'Websites moeten wachtwoordopslag vermelden'
Websites moeten hun gebruikers laten weten hoe ze wachtwoorden opslaan, om zo duidelijk te maken wat de impact van een eventuele hack is. Daarvoor pleit de Australische beveiligingsexpert Troy Hunt. Op dit moment hebben internetgebruikers geen idee wat voor aanpak websites hanteren. Sommige websites slaan wachtwoorden zelfs in platte tekst op.
Andere sites kiezen voor hashing-algoritmes als MD5 of SHA1. In veel gevallen wordt hierbij geen salt gebruikt, waardoor het achterhalen van het wachtwoord dat bij de hash hoort zeer eenvoudig is. Onlangs lekte de Australische tak van ABC een lijst met wachtwoordhashes. Hunt wist 53% van de wachtwoordhahes binnen 45 seconden te 'kraken'. Sindsdien heeft hij 90% van de hashes achterhaald.
Opslag
"Deze opslagmechanismen zijn niet robuust, ze zijn onnozel", merkt de onderzoeker op. Consumenten weten pas welk opslagmechanisme een website gebruikt als ze hun wachtwoord aan de website toevertrouwen. En vaak pas in het geval er een incident heeft plaatsgevonden.
Hunt vindt dat websites op de registratiepagina moeten aangeven welk mechanisme ze gebruiken. Dit zou websites en bedrijven moeten aansporen om veiligere opslagmechanismes te kiezen, aangezien niemand zou willen aangeven dat ze wachtwoorden in platte tekst opslaan.
Daarnaast geeft het sites die de opslag wel serieus nemen een mogelijkheid om zich te onderscheiden. In beide gevallen zouden consumenten er beter van worden, concludeert Hunt.
Reacties (20)
06-03-2013, 11:00 door
donnerd
Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
06-03-2013, 11:07 door
SirDice
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? De veiligheid van die wachtwoorden wordt juist bepaald door hoe dat gedaan wordt. Als dat niet duidelijk is kun je ook nooit controleren of het goed gebeurd.
06-03-2013, 11:09 door
donnerd
Door SirDice:
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
06-03-2013, 11:13 door
SirDice
Door donnerd:
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.Door SirDice:
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
06-03-2013, 11:14 door
donnerd
Door SirDice:
Fout, heb je niet voor nodig :-)Door donnerd:
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.Door SirDice:
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
DOS is your friend to kill those passwords.
06-03-2013, 11:23 door
SirDice
Door donnerd:
DOS is your friend to kill those passwords.
Niet echt.Door SirDice:
Fout, heb je niet voor nodig :-)Door donnerd:
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.Door SirDice:
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
DOS is your friend to kill those passwords.
Stel je haalt met een truukje het volgende boven water: 94463b9bd981dbaa614bed9e59ee45f4fb9889063e6ae6b3ed56386651e661d4
Wordt dat wachtwoord onveiliger als ik zeg dat het een SHA256 hash is?
Kennis van de gebruikte methode maakt voor de veiligheid van dat wachtwoord niets uit.
06-03-2013, 11:27 door
donnerd
Door SirDice:
Stel je haalt met een truukje het volgende boven water: 94463b9bd981dbaa614bed9e59ee45f4fb9889063e6ae6b3ed56386651e661d4
Wordt dat wachtwoord onveiliger als ik zeg dat het een SHA256 hash is?
Kennis van de gebruikte methode maakt voor de veiligheid van dat wachtwoord niets uit.
Het wachtwoordje zie ik niet nee.Door donnerd:
DOS is your friend to kill those passwords.
Niet echt.Door SirDice:
Fout, heb je niet voor nodig :-)Door donnerd:
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.Door SirDice:
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
DOS is your friend to kill those passwords.
Stel je haalt met een truukje het volgende boven water: 94463b9bd981dbaa614bed9e59ee45f4fb9889063e6ae6b3ed56386651e661d4
Wordt dat wachtwoord onveiliger als ik zeg dat het een SHA256 hash is?
Kennis van de gebruikte methode maakt voor de veiligheid van dat wachtwoord niets uit.
Maar toch heb ik een tool beschikbaar die ervoor zorgt dat heel die wachtwoord uit de SAM DB verdwijnt en zelfs uit Windows 8 SAM DB.
Door donnerd:
DOS is your friend to kill those passwords.
Law #3 van http://technet.microsoft.com/library/cc722487.aspx ?Door SirDice:
Fout, heb je niet voor nodig :-)Door donnerd:
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.Door SirDice:
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
DOS is your friend to kill those passwords.
99,99% van de gebruikers zegt het helemaal niets dat het wachtwoord met bv SHA25+Salt is opgeslagen. Dus wat heeft het voor zin om dat te vermelden......
Wat je hier nu zegt slaat helemaal nergens op natuurlijk als ik aangeef mijn wachtwoorden met een salt een x aantal keer met een sha 512 te hashen wordt die dan opeens makkelijker te kraken?
I dont think so.
