image

Amerikaanse nutsbedrijven slaan wachtwoorden in plain text op

maandag 25 februari 2019, 15:52 door Redactie, 5 reacties

Ruim honderd Amerikaanse nutsbedrijven hebben de afgelopen jaren de wachtwoorden van hun klanten in plain text opgeslagen en doen dit mogelijk nog steeds. Een beveiligingsonderzoeker ontdekte afgelopen september dat zijn nutsbedrijf zijn wachtwoord in plain text in de database had opgeslagen.

In plaats van een wachtwoordresetfunctie bleek het nutsbedrijf gebruikers hun bestaande wachtwoord te mailen als ze de laatste vier cijfers van hun telefoonnummer invoerden. De website was ontwikkeld door een Amerikaans it-bedrijf. Daarop besloot de onderzoeker naar meer websites van nutsbedrijven te zoeken die door hetzelfde bedrijf waren gemaakt en over dezelfde wachtwoordherstelfunctie beschikten.

Volgens Ars Technica gaat het om 139 nutsbedrijven die naar schatting meer dan 15 miljoen klanten hebben. De onderzoeker waarschuwde het it-bedrijf, maar dat negeerde de meldingen. Uiteindelijk ontving de onderzoeker zelfs een e-mail van een advocaat waarin werd gevraagd om het personeel niet meer te benaderen. Ook stelde het bedrijf dat de onderzoeker het bij het verkeerde eind had.

De afgelopen weken zijn verschillende websites inmiddels gepatcht, waarbij gebruikers een resetlink in hun e-mail ontvangen in plaats van het wachtwoord. Hoe de websites de wachtwoorden opslaan is echter niet bekend. Het risico van het opslaan van wachtwoorden in plain text is dat als een aanvaller toegang tot de database weet te krijgen, hij meteen alle wachtwoorden in handen heeft. Al jaren worden dergelijke bedrijven via de website PlainTextOffenders.com aan de schandpaal genageld.

Reacties (5)
25-02-2019, 17:06 door Anoniem
Nuts... dat is hier inderdaad precies het juiste woord...
26-02-2019, 09:38 door Anoniem
Volgens mij doet Microsoft dit ook, hoe kunnen ze anders beoordelen of een nieuw wachtwoord "lijkt" (dus een gedeelte van) op het oude wachtwoord.
Met een gecrypt wachtwoord kan je nooit deze conclusie trekken.
Op navraag mij MS over dit "probleem" heb ik nooit een echt antwoord gehad.
Dus maar even wachten tot daar de boel gehacked wordt en er liggen opeens een paar miljard paswoorden op tafel.
26-02-2019, 12:45 door Anoniem
Door Anoniem: Volgens mij doet Microsoft dit ook, hoe kunnen ze anders beoordelen of een nieuw wachtwoord "lijkt" (dus een gedeelte van) op het oude wachtwoord.
Als je je nieuwe wachtwoord direct na je oude moet intypen kunnen ze vergelijken worden zonder plaintext op te slaan. Een andere mogelijkheid is om uit je nieuwe wachtwoord varianten te genereren en te kijken of de hashes daarvan overeenkomen met eerder gebruikte hashes. Dan bestaat er nog iets dat een "fuzzy hash" heet die het mogelijk maakt om deels gewijzigde teksten te vergelijken. Het programma ssdeep gebruikt het bijvoorbeeld om bestanden te vergelijken. Ik kan je niet uitleggen hoe dat precies werkt en of het veilig genoeg zou zijn, want daar heb ik me nooit in verdiept.

Ik weet niet er in jouw situatie precies gedaan wordt, maar er zijn mogelijkheden om vergelijkingen te maken zonder plaintext-wachtwoorden op te slaan.
26-02-2019, 15:05 door Anoniem
Microsoft slaat de laatste N (configureerbaar) hashes op plus inderdaad dat ze het vorige wachtwoord vragen.
Ze kunnen dus alleen checken mbt "lijkt op" je vorige wachtwoord en daarnaast op "gelijk aan" een aantal vorige
wachtwoorden.
26-02-2019, 16:17 door karma4 - Bijgewerkt: 26-02-2019, 16:19
Door Anoniem: Volgens mij doet Microsoft dit ook, hoe kunnen ze anders beoordelen of een nieuw wachtwoord "lijkt" (dus een gedeelte van) op het oude wachtwoord.
Met een gecrypt wachtwoord kan je nooit deze conclusie trekken.
.....
Als je wachtwoordpolicies ziet met een eis dat er een aantal tekens anders moet zijn dan moet er iets bekend zijn over het oude wachtwoord. Het hoeft niet in plain-text opgeslagen te zijn een encryptie met een sleutel die ook decryptie toestaat kan ook.

Of je na aanloggen met een token propagatie krijgt, of dat je via een decryptie naar een extern systeem doorgeschakeld wordt, het blijft op een punt kwetsbaar maar is in ieder geval herleidbaar tot een persoon.

Het gebruik van shared accounts, hard coded user passwords, certificaten is veel erger. Niet traceerbaar of herleidbaar.
Dat laatste is in open source, denk aan iot, gangbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.