Ik zou niet weten waarom het hashen van de timestamp een verbetering zou zijn. De code blijft dan eenvoudig te voorspellen: deterministische invoer + deterministische functie = deterministisch resultaat.

djiezus dat dit soort bedrijven mogen bestaan! het wilde westen en snake oil all over again. in dit geval is de aanpassing minimaal maar gewoonweg niet gebeurt omdat er bij equifucks klaarblijkelijk niemand meer de technische skillz of overzicht heeft zo een change door te voeren. kapot gerisico gemanaged is mijn vermoeden!

(btw, hier zijn we ook hard opweg naar zo een situatie met 'liberalisme'. waarom wordt nederland bewust kapot gemanaged? mijn stelling is, omdat iedereen die manager wordt niet goed genoeg is een vak te beheersen voor een langere tijd met dus als gevolg dat de aansturende laag het vooral moet doen met verouderde ervaring ipv actief inzicht. het zijn nooit de slimste die weg 'gepromoveerd' worden in organisaties)

Net als veel andere producten die de credietindustrie levert gaat het product om geld verdienen en schade beperken. Het kost de consument geld, kost soms rechten mocht het mis gaan, de consument moet het bij alle credietbeoordelaars toepassen om effectief te laten zijn en de consument krijgt er een ontransparant product als beveiliging voor terug. De voordelen voor de credietbeoordelaars zijn omgekeerd evenredig. Levert geld op, fraude neemt af en als het product niet goed werkt heeft de credietbeoordelaar nauwelijks schade.

Er zijn drie commerciele credietbeoordelaars die van de politiek een monopolie hebben gekregen om miljoenen te verdienen aan deels naar eigen inzicht en eigen bescherming consumenten te beschermen. Die bedrijven zouden dan ook nog regelmatig aanzienlijke donaties in de partijkassen doen. En wanneer er extra producten komen zoals een paar jaar geleden dit soort freezes dan mogen ze daar flink extra aan verdienen en blijft dat deels eigen inzicht en bescherming. Dit is het systeem waarvoor de Amerikanen zelf gekozen hebben en dan gaan ze na een miljoenenroof die niemand op viel zich verdiepen in futuliteiten dat een timestamp verwaarloosbaar risicovoller is dan een random pin en of deze keuze een teken is voor de bescherming in het geheel.

Het risico is niet die pincode, niet de creditfreeze als product maar de volstrekt ontransparante wijze waarop deze monopolisten hun werk mogen uitvoeren en daar met de wet mee weg komen op kosten van de consumenten. Waarschijnlijk is dat de prijs die je wil betalen als je als volk bijna geheel op krediet wil leven in weelde. Auto op krediet, huis op krediet, eten en drinken op krediet, school op krediet. Zijn de zorg en verzekeringen inmiddels ook al op krediet?

Als het gehashed is, heb je er niets aan als je de tijdcode weet. Je moet dan de goede hash intikken. De tijdcode die ze gebruiken is per minuut. Per dag zijn er nu maar 24x60 = 1440 verschillende mogelijkheden. Als je de dag ongeveer weet is dat aantal nog te overzien. Bij een gehashte tijdcode kun je niet even 1440 getallen proberen. Dan zullen er toch weer miljarden mogelijkheden zijn, bij een goede hash.

nope je pakt die 1440 tijd codes en je hashed die en die probeer je. het werkelijke probleem hier is gebrek aan (informatie) entropy. een hash verbergt dat hooguit.

Nope als je de salt die bij de hash hoort is het resultaat van de hash ook al weet je dat bepaalde algoritme redelijk random.
een hash hoort een eenrichtings methodiek te zijn waarbij je het origineel niet vanuit een algoritme terug kan krijgen. Ik ken gevallen waarbij men zwakke encyrptie als base64 als een hash aanduidt. Dat is misbruik van de betekenis van hashing.

Een inlogpoging hoort snel gedelayed te worden in de tijd. Dat is waarom een pin van max 10000 combinaties toch als veilig gezien wordt. Het is een ander beveiligingsstrategie die ook "in place" hoort te zijn. Net zoals het naar de juiste persoon sturen van de betreffende kredietrapporten.

