Security - is dit normaal ?

[topaz]

Vandaag heb ik naar de HelpLine van Tele2 gebeld (02-60. 80.600).
Ik krijk onmiddelijk een antwoord !

Wat mij verbaasd was dat de "Helpdesker", zonder bloesen, mijn paswoord leest in plaintekst van zijn computer scherm.

Ik doe zelf aan systeemadministratie en ik ken niet de paswoorden van mijn gebruikers - kan die paswoorden zelfs niet de-encrypteeren.
--------
Ik heb ook geleerd dat ik kan mijn Versatel account niet gewoon converteeren naar een Tele2 account zonder afzeggen Versatel en op nieuw aanvragen bij Tele2.

Vraag voor Tele2 klanten: Wat is het kortste weg naar hun Helpline telefoonnummers op hun Website ? Wat een rommel site.

[cloink]

Dan paswoorden in plaintext worden opgeslagen is inderdaad onaanvaardbaar.

[meon]

Voor bepaalde situaties (zoals deze) wel handig anders:
"welk wachtwoord gebruikt u?" "dan gebruikt u een foutief wachtwoord"

[gr4vity]

In dit geval heel normaal. Is bij elke ISP zo. Serieus security issue, zeker bij 3th party resellers. Maar niets aan te doen.

Maakt bij de meeste ISP's niet echt uit. Tenzij je de persoon aan de andere kant niet vertrouwd

[gedeco]

Vandaag heb ik naar de HelpLine van Tele2 gebeld (02-60. 80.600).
Ik krijk onmiddelijk een antwoord !

Wat mij verbaasd was dat de "Helpdesker", zonder bloesen, mijn paswoord leest in plaintekst van zijn computer scherm.

Dat men het paswoord kan aflezen stoort me niet, want in principe zou een helpdeskmedewerker uw paswoord kunnen resetten. Dus kies zelf uit.
Het enigste verschil:Een paswoord resetten laat sporen na in een logfile, een paswoord aflezen (consulteren) niet noodzakelijk

Wat me echter wel stoort, of tenminste in uw relaas niet duidelijk is, dat men dit doet zonder verificatie van de user.

Iedereen kan zich dan voordoen als iemand anders om een paswoord te achterhalen.

Of het paswoord nu in cleartext is opgeslagen en enkel toegankelijk is voor helpdesk medewerkers, of men moet het resetten, op een of andere manier moet het toch aan de gebruiker gecommuniceerd worden.

[Dfrog]

Voor bepaalde situaties (zoals deze) wel handig anders:
"welk wachtwoord gebruikt u?" "dan gebruikt u een foutief wachtwoord"

Dat is de grote miserie he. Hoeveel mensen hun wachtwoord van deze site zou niet hetzelfde zijn als hun gmail-account etc..

[meon]

In het geval van deze site heb ik er niks aan aangezien in phpBB als MD5-hash wordt opgeslagen.
Maar inderdaad; voor sites die ik niet vetrouw gebruik ik gewoon 123456 of zo als wachtwoord, en voor andere heb ik 3 reeksen van wachtwoorden die ik gebruik, maar nooit hetzelfde zijn als die van m'n messenger of mail-accounts

[Marauder]

Dat is ronduit schandalig! Helpdeskmedewerkers kunnen perfect hun werk doen zonder het paswoord te zien van de klanten. Dit vergt gewoon een knop "reset password" waarna er enkel en alleen een email wordt gestuurd naar de thuisgebruiker, jij dus, met het paswoord erin dat maar één keer kan gebruikt worden (of desnoods maar 1 dag geldig is). Indien je niet zelf zou kunnen inloggen omdat je net je paswoord mist zou de optie moeten bestaan mits jouw toelating dat de helpdeskmedewerker het paswoord naar zichzelf stuurt via email ofzo. Zoiets zou ook uitvoerig gelogd moeten worden. De huidige werkwijze is in elk geval ontoelaatbaar.

Veel mensen gebruiken immers maar 1 à 2 paswoorden. Mensen die er meer gebruiken hebben meestal een bepaald patroon in hun paswoorden. Al deze informatie kan leiden tot informatiediefstal met alle gevolgen vandien.

