Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Superslechte beveiliging persoonsgegevens op klm.com

15-08-2014, 00:39 door Rhialto, 17 reacties
De beveiliging van persoonsgegevens (inklusief paspoortnummers!) op de klm.com website is zwaar onder de maat. Je kan als "wachtwoord" alleen een PIN opgeven van maximaal 6 cijfers...

Je kan het zelf uitproberen door te beginnen op klm.com en dan rechtsboven "Inschrijven" te kiezen, en daarna de linker "Inschrijven" onder "Deelname aan Flying Blue". Op het formulier dat je dan krijgt staat onder meer

"Beveilig uw account / Om in te loggen bij Flying Blue heeft u een persoonlijke code nodig. Maak een 4-cijferige pincode aan. "

en inderdaad, alleen cijfers worden goedgekeurd...

Daar waar wachtwoorden met minimaal 8 tekens met hoofdletters, kleine letters, cijfers EN leestekens er in tegenwoordig als absoluut minimum worden beschouwd, kan je hier niet meer dan 6 cijfers opgeven, en erger nog, ze adviseren 4!. Dat komt overeen met een wachtwoord van ongeveer 2 letters...

Ik heb geprobeerd dit te melden bij de klantenservice, via verschillende kanalen, maar ze vinden dat er niks mee mis is.

Hoe bereik ik de juiste persoon om hier wat aan te doen?
Reacties (17)
15-08-2014, 07:35 door Anoniem
Ga je de pincode methodiek op pinpassen (banken) ook aanpakken? Dat lijkt me ook echt gevoelig. Zo nu en dan ben ik een sprookjesfiguur op een site die een user/pswd wil maar waar die registratie op die manier mij niet nodig lijkt.

Kijk even naar de risico-evaluatie voor de gegevens waar het over het gaat, dat hoort er bij,
Het lijkt om de spaarpunten te gaan. Niet heel kritisch, maar inderdaad uit privacy oogpunt klopt zoiets niet.
Je hebt je zorgen geuit. Bewaar de bewijzen van wat je gedaan hebt om het kenbaar te maken.
Publiciteit start al met zoiets als dit.

...> Arnoud Engelfriet,?
15-08-2014, 08:20 door Anoniem
Heel algemeen:

Dat had je responsible kunnen doen via: https://www.ncsc.nl/security

"Wij horen het ook graag als u een zwakke plek heeft gevonden in een systeem van de overheid of in een systeem met een vitale functie. Voor systemen van andere eigenaren/beheerders en of leveranciers dient u in eerste instantie de organisatie zelf te benaderen. Indien de organisatie niet, of niet goed reageert kunt u het NCSC op de hoogte brengen. Hierbij zullen wij een rol als intermediair op ons nemen om gezamenlijk tot een resultaat te komen."

Maar klantenservice had gewoon moeten werken natuurlijk.
Op linkedin zoeken naar "Security Officer" of "CSO" wil ook wel eens helpen.

Specifiek dit probleem:
Op http://wachtwoordenschandpaal.tumblr.com staan er nog zovelen.
15-08-2014, 08:41 door Dick99999 - Bijgewerkt: 15-08-2014, 08:52
Als er online geen blokkade opzit na 5-10 foute pogingen is 4 cijfers echt onvoldoende. Als er dan ook nog blijkbaar privacy gevoelige gegevens zijn opgeslagen: melden bij het CPB http://www.cbpweb.nl/Pages/home.aspx lijkt mij.

Voor bescherming tegen off-line hacker inbraken is 6 cijfers lachwekkend. En aardig om te weten zou zijn of deze dan gehasht (welke methode) en gezouten worden opgeslagen of in klare tekst. Uit opvoedigkundig oogpunt: (gebruik sterke wachtwoorden) is zo'n 'bescherming' verwerpelijk.

Voor beide gevallen online en offline geldt: mits de informatie erachter waardevol en/of privacy gevoelig is.
15-08-2014, 10:36 door Rhialto - Bijgewerkt: 15-08-2014, 10:46
Door Anoniem: Ga je de pincode methodiek op pinpassen (banken) ook aanpakken?

