image

'Websites moeten wachtwoordopslag vermelden'

woensdag 6 maart 2013, 10:51 door Redactie, 20 reacties

Websites moeten hun gebruikers laten weten hoe ze wachtwoorden opslaan, om zo duidelijk te maken wat de impact van een eventuele hack is. Daarvoor pleit de Australische beveiligingsexpert Troy Hunt. Op dit moment hebben internetgebruikers geen idee wat voor aanpak websites hanteren. Sommige websites slaan wachtwoorden zelfs in platte tekst op.

Andere sites kiezen voor hashing-algoritmes als MD5 of SHA1. In veel gevallen wordt hierbij geen salt gebruikt, waardoor het achterhalen van het wachtwoord dat bij de hash hoort zeer eenvoudig is. Onlangs lekte de Australische tak van ABC een lijst met wachtwoordhashes. Hunt wist 53% van de wachtwoordhahes binnen 45 seconden te 'kraken'. Sindsdien heeft hij 90% van de hashes achterhaald.

Opslag
"Deze opslagmechanismen zijn niet robuust, ze zijn onnozel", merkt de onderzoeker op. Consumenten weten pas welk opslagmechanisme een website gebruikt als ze hun wachtwoord aan de website toevertrouwen. En vaak pas in het geval er een incident heeft plaatsgevonden.

Hunt vindt dat websites op de registratiepagina moeten aangeven welk mechanisme ze gebruiken. Dit zou websites en bedrijven moeten aansporen om veiligere opslagmechanismes te kiezen, aangezien niemand zou willen aangeven dat ze wachtwoorden in platte tekst opslaan.

Daarnaast geeft het sites die de opslag wel serieus nemen een mogelijkheid om zich te onderscheiden. In beide gevallen zouden consumenten er beter van worden, concludeert Hunt.

Reacties (20)
06-03-2013, 11:00 door donnerd
Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
06-03-2013, 11:07 door SirDice
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd? De veiligheid van die wachtwoorden wordt juist bepaald door hoe dat gedaan wordt. Als dat niet duidelijk is kun je ook nooit controleren of het goed gebeurd.
06-03-2013, 11:09 door donnerd
Door SirDice:
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd?
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
06-03-2013, 11:13 door SirDice
Door donnerd:
Door SirDice:
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd?
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.
06-03-2013, 11:13 door Anoniem
Security through obscurity is no security @ donnerd.
06-03-2013, 11:14 door donnerd
Door SirDice:
Door donnerd:
Door SirDice:
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd?
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.
Fout, heb je niet voor nodig :-)
DOS is your friend to kill those passwords.
06-03-2013, 11:23 door SirDice
Door donnerd:
Door SirDice:
Door donnerd:
Door SirDice:
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd?
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.
Fout, heb je niet voor nodig :-)
DOS is your friend to kill those passwords.
Niet echt.

Stel je haalt met een truukje het volgende boven water: 94463b9bd981dbaa614bed9e59ee45f4fb9889063e6ae6b3ed56386651e661d4

Wordt dat wachtwoord onveiliger als ik zeg dat het een SHA256 hash is?

Kennis van de gebruikte methode maakt voor de veiligheid van dat wachtwoord niets uit.
06-03-2013, 11:27 door donnerd
Door SirDice:
Door donnerd:
Door SirDice:
Door donnerd:
Door SirDice:
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd?
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.
Fout, heb je niet voor nodig :-)
DOS is your friend to kill those passwords.
Niet echt.

Stel je haalt met een truukje het volgende boven water: 94463b9bd981dbaa614bed9e59ee45f4fb9889063e6ae6b3ed56386651e661d4

Wordt dat wachtwoord onveiliger als ik zeg dat het een SHA256 hash is?

Kennis van de gebruikte methode maakt voor de veiligheid van dat wachtwoord niets uit.
Het wachtwoordje zie ik niet nee.
Maar toch heb ik een tool beschikbaar die ervoor zorgt dat heel die wachtwoord uit de SAM DB verdwijnt en zelfs uit Windows 8 SAM DB.
06-03-2013, 11:27 door Anoniem
Door donnerd:
Door SirDice:
Door donnerd:
Door SirDice:
Door donnerd: Juist en dan weten criminelen precies hoe ze een aanval moeten uitvoeren.
Hoe je wachtwoorden opslaat zegt daar helemaal niets over. Bedenk dat het al vele jaren duidelijk is hoe wachtwoorden in bijv. Windows of Unix worden opgeslagen. Heeft dat de veiligheid van die wachtwoorden verminderd?
Ja, aangezien ik ze eenvoudig eruit kan knikkeren zonder het wachtwoord te weten.
Heb daar zelfs geen admin gegevens voor nodig.
Nee, geen formattatie.
Nee, dat kun je niet eenvoudig doen omdat je daar administrator of root rechten voor nodig hebt. Als je die rechten hebt kun je veel meer dan alleen een beetje roeren in de accounts.
Fout, heb je niet voor nodig :-)
DOS is your friend to kill those passwords.
Law #3 van http://technet.microsoft.com/library/cc722487.aspx ?
06-03-2013, 11:29 door Anoniem
99,99% van de gebruikers zegt het helemaal niets dat het wachtwoord met bv SHA25+Salt is opgeslagen. Dus wat heeft het voor zin om dat te vermelden......
06-03-2013, 11:32 door Anoniem
Wat je hier nu zegt slaat helemaal nergens op natuurlijk als ik aangeef mijn wachtwoorden met een salt een x aantal keer met een sha 512 te hashen wordt die dan opeens makkelijker te kraken?
I dont think so.
Alleen de x zou hier relevant kunnen zijn maar dat hoef je nu ook weer niet te vermelden volgens dit bericht, als ik maar zeg dat ik het in ieder geval vaker dan eens doe.