Alleen de x zou hier relevant kunnen zijn maar dat hoef je nu ook weer niet te vermelden volgens dit bericht, als ik maar zeg dat ik het in ieder geval vaker dan eens doe.
En verder is dat dos ook niet waar zonder admin account kom jij niet aan de password files welke onder geladen windows zelf read only zijn. Zou je daarin tegen een bootcd gebruiken is het een ander verhaal afhankelijk van het feit of je hdd encrypted is zo niet, waarom zou je dan een wachtwoord aanpassen als je toch al heel het file systeem kan doorzoeken.
I dont think so.
Alleen de x zou hier relevant kunnen zijn maar dat hoef je nu ook weer niet te vermelden volgens dit bericht, als ik maar zeg dat ik het in ieder geval vaker dan eens doe.
En verder is dat dos ook niet waar zonder admin account kom jij niet aan de password files welke onder geladen windows zelf read only zijn. Zou je daarin tegen een bootcd gebruiken is het een ander verhaal afhankelijk van het feit of je hdd encrypted is zo niet, waarom zou je dan een wachtwoord aanpassen als je toch al heel het file systeem kan doorzoeken.
06-03-2013, 11:41 door
SirDice
Door Anoniem: 99,99% van de gebruikers zegt het helemaal niets dat het wachtwoord met bv SHA25+Salt is opgeslagen. Dus wat heeft het voor zin om dat te vermelden......
Omdat het de mensen die het wel wat zegt een beter gevoel geeft dan wanneer ze XOR zouden gebruiken.
06-03-2013, 11:42 door
SirDice
Door donnerd: Het wachtwoordje zie ik niet nee.
Dus? Hoe onveiliger is het dan geworden nu je weet dat het een SHA256 hash is?Maar toch heb ik een tool beschikbaar die ervoor zorgt dat heel die wachtwoord uit de SAM DB verdwijnt en zelfs uit Windows 8 SAM DB.
Tuurlijk. Ga jij even een gehackte webserver rebooten naar DOS om dat te kunnen doen?Op zich een logische gedachte. Maargoed, dan schrijft er iemand (de huisjurist) eens wat op en na de zoveelste overhaul blijkt er niets van te kloppen. Of wellicht kopieert die een "best practices" dokumentje zonder de techniekers wat te vragen en dan blijkt er nog ergens een "oud oud oud" systeem wat platte tekst gebruikt. En dan?
"Wordt dat wachtwoord onveiliger als ik zeg dat het een SHA256 hash is?"
En wat nou als je zegt dat het plaintext is ? ;)
Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
En wat nou als je zegt dat het plaintext is ? ;)
Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
06-03-2013, 16:39 door
SirDice
Door Anoniem: Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
Zodat de mensen die het wel wat zegt die mensen die het niks zegt kunnen waarschuwen dat hun gegevens daar niet zo heel erg veilig zijn. Wat ze er dan vervolgens zelf mee doen moeten ze zelf weten.
06-03-2013, 18:00 door
Edsel
Door Anoniem:
Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
De gemiddelde gebruiker heeft er in die zin wat aan dat het de websites aanspoort om meer veiligere methoden te gaan gebruiken. De gemiddelde gebruiker heeft er dus ook wat, maar dan indirect, en zonder iets te hoeven weten over de gebruikte hash.Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
07-03-2013, 09:12 door
Alex1602
Door Edsel:
Door Anoniem:
Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
De gemiddelde gebruiker heeft er in die zin wat aan dat het de websites aanspoort om meer veiligere methoden te gaan gebruiken. De gemiddelde gebruiker heeft er dus ook wat, maar dan indirect, en zonder iets te hoeven weten over de gebruikte hash.Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
Ik denk niet dat de gemiddelde gebruiker er ook maar iets op vooruit gaat, vaak kiezen ze er immers ook zelf voor zwakke wachtwoorden te gebruiken en standaard gebruikers wachtwoord val met een beetje nadenken vak prima te bruteforcen.
Hoevaak gebeurd het wel niet dat er een dictionary woord inzit met iets erachter en eventueel een hoofdletter aan het begin?
Misschien moet daar ook maar is meer duidelijkheid over worden gegeven, hoe bruteforcen werkt en waarom ze dus een beter wachtwoord moeten nemen.
Volgens mij is het bericht dat er gemeld moet worden dat er passwords worden opgeslagen, en mogelijk hoe? Net als met de Cookie wet heeft het totaal geen effect en is het alleen maar irritant. Hackers komen zonder die info ook wel binnen ;-) En nee het wordt er niet veiliger van!!
08-03-2013, 11:55 door
dnmvisser
OK. Als een website het goed doet, snapt de bezoekers het statement niet.
En als een site het niet goed doet, wordt dat natuurlijk niet vermeld.
Netto resultaat: verwarde bezoekers op sites die het wel in orde hebben.
Niet erg aantrekkelijk.
En als een site het niet goed doet, wordt dat natuurlijk niet vermeld.
Netto resultaat: verwarde bezoekers op sites die het wel in orde hebben.
Niet erg aantrekkelijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