Bij bankpassen moet je tenminste nog de pas in handen hebben.
Of een kopie natuurlijk, en dat is waar dat systeem faalt. Niet voor niets maken ze het kopieren van passen moeilijker doordat er nu een chip op zit, ipv de simpele magneetstrip.

Het gaat trouwens niet alleen om "spaarpunten", maar ook kan je bijvoorbeeld geboekte vluchten wijzigen. En voor sommige landen moet je je paspoortgegevens vooraf opgeven. Dat kan je ook zien en veranderen. Ik denk dat als je met creditcard betaald hebt voor je vlucht, dat die gegevens ook daar staan. (Maar dat had ik toevallig niet gedaan gelukkig)
15-08-2014, 10:38 door Anoniem
Door Anoniem: Ga je de pincode methodiek op pinpassen (banken) ook aanpakken? Dat lijkt me ook echt gevoelig. Zo nu en dan ben ik een sprookjesfiguur op een site die een user/pswd wil maar waar die registratie op die manier mij niet nodig lijkt.

Kijk even naar de risico-evaluatie voor de gegevens waar het over het gaat, dat hoort er bij,
Het lijkt om de spaarpunten te gaan. Niet heel kritisch, maar inderdaad uit privacy oogpunt klopt zoiets niet.
Je hebt je zorgen geuit. Bewaar de bewijzen van wat je gedaan hebt om het kenbaar te maken.
Publiciteit start al met zoiets als dit.

...> Arnoud Engelfriet,?

je vergeet hier wel even dat je 2 factoren nodig hebt: fysiek de pas en de pincode.
Met alleen die pincode ben je er niet, toegegeven kan je een pinpas wel ontfutselen maar het is lastiger als een username/password of alleen een pin.
15-08-2014, 10:54 door Anoniem
Na drie pogingen blokkeert de boel. Dat dan weer wel.
15-08-2014, 11:40 door Rhialto - Bijgewerkt: 15-08-2014, 11:41
Door Anoniem: Heel algemeen:

Dat had je responsible kunnen doen via: https://www.ncsc.nl/security

Dat heb ik maar eens geprobeerd. Eens zien wat dat voor effekt heeft.

Op http://wachtwoordenschandpaal.tumblr.com staan er nog zovelen.

Iemand heeft het daar kennelijk al geplaatst: http://wachtwoordenschandpaal.tumblr.com/post/57434146149/de-klm-noemt-het-een-pincode-maar-het-is-gewoon en dat was zo te zien al een jaar geleden...
15-08-2014, 11:49 door Anoniem

je vergeet hier wel even dat je 2 factoren nodig hebt: fysiek de pas en de pincode.
Met alleen die pincode ben je er niet, toegegeven kan je een pinpas wel ontfutselen maar het is lastiger als een username/password of alleen een pin.

Die pincode aanpak met de magneetstrip op een bankpas stamt uit een lang vervlogen tjid. De eerste hacks (skimmen / camera) werden afgedaan als onmogelijkheden omdat de techniek geheim en moeilijk zou zijn. Tijden veranderen, de kortzichtigheid niet. Het is de algemene reactive van ontkennen: het zit wel goed. Net als bij die genoemde site.
18-08-2014, 13:46 door Anoniem
Overigens, als het inschrijven voor Flying Blue is, komt daar dan niet nog iets bij? Flying blue werkt bij mijn weten met een ledenkaart waarop een ledennummer staat. Je moet dan een bestaand nummer combineren met een correcte pincode. En wanneer ze er voor zorgen, dat jij een mailtje krijgt zodra er een paar keer een verkeerde pincode is ingevoerd, weet je wat er is en het probleem bij de KLM droppen.
18-08-2014, 14:38 door Anoniem
Door Anoniem:

je vergeet hier wel even dat je 2 factoren nodig hebt: fysiek de pas en de pincode.
Met alleen die pincode ben je er niet, toegegeven kan je een pinpas wel ontfutselen maar het is lastiger als een username/password of alleen een pin.