God weet wat die medewerkers doen als ze zich vervelen. Ik zou het alvast niet kunnen laten om de paswoorden op verschillende webdiensten uit te proberen. Ben ook maar ne mens, net zoals die helpdeskmedewerkers.

Ps: Gr4vity schreef "[...]Tenzij je de persoon aan de andere kant niet vertrouwd " Hoeveel had gij vroeger gemiddeld op dictee?

[gedeco]

... Dit vergt gewoon een knop "reset password" ...

Bij bepaalde applicaties kan het voor een helpdeskmedewerker heel handig zijn om zelf de applicatie op te starten met het paswoord van de gebruiker, al was het maar om geen nutteloze tijd te verliezen aan gevallen van pebkac

Telefonische support biedt NOOIT de garantie dat het werkelijk de betrokken gebruiker is die de helpdesk contacteert en geen hacker met social engineering skills.

De enigste werkwijze die enigszins acceptabel is om een paswoord bij de juiste persoon te krijgen (verificatie van de user!): Een aangetekend schrijven. De gebruiker moet zijn paspoort aanbieden om het schrijven in ontvangst te nemen.

Er moet altijd wel ergens een balans worden opgemaakt tussen efficiënt en snel hulp bieden en beveiliging. Niet altijd verenigbaar.

[Dfrog]

Ik zou het alvast niet kunnen laten om de paswoorden op verschillende webdiensten uit te proberen. Ben ook maar ne mens, net zoals die helpdeskmedewerkers.

Mja, bij deze hoop ik dat je nooit op generlei in contact komt met mijn gegevens. Ik hoop voor jezelf dat je in je beroepscarrière meer integriteit aan de dag legt.

[Marauder]

... Dit vergt gewoon een knop "reset password" ...

Bij bepaalde applicaties kan het voor een helpdeskmedewerker heel handig zijn om zelf de applicatie op te starten met het paswoord van de gebruiker, al was het maar om geen nutteloze tijd te verliezen aan gevallen van pebkac

Telefonische support biedt NOOIT de garantie dat het werkelijk de betrokken gebruiker is die de helpdesk contacteert en geen hacker met social engineering skills.

De enigste werkwijze die enigszins acceptabel is om een paswoord bij de juiste persoon te krijgen (verificatie van de user!): Een aangetekend schrijven. De gebruiker moet zijn paspoort aanbieden om het schrijven in ontvangst te nemen.

Er moet altijd wel ergens een balans worden opgemaakt tussen efficiënt en snel hulp bieden en beveiliging. Niet altijd verenigbaar.

Die social engineering noodzaakt toch al enige persoonlijke kennis. Persoonlijke gegevens die je onder andere verliest doordat helpdeskmedewerkers zomaar in al je persooniljke gegevens kunnen rondsnuffelen. En in het geval van de hacker heb je 2 personen teveel die je paswoord weten zijnde de hacker en de helpdeskmedewerker. In een ietwat "gezondere" security situatie zou enkel de hacker je paswoord weten.

Electrabel (of was het nu Belgacom) maakt gebruik van een code op haar facturen. Wanneer je belt met de helpdesk moet je die code geven waardoor social engineering al wat moeilijker wordt. Dit in combinatie met een "reset paswoord" is naar mijn mening snel, efficiënt en veilig.

Ik zou het alvast niet kunnen laten om de paswoorden op verschillende webdiensten uit te proberen. Ben ook maar ne mens, net zoals die helpdeskmedewerkers.

Mja, bij deze hoop ik dat je nooit op generlei in contact komt met mijn gegevens. Ik hoop voor jezelf dat je in je beroepscarrière meer integriteit aan de dag legt.

Héhé, daar leg ik zowiezo wel integriteit aan de dag En wellicht heb ik ooit wel de kans gehad om je gegevens (moest ik je naam weten) te bekijken. Feit is dat de situatie bij TELE2/Dommel en wellicht zoveel anderen gewoon niet veilig is en uitnodigt tot misbruik. In de bedrijven waar ik werk(te) had je zowiezo logging (herinner u die verpleegster die Leterme's gezondheisdossier raadpleegde) en dergelijke, toegang die zich beperkte tot hetgeen je nodig hebt en zijn paswoorden nooit clear text opgeslagen. Dat is hoe het zou moeten zijn. Zoiets zou eigenlijk wettelijk moeten zijn.

