Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Opslaan wachtwoord bij EnergieDirect

28-01-2016, 00:38 door [Account Verwijderd], 8 reacties
Zojuist heb ik de thread gelezen over het al dan niet onversleuteld opslaan van de PIN-code van een tankpas. Maar wat dacht je van deze:

sinds mei 2015 wordt mijn energie geleverd door EnergieDirect. Geen enkel probleem mee, en ook geen klachten over, zelfs niet over de prijs die ze ervoor vragen. Maar omdat ik benieuwd was of zij op de één of andere manier inzicht konden geven op mijn verbruik, toch maar weer 'ns op hun website rondgekeken. Natuurlijk een omgeving "MijnEnergieDirect", waarin je je betalingsgeschiedenis en dergelijke kan bekijken. Maar daarvoor heb je wel - naast het door EnergieDirect gehanteerde email-adres - je wachtwoord nodig. En dat wist ik niet meer, blijkbaar vergeten op te slaan in KeyPass bij het aanmaken. Dus geklikt op de juiste hyperlink, en binnen de minuut een reset-mailtje. So far, so good.

Ingelogd met het tijdelijk wachtwoord, en direct het wachtwoord gewijzigd (en dit keer wel opgeslagen ;-). Er bleek achteraf nog een checkbox onder de invoervelden te staan, maar dat is me op dat moment niet opgevallen. Geklikt op "Opslaan", en vrijwel meteen een mailtje in de inbox, met bevestiging dat mijn wachtwoord gewijzigd was, en dat het nu << fZ|7Jf_+?nG7S~Tk\jFU >> was (zonder de punthaken, het is intussen gewijzigd). From now on no good!!! EnergieDirect WEET WAT MIJN WACHTWOORD IS, en ze echoën dat feilloos terug? Dat kunnen ze dan voor alle gebruikers, neem ik aan?

Een mailtje met een klacht, dat het onversleuteld opslaan van wachtwoorden toch niet zo heel veilig is, zeker niet gezien het feit dat de "gemiddelde" gebruiker niet zo erg goed met z'n wachtwoorden omgaat, en dat het voor een hacker heel interessant kan zijn de wachtwoorden die hij bij EnergieDirect buitmaakt, ook uit te proberen op andere omgevingen waarvan hij vermoedt dat gebruikers zich daar ophouden (PayPal, bank, credit card). Ik ben me ervan bewust dat daar meer gegevens voor nodig zijn, maar die zijn ook wel te verkrijgen.

Antwoord van de helpdesk: "Hartelijk dank voor uw uitgebreide uitleg in de e-mail. Ik zal overleggen of energiedirect.nl hier iets mee kan." Ik heb de helpdesk nog gebeld, maar daar konden ze me verder niet helpen met dit onderwerp. Ik ben daarna met één van de directeuren een ex-collega geworden, heb hem via een bericht de zaak voorgelegd, en werd binnen een dag teruggebeld. De beller was "gestuurd" door de directeur, zoals hij meteen toegaf. Ik heb geprobeerd hem het principe van salten en hashen uit te leggen, maar dat snapte hij allemaal niet zo goed. Hij heeft de term genoteerd (ik heb de woorden voor 'm gespeld), en zou het doorgeven aan de ICT-afdeling. En ik zou terugkoppeling krijgen.

Nou, die heb ik gehad. Hou je vast voor dit tenenkrommend antwoord:

Beste heer <mijn naam>,

Vorige week hebben we gesproken over uw klacht met betrekking tot de beveiliging van de complexiteit van onze wachtwoorden.

Ik heb hierover contact gehad met onze IT afdeling. Zij hebben mij bevestigd dat alle wachtwoorden veilig worden opgeslagen, maar dat wij geen details delen welke maatregelen energiedirect.nl hiervoor neemt. Het delen van deze maatregelen zou juist een groot beveiligingsrisico veroorzaken en dit willen wij natuurlijk ten alle tijden voorkomen.

Wij zijn continue bezig om alle mogelijke risico’s in kaart te brengen en nieuwe maatregelen te implementeren, zodat onze klantgegevens zo goed mogelijk beschermd zijn. Bedankt voor het uitspreken van uw zorg, wij waarderen het wanneer onze klanten met ons meedenken om zo onze diensten te verbeteren. Wij beschouwen uw klacht hiermee als afgehandeld.