"Met de gestolen informatie kunnen criminelen bijvoorbeeld leningen in naam van anderen aanvragen."
Waus mijn naam is Trump / Clinton / Bush / Buffet krijg ik met die uitspraak meteen een koffertje van b.v. 10 miljoen dollars in cash mee? Kredietverlening hoort aan een deugdelijke controle van de juiste persoon onderworpen te zijn. Dat een kredietverlener om kosten te besparen daarvan afziet en de schade op derden verhaald is een gotspé. Zoiets zou als fraudeleus handelen door de kredietverstrekker afgestraft moeten worden met een genoegdoening naar de derden als slachtoffers.

Het risco voor in naam van anderen afgesloten leningen llgt toch bij de verstrekker van die leningen?
Als die er voor kiest om de authenticiteit van de aanvraag op ondeugdelijke wijze te bepalen dan kan de echte eigenaar
van die identiteit daar natuurlijk nooit verantwoordelijk voor zijn!

Dat neemt niet weg dat het een hoop gezeik kan opleveren... en dat wil je natuurlijk liever ook niet.
Echter het registreren van identiteiten kan net zo goed gezeik opleveren. Zie de uitzending van Kassa van afgelopen
zaterdag. Iemands naam en geboortedatum staat op de zwarte lijst van telecom aanbieders (preventel) omdat diens
naamgenoot een wanbetaler is, en kan nu zelf geen abonnement meer afsluiten. Ook een gevolg van ondeugdelijke
identificatie: naam+geboortedatum is niet uniek. BSN zou hier beter voor zijn, maar ja dammannie he?

en daar istie weer met zijn beperkte kennis maar dus absoluut niet gehinderd.

in het stukje wordt gemeld dat een eenvoudige tijd nummer als PIN gebruikt door equiruks. het advies van sommige security mensen daarop was destijds al dan die PIN op zijn minst te hashen (niet encoden (en dat is niet gelijk aan encrypten zoals jij dat noemt) met base64 oid) om de illusie dus te geven dat er genoeg entropy in de wat eigenlijk een unieke niet te raden en voorspellen PIN had moeten zijn. Dat is dus security by obscurity. Er wordt nergens over een salt gesproken in het originele stuk, daar begin jij met duidelijk geen inhoudelijke verstand van zaken over.

Dat soms een tijd code bij andere mensen met een secure hash ALS een salt wordt gebruikt heeft daar dus niets mee van doen. Je hebt een klepel ergens gezien, maar je hoort de bel niet eens. Er is meer nodig dan alleen termen / jargon te gebruiken, karma, je moet concepten snappen en abstract kunnen denken en daar ga ju nu wederom als vanouds de mist in.

klein colege dan maar:

Wat veilig is is ervoor te zorgen dat er een secure cryptografische random number generator (RNG) opgezet wordt op basis van een fatsoenlijk (grote) initializatie vector (IV) die daadwerkelijk random is (statische noise van electronica etc.) met een interne state die dan genoeg entropy bevat, groot genoeg is, die niet lekt in de output (de crypto secure RNG dus). Veelal kan je relatief eenvoudig een aes of een ander secure block cypher in OFB mode te gebruiken om een stream van random bits te genereren. De output van zo een reeks is (vrijwel) uniek, ongerelateerd / gecorreleerd en vooral ook heel belangrijk, onvoorspelbaar op basis van de output die als PIN gebruikt wordt. Wat ik daarmee bedoel, ook al weet je een miljoen PINs die achter elkaar uit de RNG kwamen dan nog kun je de volgende PIN zelfs niet met een kleine kans raden.

