Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ongehashte wachtwoorden website?

26-04-2016, 17:01 door Anoniem, 3 reacties
Beste allen,

Onlangs wilde ik op een webportal mijn wachtwoord wijzigen. Maar tot mijn verbazing zag ik dat het oude wachtwoord vooraf was ingevuld en zichtbaar was te maken door een vakje op het webformulier aan te vinken. Ik heb mijn autocomplete niet aan staan dus dit wachtwoord moet wel van de webserver naar mij toegestuurd zijn.
Volgens mij kan het niet anders dan dat dit betekent dat de wachtwoorden ongehasht opgeslagen moeten zijn in de database.
Wat is volgens jullie de beste manier om dit onder de aandacht te brengen van de website beheerder(s) zodat er ook echt iets mee gedaan wordt?
Reacties (3)
26-04-2016, 19:58 door Anoniem
Met fiddler of een andere browser eerst controleren of het echt van de server afkomstig is. Zowel, zou ik trachten via support de technische afdeling te bereiken. Misschien heeft het security@ adres positief resultaat.

Mochten ze er niet (met gewenst resultaat) op reageren, dan kun je altijd met dit verhaal naar buiten.

Draait de site dan tenminste HTTPS, of ook dat niet? Als ze die informatie open en bloot naar buiten sturen, dan zijn de gevolgen behoorlijk groot.
27-04-2016, 01:12 door Anoniem
Je doet een aanname dat het wachtwoord niet gehashed is. Het kan zijn dat de (salted) key hiervoor op een andere server staat en opgeroepen wordt door het formulier wanneer het wachtwoord nodig is.

Uiteraard is het niet netjes dat het wachtwoord terug te halen is, dit is zeer betreurenswaardig, echter dat hij niet gehashed is is een aanname.
27-04-2016, 10:30 door wizzkizz
Door Anoniem: Je doet een aanname dat het wachtwoord niet gehashed is. Het kan zijn dat de (salted) key hiervoor op een andere server staat en opgeroepen wordt door het formulier wanneer het wachtwoord nodig is.

Uiteraard is het niet netjes dat het wachtwoord terug te halen is, dit is zeer betreurenswaardig, echter dat hij niet gehashed is is een aanname.
Nee hoor, iets dat (goed) gehasht is, is *per definitie* niet terug te herleiden naar de oorspronkelijke input. Jij bedoelt encryptie. Dan staat het wachtwoord inderdaad niet in plain-text in de database. Dus voordat we langs elkaar heen gaan praten is het goed om de juiste terminologie te hanteren ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.