Een zeldzaam staaltje van onverantwoord gedrag, gecombineerd met het afpoeieren van een klant die welgemeend advies geeft. Het antwoord was van 15 januari 2016, ik heb per kerende email aangegeven dat ikzelf per eerste gelegenheid bij EnergieDirect vertrek, én dat ik het wereldkundig zal maken. SIndsdien heb ik niks meer van EnergieDirect vernomen.

Wat mij tenslotte nog beangstigt, is het feit dat de directeur van EnergieDirect die ik een bericht gestuurd heb, in LinkedIn staat met een functie bij Essent, het moederbedrijf van EnergieDirect. Dat zou heel goed kunnen betekenen, dat daar dezelfde jopslagmethodes gehanteerd worden.

Oh ja, wie zich nog afvraagt waar die checkbox voor stond op het wachtwoord-wijzigscherm: of je je nieuwe wachtwoord via email teruggestuurd wilde krijgen. Ik had het dus kunnen weten, als ik beter opgelet had ;-)

In de preview zie ik dat het nogal een verhaal geworden is, maar ik denk dat het lezenswaardig is. Wie tot hier gekomen is met lezen, mag reageren met een bevestiging of een afwijzing van dat idee...
Reacties (8)
28-01-2016, 08:45 door Briolet
Door GroteGoedheid: …blijkbaar vergeten op te slaan in KeyPass bij het aanmaken.…
…EnergieDirect WEET WAT MIJN WACHTWOORD IS, en ze echoën dat feilloos terug? ...

Een tip: "Stop met het gebruik van KeyPass". Dat programma kan ook jouw wachtwoorden aan jou terug melden. Ergo: ze slaan je wachtwoorden onversleuteld op*.

*: Volgens de logica van GroteGoedheid.
28-01-2016, 09:04 door Erik van Straten
Door Briolet:
Door GroteGoedheid: …blijkbaar vergeten op te slaan in KeyPass bij het aanmaken.…
…EnergieDirect WEET WAT MIJN WACHTWOORD IS, en ze echoën dat feilloos terug? ...

Een tip: "Stop met het gebruik van KeyPass". Dat programma kan ook jouw wachtwoorden aan jou terug melden. Ergo: ze slaan je wachtwoorden onversleuteld op*.

*: Volgens de logica van GroteGoedheid.
Gevalletje "verkeerde been" vanochtend?

KeePass kan alleen jouw wachtwoorden aan jou, of aan een aanvaller, terugmelden. Een aanvaller die toegang krijgt tot een database met plain text wachtwoorden op een webserver, kan de wachtwoorden van alle gebruikers in handen krijgen.

Het gebruik van KeePass is zeker niet zonder risico's, maar dat zijn risico's die jij zelf neemt met jouw gegevens - niet de beheerder van de een of andere site.

Dank aan GroteGoedheid voor het posten van zijn bijdrage (die ik overigens helemaal gelezen heb). Tip: ga zelf geen hash-algoritme noemen of zelfs voorschrijven, maar verwijs mensen naar https://www.owasp.org/index.php/Authentication_Cheat_Sheet. Die pagina bevat allerlei zinvolle info over authenticatie, waaronder een link naar de "Password Storage Cheat Sheet" pagina op de OWASP site.
28-01-2016, 09:11 door Anoniem
Ik had een gemene reactie. Maar ik mag dan aannemen dat het terecht was dat ik na alinea 3 stopte met lezen?

Iets met wachtwoord in een mail en het vage idee hebben dat die handmatig verstuurd is? Dat het wachtwoord in platte tekst opgeslagen is in de tussentijd?

Come on........ Door dit soort klantvragen word onze energierekening dus zo hoog.
28-01-2016, 09:53 door Anoniem
Het feit dat hun jouw wachtwoord per email naar jou doen toesturen, betekend niet automatisch dat ze het onversleuteld opslaan. Het kan heel goed zijn dat de email gestuurd wordt, voordat het wachtwoord versleutelt in de database opgeslagen wordt.

