die hem moet veranderen, deze ruimte uiteindelijk ook erg klein...

Persoonlijk zie ik liever iemand een keer een sterk wachtwoord kiezen dan elke maand een slappe. Maar wie ben ik.
10-12-2008, 01:46 door Anoniem
De ING-groep/Crapbank heb ik expliciet gedumpt om die zwalkende, dronke, idiote fransman die denkt dat ie íets kan..
& nu die nieuwe reclame met z'n "de ING is de enige NL'se bank met internationale connecties"..

Alleen al daarom mogen ze van mij failliet gaan. (af-en-toe verkeerd gedrag afstraffen mag best hoor.)
10-12-2008, 01:50 door Anoniem
Ik gebruikte vorig jaar nog:
R.0-6S_1Al8-.M31-_k0 & %D@.2_Th07@a.Ls2G9$- maar aangezien ik m'n cancelation al heb opgestuurd zo'n 6 maanden terug ga ik er vanuit dat die niet meer werken :P (ff gecheckt; they don't)
23-07-2009, 16:15 door Anoniem
%49%6b%20%7a%6f%75%20%67%65%77%6f%6f%6e%20%6d%69%6a%6e%20%77%61%63%68%74%77%6f%6f%72%64%20%69%6e%20%6c%65%6b%6b%6f%61%68%20%68%65%78%65%6e%2c%20%67%65%65%6e%20%68%6f%6e%64%20%64%69%65%20%65%72%61%63%68%74%65%72%20%6b%6f%6d%74%2e


http://centricle.com/tools/ascii-hex/
03-08-2009, 10:06 door Anoniem
Door Anoniem:
Persoonlijk zie ik liever iemand een keer een sterk wachtwoord kiezen dan elke maand een slappe. Maar wie ben ik.

Ben ik het helemaal mee eens, volgens mij is dit een van de grote misvattingen in beveiligingsland, het iedere keer persé moeten veranderen van het wachtwoord. Dat leidt onvermijdelijk tot een "vlucht" van gebruikers naar opeenvolgende, b.v. d.m.v. een teller, relatief gemakkelijke wachtwoorden.
Terwijl als je écht iets goed wilt beveiligen dan is een ingewikkeld maar stabiel wachtwoord volgens mij een stuk beter.

Helaas staat de eis voor een wisselend wachtwoord ergens in de ISO norm van het beveiligingsbeleid en wordt er door geen enkele beveiliger ook maar getwijfeld, laat staan over nagedacht, of dit nou wel een goede regel is. Jammer, want het is een nieuwe en behoorlijk dynamisch vakgebied, je zou verwachten dat er met regelmaat nieuwe inzichten opduiken. Kennelijk is dat niet het geval.
Een antwoord van de Beveiligings industrie is b.v. de toepassing van iets wat je hebt en iets wat je kent om het wachtwoord te vervangen. B.v. een chipkaart met pincode. Grappig is dat:
1) een pincode een zwakke beveiliging is t.o.v. een zeer complex wachtwoord
2) de pincode nooit vervangen hoeft te worden
3) de kaart gestolen kan worden, waardoor iemand die je pincode kent je gegevens kan benaderen óf je zelf niet meer bij je account kunt.

Carol
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.