Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Vodafone versleutelt wachtwoorden van klanten niet

Wachtwoorden van Vodafones klantendienst MyVodafone staan onversleuteld opgeslagen in een database. Dat zegt de provider in antwoord op vragen van Tweakers.net. Een tweaker kwam de gebrekkige beveiliging op het spoor.

Vodafone zegt in een statement tegen Tweakers.net dat er wel beveiliging aanwezig is. "De wachtwoorden worden opgeslagen in een database die via verschillende netwerklagen en firewalls is afgeschermd", aldus woordvoerder Jasper Koek. Er is voor zover nu bekend dan ook geen sprake van dat de beveiliging is gekraakt; gegevens van klanten liggen niet op straat.

Tweaker DennusB kwam de gebrekkige beveiliging vorige week op het spoor, toen hij zijn wachtwoord wilde resetten. Tot zijn verbazing kreeg hij zijn wachtwoord in plain text toegestuurd per sms. Vodafone bezweert dat niemand behalve de klant het wachtwoord kan zien.

De provider gaat aan de slag om de wachtwoorden te versleutelen, zegt Koek. "Het is een prioriteit voor ons. We weten niet wanneer de versleuteling toegepast zal zijn." De versleuteling van de wachtwoorden in de database stond al op het programma voordat de meldingen van DennusB en Tweakers.net binnenkwamen. "Het is een extra bevestiging voor ons dat dit belangrijk is."

MyVodafone is de klantendienst van Vodafone, waarin klanten hun abonnementen kunnen beheren en hun verbruik kunnen bijhouden. Een aanzienlijk deel van de klanten gebruikt de dienst, waardoor het al snel om honderdduizenden tot enkele miljoenen wachtwoorden gaat.

Het is niet de eerste keer dat MyVodafone in opspraak komt wegens een gebrek aan beveiliging. De iOS-app bleek inloggegevens onversleuteld te versturen.

Door

Redacteur mobile

189 Linkedin Google+

Submitter: DennusB

Reacties (189)

Wijzig sortering
Je zou natuurlijk ook de helpdesk medewerker een optie kunnen geven om handmatig een wachtwoord in te voeren, maar op dat moment is het wachtwoord ook al niet meer geheim. En als de beveiligings lagen goed zijn geregeld is dat ook geen probleem.
Je ziet tegenwoordig steeds vaker bij bedrijven dat in het geval van wachtwoord vergeten, deze gereset wordt waarna de werknemer deze na de eerste keer er mee in te loggen verplicht moet wijzigen, dit is uiteindelijk de beste en veiligste oplossing waarmee Helpdesk de klant kan helpen.

En inderdaad, alle legacy systemen die geen password encryptie ondersteunen, behoren aan een aparte database te hangen, zodat ook deze gevoeligheid dichtgetimmerd is.
Een ISP kan dat in de praktijk niet maken, zeggen dat al hun klanten hun wachtwoord moeten wijzigen binnen 2 maanden.

Er zijn wel constructies mogelijk hoor -- Versie 1 van het wachtwoord is onversleuteld, versie 2 is hash1, dat kun je zo omzetten met een scriptje, versie 3 is een hash2 van hash1 van het password en versie 4 is een hash2 van het wachtwoord, je gebruikt een scriptje dat versie 2 in 3 omzet en daarna ga je tijdens de login procedure versie 3 in 4 omzetten, etc.etc.

Maar het is fucking complex en het is *niet* iets dat je als ISP kan laten foutgaan. Daar moet heel erg veel op getest worden.
Mij is het ook opgevallen, dat heeeeel veel databases onversleutelde wachtwoorden gebruiken. Als je 'forgot password' je eigen plaintext password krijgt, mag je even schrikken.

Ik gebruik om die reden firefox zijn password remember functie, met een masterpassword. Vervolgens krijgt elke site, elk forum een random password.

Niet de beste site, http://www.randpass.com/advanced.html maar goede tool

32 chars, alle 4 classes, kom maar op met de passwords :)

Hier voorkom je tenminste dat iemand wat met je password kan.
Niet zo snel voor een grote database nee, maar wel voor de meest voorkomende wachtwoorden. Vandaar dat een goede salt ook altijd belangrijk is. Het voorbeeld zegt dat er 0.3 seconden nodig zijn om een wachtwoord te hashen. Stel je laat je pc een dag rekenen, dan heb je dus al een database met de 288000 meest voorkomende wachtwoorden.

(welke de meest voorkomende zijn kun je gewoon downloaden)

Hier nog een linkje over hoe je een goede salt maakt:
http://crackstation.net/hashing-security.htm

Als je specifiek 1 account wilt hacken is zoals het artikel wat dronefang aanhaalt een salt idd useless bij een bruteforce aanval. Een salt maakt aanvallen met 'Reverse Lookup Tables' waarbij simpelweg zoveel mogelijk accounts gelijktijdig gehackt moeten worden echter een stuk moeilijker.

[Reactie gewijzigd door NESFreak op 29 juni 2012 18:59]

Bcrypt genereert automagisch een salt, niet aan de orde dus.
@sgreehder
Als bcrypt automatisch een salt genereert. Hoe kom je er dan achter wat de salt is?

Elke keer dat een login systeem een wachtwoord laat hashen moet er de zelfde hash uitkomen. Voor 1 specifieke gebruiker moet dus steeds de zelfde salt gebruikt worden. Bcrypt zou dus (gegeven enkel het wachtwoord zonder verdere informatie, als je verdere informatie zou geven zou dat immers al een niet automatisch gegenereerde salt zijn 8)7 ) steeds de zelfde salt moeten geven.

Als bcrypt dus automatisch een salt zou genereren, dan zou je dus gewoon weer lookup tables kunnen gebruiken. Immers voor elk wachtwoord is slechts één unieke salt mogelijk. Welke bcrypt dan meteen aan een hacker zou geven. Dus dan zouden lookup tables weer gewoon mogelijk zijn.
Dus met een lange salt en bcrypt zit je waarschijnlijk het veiligst.
Salt wordt meegegeven in de hash, zo ook de workfactor. We spreken weer zodra quantum computing voor de deur staat, tot die tijd is bcrypt of kompanen het minimum.
Hashen is dan ook precies dat je wilt doen voor passwords. Die zouden nooit encrypted opgeslagen moeten worden, onder geen beding. Dan kan iemand die de encryption key achterhaalt ook alle wachtwoorden achterhalen. Bij hashen lukt dit alleen als het hele slechte wachtwoorden zijn, en/of een hele slechte hash-functie.
Zo makkelijk is het niet om dit onder water te regelen.

Hoe los je dan namelijk de use case op: "klant is zijn wachtwoord vergeten en wil het graag terugkrijgen".

Ik bedoel: het heeft iets meer impact dan alleen de IT afdeling.
Klant een e-mail sturen met een unieke link (lees: hash) waarmee hij zijn wachtwoord eenmalig kan wijzigen.

Dit is de tweede keer in dit topic dat je een aanname doet die geen hout snijdt, probeer je eens in te lezen in het beveiligen van web-applicaties alvorens te stellen wat wel of niet mogelijk is.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*