Zij sturen na aanmelding een mail met passwoord in "plain text" ,Vul onderstaande gegevens in om in te loggen:
E-mail: @
Paswoord:
mijn idee voor veiliger inloggen, is toch nog altijd dat passwoord onmiddellijk moet encrypteerd worden
webshop stuurt mail met passwoord in blote tekst
-
fvhbrugge
- Elite Poster
- Berichten: 1584
- Lid geworden op: 23 nov 2008, 20:38
- Uitgedeelde bedankjes: 99 keer
- Bedankt: 120 keer
Sommige webshops zoeken toch nog altijd problemen: bijv. http://www.konigonlineshop.be/
mijn idee voor veiliger inloggen, is toch nog altijd dat passwoord onmiddellijk moet encrypteerd worden
mijn idee voor veiliger inloggen, is toch nog altijd dat passwoord onmiddellijk moet encrypteerd worden
-
ITnetadmin
- Elite Poster
- Berichten: 8446
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Dat ze je pwd kunnen mailen betekent dat ze het ook plaintext ergens bewaren, en dát is een big no-no en schandpaal-waardig.
Ze moeten dat onmiddellijk salten en dan one-way hashen met tenminste een SHA-2 hash.
Ze moeten dat onmiddellijk salten en dan one-way hashen met tenminste een SHA-2 hash.
-
Dima_2005
- Elite Poster
- Berichten: 2490
- Lid geworden op: 23 jan 2010, 15:45
- Uitgedeelde bedankjes: 85 keer
- Bedankt: 260 keer
Ik heb recent nog een webshop gezien die hetzelfde deed. Maar ik kende de "dev" ervan. Het deed dat standaard in hun eCommerce pakket (Magento als ik me niet vergis, maar kan ook iets anders zijn, weet het niet meer). Blijkbaar wordt het wel gehashed opgeslagen in DB (of toch bij hun). Hetgene dat er gebeurt bij registratie:
Indien gegevens OK zijn, gebeuren er 2 dingen simultaan:
1) Mail wordt verstuurd met rechtstreekse gegevens uit Form
2) Gegevens worden opgeslagen in DB, met alle salts, hashes ed.
In zo'n geval is het minder erg. Leuk is het nog steeds niet om zomaar een password in je mail te hebben, maar het blijkt dan toch minder erg dan initieel gedacht.
Weet wel niet of het hetzelfde is bij de websites hierboven vermeld.
Indien gegevens OK zijn, gebeuren er 2 dingen simultaan:
1) Mail wordt verstuurd met rechtstreekse gegevens uit Form
2) Gegevens worden opgeslagen in DB, met alle salts, hashes ed.
In zo'n geval is het minder erg. Leuk is het nog steeds niet om zomaar een password in je mail te hebben, maar het blijkt dan toch minder erg dan initieel gedacht.
Weet wel niet of het hetzelfde is bij de websites hierboven vermeld.
-
thomasv
- Premium Member
- Berichten: 515
- Lid geworden op: 01 dec 2014, 16:52
- Locatie: Regio Gent
- Uitgedeelde bedankjes: 33 keer
- Bedankt: 52 keer
Je e-mail moet maar eens gehackt worden of je e-mail kan worden onderschept. Toegegeven, beide zijn eerder een uitzondering, maar als iemand toegang krijgt dan kan die persoon gewoon wat dingen bestellen op de eCommerce website, dit op zijn naam laten toekomen en jij mag betalen indien je kaartgegevens worden opgeslagen op de eCommerce website.Dima_2005 schreef:Leuk is het nog steeds niet om zomaar een password in je mail te hebben, maar het blijkt dan toch minder erg dan initieel gedacht.
iPhone 12 Pro — iPad (9th Gen) — Apple TV 4K (2nd Gen) — MacBook Pro
-
Goztow
- userbase crew
- Berichten: 13622
- Lid geworden op: 14 nov 2006, 16:21
- Locatie: Brussel
- Uitgedeelde bedankjes: 1423 keer
- Bedankt: 878 keer
-
Te Koop forum
Als je e-mail gehackt wordt, kunnen ze ook een "password reminder" opsturen naar je mail met daarin een link om een nieuw paswoord te maken. Mij lijkt er niks mis mee, hoor.
Bedank andere users voor nuttige posts, door op 
te klikken
te klikken-
Splitter
- Elite Poster
- Berichten: 4578
- Lid geworden op: 10 maa 2010, 12:30
- Uitgedeelde bedankjes: 58 keer
- Bedankt: 446 keer
idd wat goztow zegt.
het kan aan mij liggen misschien, maar ik vind zo'n mail met je wachtwoord bij registratie best handig.
steek dat dan in een apart mapje en dan zit ik over 2 jaar niet die wachtwoord vergeten functie te gebruiken.
zolang het in de database niet plaintext is, ben ik tevreden.
dat ze dat bij registratie wél zo naar je mailen maakt niet zo uit.
en of ze nu plaintext uit je mailbox vissen, of een wachtwoord reset doen en de link aanklikken in de nieuwe mail (die in diezelfde, dus gehackte, mailbox terechtkomt)... in beide gevallen hebben ze toch wat ze willen.
het kan aan mij liggen misschien, maar ik vind zo'n mail met je wachtwoord bij registratie best handig.
steek dat dan in een apart mapje en dan zit ik over 2 jaar niet die wachtwoord vergeten functie te gebruiken.
zolang het in de database niet plaintext is, ben ik tevreden.
dat ze dat bij registratie wél zo naar je mailen maakt niet zo uit.
en of ze nu plaintext uit je mailbox vissen, of een wachtwoord reset doen en de link aanklikken in de nieuwe mail (die in diezelfde, dus gehackte, mailbox terechtkomt)... in beide gevallen hebben ze toch wat ze willen.