[cloink]

Kijk, net om deze ganse discussie te vermijden is het gewoon NOT DONE om paswoorden in plaintext op te slaan. Point (finale).

Dat het gebeurt, daar ben ik me - helaas - van bewust, maar dat maakt het absoluut niet OK. De voordelen van zo'n systeem zijn niet opgewassen tegen dat ene grote nadeel...

[gr4vity]

Ps: Gr4vity schreef "[...]Tenzij je de persoon aan de andere kant niet vertrouwd " Hoeveel had gij vroeger gemiddeld op dictee?

Bijna altijd gebuisd

Zoals ik reeds aangaf, dit is bij alle ISP's zo. Bepaalde applicaties binnen de ISP/telecom wereld vereisen het dat een paswoord in plain text opgeslagen word. En zoals ook al aangegeven, dit is om de domme gebruiker te beschermen.

Neem het anders zo, stel dat je wachtwoord opgeslagen is als hash; dan zou bijvoorbeeld dommel je je informatie niet terug opnieuw kunnen mailen zonder dat daarbij het wachtwoord van je ADSL veranderd (lees je vliegt offline bij de volgende disconnect).

[ubremoved_983]

In dit geval heel normaal. Is bij elke ISP zo. Serieus security issue, zeker bij 3th party resellers. Maar niets aan te doen.

Bij Telenet alvast niet ...

Dat is ronduit schandalig! Helpdeskmedewerkers kunnen perfect hun werk doen zonder het paswoord te zien van de klanten. Dit vergt gewoon een knop "reset password" waarna er enkel en alleen een email wordt gestuurd naar de thuisgebruiker, jij dus, met het paswoord erin dat maar één keer kan gebruikt worden (of desnoods maar 1 dag geldig is).

LOL Jij hebt geen idee zeker hoeveel mensen bellen voor het paswoord van ... jawel, hun email .

Mod break: net 2 berichten samen gezet. Probeer in het vervolg de edit knop te gebruiken. Zo houden we het overzichtelijk.

[gr4vity]

Bij Telenet alvast niet ...

Ik meen mij te herinneren van de laatste keer ik in c@fé zat dit wel mogelijk was. Heeft gewoon te maken met je gebruikers niveau.

[ubremoved_983]

Ik meen mij te herinneren van de laatste keer ik in c@fé zat dit wel mogelijk was. Heeft gewoon te maken met je gebruikers niveau.

Dat is bij mijn weten nooit mogelijk geweest ( zelfs niet met mijn domain admin account ).

[Marauder]

Ps: Gr4vity schreef "[...]Tenzij je de persoon aan de andere kant niet vertrouwd " Hoeveel had gij vroeger gemiddeld op dictee?

Bijna altijd gebuisd

Zoals ik reeds aangaf, dit is bij alle ISP's zo. Bepaalde applicaties binnen de ISP/telecom wereld vereisen het dat een paswoord in plain text opgeslagen word. En zoals ook al aangegeven, dit is om de domme gebruiker te beschermen.

Neem het anders zo, stel dat je wachtwoord opgeslagen is als hash; dan zou bijvoorbeeld dommel je je informatie niet terug opnieuw kunnen mailen zonder dat daarbij het wachtwoord van je ADSL veranderd (lees je vliegt offline bij de volgende disconnect).

Ik snap eigenlijk niet goed wat je hier wil zeggen. Een aantal posts naar boven geef ik toch al een aantal voorbeelden over hoe je kan vermijden om paswoorden cleartext in je systeem op te slaan? Anyway, ik bedacht nog een andere methode die overigens ook al wijdverspreid is binnen bedrijven naar hun klanten toe. Namelijk: indien je beroep wil doen op hun veiligere paswoordmethode dien je hetzij je non-isp email adres te geven (kan je gebruiken van bij de buren, WAP, werk...), hetzij je gsm nummer (ok privicy I know). Ben je je paswoord kwijt, dan bel je naar de helpdesk. Er zijn 3 mogelijkheden:

1) de helpdeskmedewerker vraagt jouw toestemming om een gereset paswoord via email (dat maar 1 dag geldig is) naar zichzelf te sturen en leest het je dan voor.