In dit specifieke geval is het zelf niet eens erg mocht er een collision zijn in de PINs, daarmee bedoel ik, dat twee mensen dezelfde PIN krijgen. Dat weten ze niet van elkaar en het is moelijk te achterhalen wanneer dat gebeurt als je een cryptografische secure RNG gebruikt. Je kunt dan heel eenvoudig, bij het opstarten van je web server, statische per server als IV gebruiken voor een RNG per server die PINs uit poept. Schaalbaar en veilig!

maargoed equifucks hebben genoeg experts in dienst zoals elk bedrijf dat altijd heeft in de markt met al die consultants enzo... van die karmas zeg maar.... toch?

Ik ben het volkomen eens met degenen die stellen dat een hash van een timestamp zinloos is, afhankelijk van de resolutie van die timestamp (d.w.z. het aantal cijfers achter de komma van zo'n timestamp, bijv. in seconden).

Als de timestamp een resolutie heeft van 1 minuut (dus zonder cijfers achter de komma) zoals Briolet stelt, hoef je voor een etmaal inderdaad gemiddeld maar de helft van 1440 brute force pogingen te doen om vanuit een hash de oorspronkelijke timestamp te herleiden (bij een timestamp met nanoseconde resolutie is dit al de helft van 86400 x 10E9).

De entropie van 1440 unieke timestamps per etmaal is zo laag dat je ook nauwelijks wat hebt aan algoritmes als PBKDF2 en scrypt (die zijn pas zinvol als een aanvaller gigantisch veel pogingen moet doen om te brute forcen en daardoor extreem veel meer tijd kwijt is dan iemand die een correct geheim (zoals een wachtwoord of, in dit geval, correcte timestamp) invoert om de afgeleide te berekenen en te vergelijken met de eerder opgeslagen afgeleide.

Een "salt" helpt in principe niet omdat dit geacht wordt een publiek gegeven te zijn. En als deze geheim gehouden wordt maar voor alle gebruikers hetzelfde is, is het, op basis van de hashes van een aantal gebruikers, vermoedelijk al snel mogelijk om deze te herleiden. Als je echter per gebruiker een cryptografisch veilig random secret genereert (en per gebruiker bewaart als een geheim gegeven) en dat op de juiste manier combineert met de timestamp (de "juiste manier" i.v.m. potentiële hash extension attacks), en het resultaat daarvan hasht, heb je wel een echt random resultaat. Maar dan had je die hele timestamp natuurlijk net zo goed weg kunnen laten...

Ik zit in het veld en krijg genoeg over me heen en heb genoeg over me heen gehad. Dus laat dat college maar.
Ik had aangegeven dat ik dat hashen met de salt goed heb maar dat verkopers (externe sales) iets anders aan de PM en inkoop vertellen. Aangezien externe leveranciers alles natuurlijk beter weten zijn die leidend. Daar ga je met je goede inzet.
Als je het verhaal van Equifax goed doorgewerkt had zie je de zelfde insteek. Een extern securitybedrijf met naam genoemd bij Krebs doet de security (uitbesteed) een tweede bedrijf is ingehuurd voor afhandelen van de hack. Experts in dienst intern bij Equifax zie ik nergens in die verhalen. Gangbare situatie uitbesteden en kosten besparen.

Voor je verhaal van random numbering.
Hoe ontvang je gevoelige informatie per email? Ik hoop dat je daar mee te maken hebt (salaris en meer) dan kan het bijvoorbeeld in een PDF met een wachtwoord, Dan kan je iets gangbaars gebruiken dat makkelijk bekend is voor de betrokkenen zoals een personeelsnummer. Aangezien het een 2-e bescherming na de automatische adressering is en geen staatsgeheim kan je daar goed mee weg komen. (overwogen risico/impact verhaal.)

Zoals je mogelijk bemerkt heb ik een hekel aan de geblokkeerde security-nerds omdat die overal en van alles als fout zien zonder met echte opties te komen. Het andere uiterste waar ik ook tegen ben zijn die gangbare "best practices" lijstjes vinkers. Beide uitersten slaan het zelf nadenken met risico/impact over en zijn niet echt met security bezig. Dan heb je nog die bashers ofwel stoorzenders.

