image

Wachtwoord Britse spoorwegen gelekt tijdens tv-uitzending

zondag 3 mei 2015, 07:51 door Redactie, 12 reacties

Tijdens een uitzending van een BBC-documentaire over de Britse spoorwegen is het wachtwoord van een controlesysteem dat op een beeldscherm was vastgeplakt in beeld gekomen. In de documentaire "The Trouble With Our Trains" bezochten Nick Hewer en Margaret Mountford, bekend van de televisieserie "The Apprentice", een bezoek aan een controlecentrum dat zich in het station London Waterloo bevindt.

De documentairemakers zoomen daarbij in op een monitor, waar zowel de gebruikersnaam als het wachtwoord van het systeem staan, zo ontdekte Twitteraar Mike Hudson. Daarnaast lijkt het erop dat de software van de spoorwegen nog steeds op Windows XP draait. Het is niet voor het eerst dat wachtwoorden tijdens tv-uitzendingen in beeld komen. Onlangs overkwam dit de gehackte Franse televisiezender TV5.

Reacties (12)
03-05-2015, 08:37 door Anoniem
Daarom is het veel veiliger om de account gegevens onder het toetsenbord te leggen ;)
03-05-2015, 10:25 door Anoniem
Door Anoniem: Daarom is het veel veiliger om de account gegevens onder het toetsenbord te leggen ;)

Maar je wilt ook weer niet dat op een kritiek moment iemand door de stress het/een wachtwoord niet meer weet:)
Er zullen zeker wel betere oplossingen zijn dan een post-it papiertje op een monitor plakken.
03-05-2015, 11:58 door [Account Verwijderd] - Bijgewerkt: 03-05-2015, 11:59
[Verwijderd]
03-05-2015, 12:03 door mcb - Bijgewerkt: 03-05-2015, 12:06
Door Anoniem 10:25:
Maar je wilt ook weer niet dat op een kritiek moment iemand door de stress het/een wachtwoord niet meer weet:)
Er zullen zeker wel betere oplossingen zijn dan een post-it papiertje op een monitor plakken.
Door deze bijvoorbeeld in een map te plaatsen (en map met kettinkje vastleggen). Wel dichtklappen natuurlijk.

Door Anak Krakatau: of gewoon op creditcard-formaat een stukje karton met daarop je ww in je portefeuille dragen. is nog beter.
Gezien de screenshot gaat het om een pc in een controlcenter. Als die controllers verschillende (afwisselende) functies hebben, is een lijst in je portefeuille mss niet zo handig.

Wat overigens helemaal fout is, is dat het pw Password3 is i.p.v. iets creatiefs zoals wel met het userid.
03-05-2015, 15:47 door [Account Verwijderd] - Bijgewerkt: 03-05-2015, 15:47
[Verwijderd]
03-05-2015, 16:29 door Anoniem
Door pe0mot:
Door mcb: Wat overigens helemaal fout is, is dat het pw Password3 is i.p.v. iets creatiefs zoals wel met het userid.
Yep, en logisch dat het password nu aangepast moet worden naar Password4

Admin:Admin12345 is het nu.
03-05-2015, 18:34 door Anoniem
Bij de spoorwegen werken ze met 10 wachtwoorden. Je krijgt een lijstje met die wachtwoorden als je in dienst komt. Of een enkel de wachtwoorden die jij nodig hebt. Voor dit systeem heb je wachtwoord 3 nodig maar ja wat dat wachtwoord is weten alleen de mensen die het lijstje hebben. :)
03-05-2015, 20:45 door [Account Verwijderd] - Bijgewerkt: 03-05-2015, 20:46
[Verwijderd]
03-05-2015, 23:23 door karma4
gooi de keys/password benaderingen in de prullenbak.
Je kan met cards (iets wat je bezit) werken. Voor printers: http://www.ricoh.nl/producten/software/output-management-en-veiligheid/card-authentication-package.aspxt
Kan al tijden met Windows https://msdn.microsoft.com/en-us/library/windows/desktop/aa380142(v=vs.85).aspx Vraagt een investering voor de implementatie. Als het goedkoop moet gaat dat wel eens ten koste van kwalitteit.
04-05-2015, 00:55 door Eric-Jan H te D
Door karma4: Je kan met cards (iets wat je bezit) werken.

Een kaart zonder wachtwoord? Spannend.
04-05-2015, 08:45 door karma4
Door Eric-Jan H te A:
Door karma4: Je kan met cards (iets wat je bezit) werken.
Een kaart zonder wachtwoord? Spannend.
In de praktijk jaren geleden gezien. Het schoot wat door omdat ze iets bedachten dat een trits van de geschakelde readers met ieder een eigen card veroorzaakte. Op een gegeven moment was het ook weer weg (kosten?).
Er hoorde nog een pin bij. Dat is een minimaal wachtwoord met heel weinig eisen net niet 12345

Met de printers is het gewone dagelijkse praktijk. Als ik dat doe (minimaal). Zoeken waar zo'n ding is (maakt op dat moment niet uit) kaart er voorhouden (de login). Dan pas wordt de print opgehaald en kun je het afhandelen.

Geen user/password dan kun je dat niet lekken, op geen enkele manier.
Het is raar dat er zo op user/password gefocussed wordt terwijl er genoeg andere manieren zijn. Denk ook aan een SMS-je naar een mobieltje asl 2FA. Een ketting van wat simpelere eenvoudige beveiligingen kan veel effectiever zijn. De hele ketting moet doorlopen worden en elke misser houdt de boel op. Stel je hebt twee schakels met ieder 1% kans van falen. In op de 100 gevallen open ligt is een akelig hoge faalkans (slotje met 2 ringen van 10 getallen). Dat elke schakel in de ketting faalt bij een lengte van 2 0.01%. Dat is al het geaccepteerde niveau van pin bankcards (4 getallen).
Door gebruik van verschillende technieken garandeer je het onafhankelijk zijn van de gebeurtenissen.

Niets spannends, gewoon toepassen van basis uit de kansspel en speltheorie.
05-05-2015, 10:39 door Anoniem
Op zich niet zo vreemd. Dit soort control-center daar kom je niet of nauwelijks in, dus in een dergelijke fysiek afgeschermde omgeving is de afweging niet zo vreemd om login/password op een monitor te plakken. In geval van nood wil je niet naar een wachtwoord moeten zoeken.

Wel slordig dat de opname niet goed gecontroleerd is....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.