En verder is dat dos ook niet waar zonder admin account kom jij niet aan de password files welke onder geladen windows zelf read only zijn. Zou je daarin tegen een bootcd gebruiken is het een ander verhaal afhankelijk van het feit of je hdd encrypted is zo niet, waarom zou je dan een wachtwoord aanpassen als je toch al heel het file systeem kan doorzoeken.
06-03-2013, 11:41 door SirDice
Door Anoniem: 99,99% van de gebruikers zegt het helemaal niets dat het wachtwoord met bv SHA25+Salt is opgeslagen. Dus wat heeft het voor zin om dat te vermelden......
Omdat het de mensen die het wel wat zegt een beter gevoel geeft dan wanneer ze XOR zouden gebruiken.
06-03-2013, 11:42 door SirDice
Door donnerd: Het wachtwoordje zie ik niet nee.
Dus? Hoe onveiliger is het dan geworden nu je weet dat het een SHA256 hash is?

Maar toch heb ik een tool beschikbaar die ervoor zorgt dat heel die wachtwoord uit de SAM DB verdwijnt en zelfs uit Windows 8 SAM DB.
Tuurlijk. Ga jij even een gehackte webserver rebooten naar DOS om dat te kunnen doen?
06-03-2013, 12:22 door Anoniem
Op zich een logische gedachte. Maargoed, dan schrijft er iemand (de huisjurist) eens wat op en na de zoveelste overhaul blijkt er niets van te kloppen. Of wellicht kopieert die een "best practices" dokumentje zonder de techniekers wat te vragen en dan blijkt er nog ergens een "oud oud oud" systeem wat platte tekst gebruikt. En dan?
06-03-2013, 14:55 door Anoniem
"Wordt dat wachtwoord onveiliger als ik zeg dat het een SHA256 hash is?"

En wat nou als je zegt dat het plaintext is ? ;)

Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
06-03-2013, 16:39 door SirDice
Door Anoniem: Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
Zodat de mensen die het wel wat zegt die mensen die het niks zegt kunnen waarschuwen dat hun gegevens daar niet zo heel erg veilig zijn. Wat ze er dan vervolgens zelf mee doen moeten ze zelf weten.
06-03-2013, 18:00 door Edsel
Door Anoniem:
Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
De gemiddelde gebruiker heeft er in die zin wat aan dat het de websites aanspoort om meer veiligere methoden te gaan gebruiken. De gemiddelde gebruiker heeft er dus ook wat, maar dan indirect, en zonder iets te hoeven weten over de gebruikte hash.
07-03-2013, 09:12 door Alex1602
Door Edsel:
Door Anoniem:
Wat heeft de gemiddelde gebruiker verder aan de melding dat het SHA256 is, dat zegt de meeste mensen helemaal niets.
De gemiddelde gebruiker heeft er in die zin wat aan dat het de websites aanspoort om meer veiligere methoden te gaan gebruiken. De gemiddelde gebruiker heeft er dus ook wat, maar dan indirect, en zonder iets te hoeven weten over de gebruikte hash.


Ik denk niet dat de gemiddelde gebruiker er ook maar iets op vooruit gaat, vaak kiezen ze er immers ook zelf voor zwakke wachtwoorden te gebruiken en standaard gebruikers wachtwoord val met een beetje nadenken vak prima te bruteforcen.

Hoevaak gebeurd het wel niet dat er een dictionary woord inzit met iets erachter en eventueel een hoofdletter aan het begin?
Misschien moet daar ook maar is meer duidelijkheid over worden gegeven, hoe bruteforcen werkt en waarom ze dus een beter wachtwoord moeten nemen.
07-03-2013, 12:29 door Anoniem
Volgens mij is het bericht dat er gemeld moet worden dat er passwords worden opgeslagen, en mogelijk hoe? Net als met de Cookie wet heeft het totaal geen effect en is het alleen maar irritant. Hackers komen zonder die info ook wel binnen ;-) En nee het wordt er niet veiliger van!!
08-03-2013, 11:55 door dnmvisser
OK. Als een website het goed doet, snapt de bezoekers het statement niet.
En als een site het niet goed doet, wordt dat natuurlijk niet vermeld.
Netto resultaat: verwarde bezoekers op sites die het wel in orde hebben.

Niet erg aantrekkelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.