Die pincode aanpak met de magneetstrip op een bankpas stamt uit een lang vervlogen tjid. De eerste hacks (skimmen / camera) werden afgedaan als onmogelijkheden omdat de techniek geheim en moeilijk zou zijn. Tijden veranderen, de kortzichtigheid niet. Het is de algemene reactive van ontkennen: het zit wel goed. Net als bij die genoemde site.

Nee, je leest verkeerd, ik zeg vooral dat een pinpas een stuk veiliger is dan de KLM website met alleen een pin.
Hacks bestaan er voor alles, 1-2 of 3 factoren dat wil niet zeggen dat ze allemaal even (on)veilig zijn.
Zo is skimmen een stuk moeilijker dan vroeger en is het een stuk moeilijker en van meer risico voorzien (voor de crimineel) dan bijv de pincode van de KLM website.
Kortom: een duidelijk verschil tussen beiden beveiligingstechnieken imho.
19-08-2014, 16:44 door Anoniem
"De beveiliging van persoonsgegevens (inklusief paspoortnummers!) op de klm.com website is zwaar onder de maat. Je kan als "wachtwoord" alleen een PIN opgeven van maximaal 6 cijfers..."

En hoeveel pogingen heb je, bij 1.000.000 mogelijke wachtwoorden ? De vraag of het onder de maat is, is daar erg van afhankelijk, net als de vraag of gemakkelijke wachtwoorden (123456, 111111 e..d.) wel/niet zijn toegestaan.

"Daar waar wachtwoorden met minimaal 8 tekens met hoofdletters, kleine letters, cijfers EN leestekens er in tegenwoordig als absoluut minimum worden beschouwd, kan je hier niet meer dan 6 cijfers opgeven, en erger nog, ze adviseren 4!. Dat komt overeen met een wachtwoord van ongeveer 2 letters..."

Indien overige maatregelen ervoor zorgen dat je niet eindeloos wachtwoorden kan uit proberen, dan zie ik het probleem niet zo heel erg. Het verbaast me dat je geen opmerkingen maakt over de vraag wat voor security controls er verder al dan niet gebruikt worden.

Heb je je ook afgevraagd hoe je kan voorkomen dat men met een keylogger je password afvangt, aangezien een complex wachtwoord daartegen geen enkele bescherming biedt ?

"Na drie pogingen blokkeert de boel. Dat dan weer wel."

Hmm de kans om een 6 cijferig wachtwoord in 3x te raden is ongeveer 0.0003%, met andere woorden een enorm klein risico. Wat houdt de blokkade in ? Mag je dan na een aantal minuten opnieuw proberen, of moet je contact opnemen om je account te unlocken ?

"Hoe bereik ik de juiste persoon om hier wat aan te doen?"

Of men er wat aan doet is niet aan jou, maar aan de KLM. Al kan je het altijd vragen.
23-08-2014, 00:25 door Rhialto
En hoeveel pogingen heb je, bij 1.000.000 mogelijke wachtwoorden ? De vraag of het onder de maat is, is daar erg van afhankelijk, net als de vraag of gemakkelijke wachtwoorden (123456, 111111 e..d.) wel/niet zijn toegestaan.
Hoeveel pogingen je via de website hebt is niet zo interessant. Het is verstandiger uit te gaan van een scenario met oneindig veel pogingen. Immers, lijsten van password hashes worden aan de lopende band gestolen, zo lijkt het wel de laatste tijd. Als iemand zo'n lijst in handen krijgt, dan zijn 1.000.000 mogelijke wachtwoorden gewoon in een sekonde ofzo allemaal uit te proberen.

Het verbaast me dat je geen opmerkingen maakt over de vraag wat voor security controls er verder al dan niet gebruikt worden.
Nou, met zulke slechte wachtwoorden was ik me stilletjes aan het afvragen of ze eigenlijk de PINs ook nog wel hashen... en het zou me eigenlijk niks verbazen als ze zelfs dat al niet deden. Maar daar wou ik niet meteen over beginnen - meerdere kwesties tegelijk aankaarten blijkt soms te moeilijk te zijn voor instanties...
"Hoe bereik ik de juiste persoon om hier wat aan te doen?"

