image

Britse provider verbiedt scheldwoorden als wachtwoord

maandag 1 september 2014, 15:49 door Redactie, 7 reacties

Abonnees van de Britse internetprovider Virgin Media mogen bepaalde scheldwoorden niet als wachtwoord gebruiken, zo ontdekte de Britse IT-security consultant Paul Moore. De tool van Virgin Media die de sterkte van wachtwoorden controleert beschikt over een lijst van niet toegestane woorden.

Naast onveilige wachtwoorden als abc123 en password wordt de lijst vooral gedomineerd door scheldwoorden. Moore hekelde al eerder het wachtwoordbeleid van Virgin Media, waarin een wachtwoord van 8 tot 10 karakters wordt geëist. Daarnaast mag het wachtwoord alleen letters en cijfers bevatten. Ook waren er twijfels over de manier waarop de provider wachtwoorden opslaat.

Virgin Media stelt dat het wachtwoorden niet in platte tekst opslaat, maar wat voor beveiliging het dan wel gebruikt wil het bedrijf niet tegenover Moore laten weten. "Als wachtwoorden "versleuteld" zijn en niemand kan ze zien, waarom kan ik dan geen "bollox" gebruiken", vraagt de consultant zich af op Twitter. Volgens securityblogger Troy Hunt is de reden dat scheldwoorden worden geweigerd waarschijnlijk omdat dit beledigend voor de helpdesk kan zijn als die hierom vraagt.

Reacties (7)
01-09-2014, 16:21 door Anoniem
Volgens securityblogger Troy Hunt is de reden dat scheldwoorden worden geweigerd waarschijnlijk omdat dit beledigend voor de helpdesk kan zijn als die hierom vraagt.

Wat een onzin. Ik heb ook een keer zoiets gehad, en heb gezegd: 'Wijzig het ww maar. Dan kun je daarmee inloggen en verander ik hem straks wel weer terug.' Geen enkele helpdesk krijgt mijn WW. Is helemaal niet nodig.

TheYOSH
01-09-2014, 16:23 door Anoniem
... omdat dit beledigend voor de helpdesk kan zijn als die hierom vraagt.
Een professionele helpdesk vraagt nooit om wachtwoorden.
01-09-2014, 16:39 door vimes
..voor de helpdesk kan zijn als die hierom vraagt...

Ik heb altijd geleerd dat je nooit je ww moet afgeven, óók niet aan je provider.
02-09-2014, 09:58 door AceHighness
Als een password een MAXIMUM length heeft, is dat een sterke indicator dat er geen gebruik word gemaakt van hashing. Immers, de hash is altijd evenlang ongeacht hoe lang het wachtwoord is.
02-09-2014, 10:21 door wim-bart
Door AceHighness: Als een password een MAXIMUM length heeft, is dat een sterke indicator dat er geen gebruik word gemaakt van hashing. Immers, de hash is altijd evenlang ongeacht hoe lang het wachtwoord is.

Ik denk dat je gelijk hebt, of ze gebruiken een eigen API die het wachtwoord versleuteld met een wazige XOR of bitshift algoritme en het wachtwoord terug te converteren is. Het klinkt niet echt pluis.
03-09-2014, 14:54 door Anoniem
Door AceHighness: Als een password een MAXIMUM length heeft, is dat een sterke indicator dat er geen gebruik word gemaakt van hashing. Immers, de hash is altijd evenlang ongeacht hoe lang het wachtwoord is.

Maar het kan wel betekenen dat je een wachtwoord van 20 karakters invoert dat vervolgens dezelfde hash oplevert als alleen de eerste acht karakters... dat hangt ervan af hoe het hashen gaat. Dus dan denk je extra veilig te zijn, ben je het helemaal niet. Dan kun je het maar beter weten. Kun je daar tenminste weg blijven ;-).

(Staat mij bij van een Unix implementatie vroeger).
03-09-2014, 17:04 door Anoniem
Door AceHighness: Als een password een MAXIMUM length heeft, is dat een sterke indicator dat er geen gebruik word gemaakt van hashing. Immers, de hash is altijd evenlang ongeacht hoe lang het wachtwoord is.

Het kan ook betekenen dat er systemen zijn waarbij er een beperking zit op het aantal tekens dat je in het invulveld kunt invoeren. Of er is een bepaalde API die je wachtwoord door moet sturen naar AD o.i.d. waar vervolgens een beperking op zit.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.