Als het wachtwoord echt onversleuteld opgeslagen wordt, is het aannemelijker dat ze het wachtwoord in plain text naar je toesturen zodra je op de "wachtwoord vergeten" link klikt.

Het feit dat hun niet willen prijsgeven welk algoritme ze gebruiken voor het beveiligen van de wachtwoorden, maakt ze niet automatisch schuldig. Het is juist verstandig om die informatie voor je te houden.
28-01-2016, 14:51 door Anoniem
Door Anoniem: Het feit dat hun jouw wachtwoord per email naar jou doen toesturen, betekend niet automatisch dat ze het onversleuteld opslaan. Het kan heel goed zijn dat de email gestuurd wordt, voordat het wachtwoord versleutelt in de database opgeslagen wordt.

Als het wachtwoord echt onversleuteld opgeslagen wordt, is het aannemelijker dat ze het wachtwoord in plain text naar je toesturen zodra je op de "wachtwoord vergeten" link klikt.

Het feit dat hun niet willen prijsgeven welk algoritme ze gebruiken voor het beveiligen van de wachtwoorden, maakt ze niet automatisch schuldig. Het is juist verstandig om die informatie voor je te houden.

Ik ben van mening dat een bedrijf je nooit een wachtwoord per mail zou moeten toesturen. Het is namelijk vrij zinloos, aangezien je zelf net het wachtwoord in 2 voud hebt ingevoerd. Waarom moet ik hem dan nog per mail krijgen ??

Dat er een mail wordt gestuurd dat je wachtwoord is gewijzigd is prima, maar wat je wachtwoord is geworden is niet nodig.
Het op de hoogte brengen is handig als het wachtwoord veranderd is door iemand anders.
28-01-2016, 15:19 door Anoniem
Door Anoniem: Het feit dat hun jouw wachtwoord per email naar jou doen toesturen, betekend niet automatisch dat ze het onversleuteld opslaan. Het kan heel goed zijn dat de email gestuurd wordt, voordat het wachtwoord versleutelt in de database opgeslagen wordt.

Het stomste in dit verhaal is eigenlijk: niet kijken wat de vinkjes betekenen. Je hebt zelf met de optie om je wachtwoord te mailen een veiligheidsrisico gecreeerd. Die mail kan door derden worden onderschept en misbruikt. Al de rest berust op aannames en dat moet je NOOIT doen.
29-01-2016, 10:59 door Anoniem
Door Anoniem:
Door Anoniem: Het feit dat hun jouw wachtwoord per email naar jou doen toesturen, betekend niet automatisch dat ze het onversleuteld opslaan. Het kan heel goed zijn dat de email gestuurd wordt, voordat het wachtwoord versleutelt in de database opgeslagen wordt.

Het stomste in dit verhaal is eigenlijk: niet kijken wat de vinkjes betekenen. Je hebt zelf met de optie om je wachtwoord te mailen een veiligheidsrisico gecreeerd. Die mail kan door derden worden onderschept en misbruikt. Al de rest berust op aannames en dat moet je NOOIT doen.

Het stomste in dit verhaal is eigenlijk: niet kijken wat de vinkjes betekenen. Je hebt zelf met de optie om je wachtwoord te mailen een veiligheidsrisico gecreeerd. Die mail kan door derden worden onderschept en misbruikt. Al de rest berust op aannames en dat moet je NOOIT doen.
29-01-2016, 20:28 door Anoniem
Natuurlijk weet EnergieDirect wat jouw wachtwoord is. Dat klop je toch zelf in op hun site. Tja, als je zelf aan EnergieDirect een nieuw wachtwoord aanvraagt omdat je de jouwe vergeten bent, dan krijg je een nieuw wachtwoord die beide partijen weten. EnergieDirect kan het versleuteld opslaan, maar of ze het doen weet alleen EnergieDirect. Een hacker kan mazzel hebben dat hij onversleutelde wachtwoorden vindt bij EnergieDirect. Als hij dat aan jou vertelt, dan weet jij ook dat EnergieDirect de wachtwoorden onversleuteld bewaart.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.