Digitale Wachtkamer gewaarschuwd voor niet hashen van wachtwoorden
De Digitale Wachtkamer, waar een aanvaller de gegevens van 500.000 Belgische patiënten wist te stelen, is in 2013 al door een gebruiker gewaarschuwd voor het niet hashen van wachtwoorden. Gebruikers die voor de optie "wachtwoord vergeten?" kozen kregen hun oorspronkelijke wachtwoord toegestuurd. Dit geeft aan dat de Digitale Wachtkamer bij de opslag van wachtwoorden geen gebruik van hashing maakte.
Een hash is een gecodeerde versie van het wachtwoord die wordt opgeslagen. Zodoende hebben aanvallers geen directe toegang tot de wachtwoorden als ze erin slagen de website te hacken. Digitale Wachtkamer ontkent echter dat de wachtwoorden onversleuteld werden opgeslagen. "De wachtwoorden in de database zaten wel degelijk geëncrypteerd in de database. Maar op een of andere manier heeft de hacker die kunnen ontcijferen", zegt Ronny Paesen van Digitale Wachtkamer tegenover Data News.
Een aanvaller wist via een beveiligingslek toegang tot de database van de website te krijgen en maakte allerlei gegevens buit, waaronder e-mailadressen, telefoonnummers, wachtwoorden en reden voor het huisartsbezoek. Voor zijn 'stilzwijgen' eiste de aanvaller 86.000 euro. Het beveiligingslek is inmiddels verholpen. Uit onderzoek van Security.NL blijkt dat de Digitale Wachtkamer nu wel met een resetlink werkt en het oorspronkelijke wachtwoord niet meer terugstuurt.
Dus parlementen, politici c.q. volksvertegenwoordigers....doe hier wat aan. De bal ligt bij u.
Dit is niet enkel zo met ICT security zaken, maar bijvoorbeeld ook als er iemand over een losliggende tegel valt en dit werd reeds (meermaals) gemeld aan de verantwoordelijken.
Verder zijn er wel degelijke verplichtingen over hoe er moet omgesprongen worden met persoonlijk en confidentiële data. Wachtwoorden vallen onder confidentiële data.
Hashing is een vorn van encryptie die bedoeld is om maar één kant op te gaan. Het wachtwoord wordt bij registratie gehasht en is (met salting/stretching) niet herleidbaar naar het originele wachtwoord. Bij inloggen wordt de invoer ook gehasht en vergeleken met de hash in de database. Komen die overeen, dan is het een geldige inlogpoging.
Verwacht niet dat iedereen die op de zelfde wijze hanteert. Slecht gencrypte (terug herleidbaar) worden aangeprezen (verkocht) als hashes. Het is een uitdaging om zoiets fouts zien te weerleggen.
Dat is zeer lastig als met er veel betaald voor heeft en het de standaard is volgens de leverancier.
Digitale Wachtkamer ontkent echter dat de wachtwoorden onversleuteld werden opgeslagen. "De wachtwoorden in de database zaten wel degelijk geëncrypteerd in de database. Maar op een of andere manier heeft de hacker die kunnen ontcijferen", zegt Ronny Paesen van Digitale Wachtkamer tegenover Data News.
Zeker met UTF-8? https://twitter.com/kpnwebcare/status/168371471675174913 :)
-- Serieus: zitten ze al in https://haveibeenpwned.com?
Salting heeft niets te maken met versleutelen. Als je iets versleuteld, kun je het altijd ontsleutelen met de juiste sleutel. Die heeft de aanvaller waarschijnlijk weten te bemachtigen. Dat is ook wel logisch als hij op het systeem is geweest waar die wachtwoorden werden gebruikt. Daar staat die sleutel ergens in geheugen of in de code.
Hashing is een eenrichtingsmanier om (o.a.) wachtwoorden te te beschermen tegen openbaar worden. Bij een hash kun je nooit teruggaan naar het oorspronkelijke wachtwoord.
Ja, je zou toch beter verwachten van bezoekers van een security site.
Of juist niet, omdat ze iets willen leren. Wat prijzenswaardig is.
Maar dan moeten ze leren en niet opmerkingen plaatsen alsof ze het zelf weten. Daardoor worden de nieuwelingen weer verkeerd voorgelicht en blijven deze fouten gemaakt worden.
Peter
Nee ook niet met brute forcing. Wel met Rainbow table.
Als je het hashing algoritme kent dan kun je zoveel mogelijk verschillende karakterstrings hashen (dat levert Rainbow tables op) en vervolgens kijken welke eenzelfde hash oplevert (die zal dan ook werken als wachtwoord bijvoorbeeld), maar dat wil niet zeggen dat je zeker weet dat je exact de oorspronkelijke string te pakken hebt. Bij een goede hash is er geen weg terug.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