Of men er wat aan doet is niet aan jou, maar aan de KLM. Al kan je het altijd vragen.
Ik heb inmiddels een mailadres bij klm, en een ontvangstbevestiging. Maar dat de klm er wat aan doet is wat mij betreft niet optioneel. Ik zie hier een duidelijk probleem met de privacy en -wetgeving.
23-08-2014, 10:43 door Anoniem
Wederom het bekende gezeur over "wat gebeurt er als de password hashes gestolen worden".
Dat vind ik niet relevant. Dan stelen ze ook de gegevens wel. En die pincodes staan vast niet als hash in
de database.
Ik gebruik op al die "mijn blabla" sites NOOIT sterke wachtwoorden. Overbodig.
Hier is het dan misschien nog wat anders omdat er kennelijk persoonlijke gegevens op staan maar ik ben er
echt niet bang voor dat er iemand onder mijn account gaat inloggen op een forum of "mijn blabla" site.
Je bent iets te paranoide denk ik.
23-08-2014, 11:09 door Anoniem
Wat een aanstellerij deze post zeg.... 6-cijferige code waar je maar 3 pogingen voor hebt lijkt me geen onredelijke beveiliging, en al helemaal niet 'superslecht'. Het is geen internetbankieren ofzo... Je moet trouwens ook nog iemands gebruikersnaam (Flying blue nr of emailadres) kennen.
En de hijgerige toevoeging "Inclusief paspoortnrs!" is al helemaal lachwekkend. Ten eerste, ik heb ook zo'n account en vlieg regelmatig met klm maar heb nooit een paspoortnummer hoeven ingeven? Ten tweede, hoewel onwenselijk indien iemand dit zou kunnen verkrijgen, het is niet het einde van de wereld. Met alleen een paspoortnr kom je echt niet ver, als het nou een hele scan van het paspoort was ofzo....
23-08-2014, 18:18 door Anoniem
Door Anoniem: Wat een aanstellerij deze post zeg.... 6-cijferige code waar je maar 3 pogingen voor hebt lijkt me geen onredelijke beveiliging, en al helemaal niet 'superslecht'. Het is geen internetbankieren ofzo... Je moet trouwens ook nog iemands gebruikersnaam (Flying blue nr of emailadres) kennen.
En de hijgerige toevoeging "Inclusief paspoortnrs!" is al helemaal lachwekkend. Ten eerste, ik heb ook zo'n account en vlieg regelmatig met klm maar heb nooit een paspoortnummer hoeven ingeven? Ten tweede, hoewel onwenselijk indien iemand dit zou kunnen verkrijgen, het is niet het einde van de wereld. Met alleen een paspoortnr kom je echt niet ver, als het nou een hele scan van het paspoort was ofzo....
+1, iets met een klok en een klepel.

Neemt niet weg dat een 6-cijferige code een beetje knullig kan overkomen, en dat het bepaald niet trendy is.
Maar m.b.t. veiligheid lijkt het ook mij verder geen issue op zich.
24-08-2014, 10:52 door [Account Verwijderd]
[Verwijderd]
25-08-2014, 09:54 door Anoniem
Door Anoniem: Ga je de pincode methodiek op pinpassen (banken) ook aanpakken? Dat lijkt me ook echt gevoelig. Zo nu en dan ben ik een sprookjesfiguur op een site die een user/pswd wil maar waar die registratie op die manier mij niet nodig lijkt.

Kijk even naar de risico-evaluatie voor de gegevens waar het over het gaat, dat hoort er bij,
Het lijkt om de spaarpunten te gaan. Niet heel kritisch, maar inderdaad uit privacy oogpunt klopt zoiets niet.
Je hebt je zorgen geuit. Bewaar de bewijzen van wat je gedaan hebt om het kenbaar te maken.
Publiciteit start al met zoiets als dit.

...> Arnoud Engelfriet,?

Je kan je creditcard gegevens er aan koppelen als ook je NAW gegevens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.