Maar eens dieper op die pin numbers.
http://www.creditcards.com/credit-card-news/credit-report-freeze-1282.php
http://www.ncdoj.gov/getdoc/c0602cd1-7517-4f7b-bb53-995ee0c58257/Lifting-a-Security-Freeze.aspx
Wat je daar ziet is dat de creditbureaus waaronder Equifax een typische VS methode hebben. Een goede identificatie / authenticatie met multifactor checks ontbreekt.
Je kan een creditfreeze instellen hetgeen betekent dat niemand de betreffende rapporten meer mag inzien.
Voor het opheffen van die freeze is een identificatie/authenticatie op genoemde velden kennelijk voldoende en dat mag dan als een soort PIN als wachtwoord ingeklopt worden.
Elke willekeurige bank in de EU doet dat al beter. Da komt vermoedelijk omdat er een betere bescherming van de consument / burger is. Trek dat door naar bankpassen creditcards, die zijn hier allemaal om naar chip wegens de vele fraude. Die stap is daar in de VS nog niet gemaakt hoewel de fraude gangbaarder en massaler lijkt.

Ter vergelijk waar we het over hebben, in NL is dat:
https://www.bkr.nl/consumenten/opvragen-gegevens/
Als je de concepten kent en er mee werkt / gewerkt hebt is de abstractie veel makkelijker. In nl is dit maar een van de registraties er zijn er meer. Een andere bekende is het centraal schademeldregister. Daarmee kom je in verzekeringsbank.

Nog iets, geen "best practices" bij de certificering. Root installed on the server. Is uit beveiligingsoogpunt een "no, no".
Verisign Universal Root Certification Authority / Symantec Class 3 Secure Server SHA256 SSL CA

For best practices, remove the self-signed root from the server
Next Protocol Negotiation: Not Enabled ; Session resumption (tickets): Not Enabled ; Strict Transport Security (HSTS):
Not Enabled ; SSL/TLS compression: Not Enabled ; Heartbeat (extension): Not Enabled

Best practices and beveiligings technologie, slechts een magere score van 34 %, waarmee men denkt weg te komen en waar men vanwege legitieme interesse ook waarschijnlijk mee wegkomt (alle grote US partijen steunen elkander immers in deze).
Zie: https://en.internet.nl/domain/www.equifax.com/93365/

Algemene toestand op de website infrastructuur is belabberd, om niet te zeggen diep droevig.

Ik ben het volkomen met je eens dat het zo zou moeten zijn. Ik ben alleen bang dat een groot deel van de mensheid de lat een stuk lager legt. Wat massaal gebeurt is de geaccepteerde norm, totdat in het bewustzijn van voldoende mensen doordringt dat het echt tot problemen leidt, en als het meestal goed blijkt te gaan gaat dat op zijn best maar heel moeizaam; dan worden de situaties waarin het fout gaat niet als een zwakheid van het gebruikte systeem opgevat maar richt het wantrouwen zich op het slachtoffer ervan.

Vergelijk het met een ouderwetse handtekening. Op die gladde scherpjes van postbezorgers lukt het mij niet eens om een krabbel te zetten die op mijn handtekening lijkt. Je handtekening mag je trouwens op elk moment door een compleet andere vervangen, er is geen verplichting om die constant te houden. Een handtekening zetten is daarmee eigenlijk niet veel meer dan een ritueel waarvan iedereen alleen maar doet alsof er iets mee wordt aangetoond. En toch kan men bij identiteitsfraude die handtekening aandragen als "bewijs" dat jij ergens mee accoord bent gegaan, en een "hoe kom je erbij" van jouw kant is echt niet genoeg om daarvan af te komen, je komt dan in een heel lastige situatie van jouw woord tegen dat van een ander terecht.

Ik ben bang dat de samenleving nog veel meer op het kwaliteitsniveau van dat handtekeningenritueel zit dan op dat wat cryptografie kan bieden. En ik denk dat de meeste mensen, inclusief de meeste advokaten en rechters, in de verste verte niet beseffen hoe groot het verschil is. En veel mensen die het wel snappen snappen weer weinig van hoe die anderen de werkelijkheid waarnemen ;-).