activatie mail met ww in plain text

[ygeffens]

Hi

Mag ik er van uit gaan dat wanneer ik een activatie mail krijg van een website (nadat ik me daar heb ingeschreven) en het ww dat ik heb opgegeven bij registratie in deze activatie mail gewoon leesbaar is dat met het wachtwoord zelf ook heeft? Of kan het dan nog steeds enkel versleuteld zijn opgeslagen?

Los daarvan wil dat uiteraard zeggen dat het ww in een gewone (onveilige) mail verstuurd is geweest, dus dat iedereen onderweg dat heeft kunnen lezen. Juist ?

[GuntherDW]

Voor dat soort dingen heb je plaintextoffenders.

Het wil niet zeggen dat ze je ww in hun db in plaintext hebben staan, maar je ww in cleartext terugsturen is inderdaad not done.

Je kan ook eens proberen een pass reset aanvragen.
Als ze dan je ww in cleartext terugsturen kan je met zekerheid zeggen dat ze je ww in cleartext hebben.

[stefan1234]

Hi

Mag ik er van uit gaan dat wanneer ik een activatie mail krijg van een website (nadat ik me daar heb ingeschreven) en het ww dat ik heb opgegeven bij registratie in deze activatie mail gewoon leesbaar is dat met het wachtwoord zelf ook heeft? Of kan het dan nog steeds enkel versleuteld zijn opgeslagen?

Los daarvan wil dat uiteraard zeggen dat het ww in een gewone (onveilige) mail verstuurd is geweest, dus dat iedereen onderweg dat heeft kunnen lezen. Juist ?

Ja. Besef dat de inhoud van onversleutelde e-mail publiek is, is 0,0 in dit land.

[ITnetadmin]

Wonderful.
Dit toont meerdere fouten aan:

1) Het pwd wordt niet gehashed *voor* het verzenden van de client (je browser) naar de server.
2) Het pwd wordt ofwel in plaintext in de db gestoken, ofwel in reversible encryption; OF ze nemen het pwd rechtstreeks uit je form en sturen de mail maar slaan het verder niet op
3) Het pwd wordt in plaintext verstuurd in een medium dat geen standaard encryptie heeft.

Dit kan dus echt niet.

[bitbite]

1) Het pwd wordt niet gehashed *voor* het verzenden van de client (je browser) naar de server.

Het is een beetje sex met mieren maar hier zijn véél sites schuldig aan, en als je het security model bekijkt is dat niet eens een de grootste zonde. Als je uit gaat van https en een niet-gecompromitteerde server tenminste.

Dit kan dus echt niet.

Amen!

Een zeer goede oplossing is in elk geval nog steeds om voor elke site een apart (lang, ingewikkeld) wachtwoord te maken. Zelf <strijkt met zijn hand door zijn grijze baard> gebruik ik nog keepassX en een beetje discipline, maar er zijn vast browser plugins die dit een fluitje van een cent maken.

Voetnoot: sites die dit doen zijn wellicht niet gebouwd met een up-to-date framework, dan jeukt de bobby tables al.

[ITnetadmin]

Het is een beetje sex met mieren maar hier zijn véél sites schuldig aan, en als je het security model bekijkt is dat niet eens een de grootste zonde. Als je uit gaat van https en een niet-gecompromitteerde server tenminste.

Zelfs als je uitgaat van https, betekent dat wel dat de server op een bepaald moment het plaintext pwd in bezit had.
Als de client de salt genereert en de hash uitvoert heeft de server nooit het paswoord in bezit gehad.
Veel mensen recycleren paswoorden, dus alleen al het feit dat de server het pwd heeft gezien is een gevaarlijke breach.

Ivm die voetnoot:
Er is recent een steekproef gedaan waarbij webdevs gevraagd werden een site te bouwen met db achter.
Een deel werd expliciet gevraagd om security te implementeren, een deel niet.
Van degenen waar het niet aan gevraagd werd heeft de overgrote meerderheid het niet gedaan.
Van degenen waar het wel aan gevraagd werd heeft een goed deel het verkeerd gedaan (bv geen salt in de hash).
Je kan je dus wel afvragen hoe veel (weinig?) sites echt fatsoenlijk beveiligd zijn.

[tien]

Positief blijven, je hebt je er tenminste al ingeschreven. De mail zonder zou nog iets erger zijn