2) Hij laat het automatisch via "reset pasword" naar je non isp emailadres sturen.

3) Hij laat het via SMS naar je GSM sturen (dit heb je immer voorheen al aangegeven als zijnde jouw GSM).

In alle gevallen gaat het om een gereset random paswoord dat maar 1 dag geldig is. Social engineering is enkel in geval 1 een gevaar tenzij de inbreker toegang heeft tot je email of GSM en onder normale omstandigheden zal niemand je paswoord ooit gezien hebben aangezien het gereset werd. Damn, ik zou mijn diensten eens moeten aanbieden bij die prutsers van dxADSL of Dommel

[gr4vity]

Bovenstaande oplossing is ook geen "compleet" oplossing. Het is namelijk zo dat voor authentificatie op bepaalde applicaties het nodig is om wachtwoorden plain text of omkeerbaar geëncrypteerd op te slaan.

Hou er ook rekening mee dat de gemiddelde internet gebruiker alles behalve de kennis heeft van een userbaser. Daarom is het ook mogelijk voor ISP medewerkers om die wachtwoorden via telefoon te vertellen. Vraag aan 100 gemiddelde Vlamingen wat encryptie is en 90% kan je niet kunnen antwoorden.

Dat is bij mijn weten nooit mogelijk geweest ( zelfs niet met mijn domain admin account ).

Ik ben vrij zeker dat C@fe dat kan, staat gewoon onder de eigenschappen van het product.

[Marauder]

Het is namelijk zo dat voor authentificatie op bepaalde applicaties het nodig is om wachtwoorden plain text of omkeerbaar geëncrypteerd op te slaan.

En over welke zwak geprogrammeerde applicaties hebben we het dan? De enige plaats waar ik dit zie gebeuren is bij applicaties die automatisch connecteren naar andere applicaties. Hier gaat het dus over geautomatiseerde gegevenstransacties bij voorkeur over secure lijnen. Alee, ik wil hier niet perse mijn gelijk ofzo halen hé maar bij mijn weten hoeft verder nergens een paswoord clear text opgeslagen te worden behalve dan als ge op elke seconde programmeer- en implementatietijd wilt besparen ofzo

Hou er ook rekening mee dat de gemiddelde internet gebruiker alles behalve de kennis heeft van een userbaser. Daarom is het ook mogelijk voor ISP medewerkers om die wachtwoorden via telefoon te vertellen. Vraag aan 100 gemiddelde Vlamingen wat encryptie is en 90% kan je niet kunnen antwoorden.

De doorsnee internetter is inderdaad niet zo tech savvy als de doorsnee userbaser. Maar dat neemt niet weg dat bij de inschrijving bij je ISP de verkoper kan vragen: "Is het mogelijk om je prive emailadres of GSM te geven. Dit is niet verplicht hoor. Dit zal worden gebruikt wanneer je je paswoord kwijt bent." En klaar is kees. Vergelijk het met de secret question die je moet gebruiken bij Hotmail en dergelijke meer dat ook haast geen uitleg behoeft.

[gedeco]

.... omkeerbaar geëncrypteerd op te slaan.

....bij mijn weten hoeft verder nergens een paswoord clear text

..... "Is het mogelijk om je prive emailadres ....

Indien je een 30 tal paswoorden bezit voor deze en gene applicatie is het wel heel nuttig om paswoorden omkeerbaar geencrypteerd op te slaan.
Als was het maar dat je last kunt krijgen van Alzheimer.

Persoonlijk maak ik gebruik van truecrypt.

Privé emailadres? handig indien je geen internetverbinding hebt ...

[ubremoved_983]

Ik ben vrij zeker dat C@fe dat kan, staat gewoon onder de eigenschappen van het product.

Nope ... enkel de username. Als ik nog eens bij Telenet kom zal ik voor de zekerheid nog eens checken

[gr4vity]

Maar dat neemt niet weg dat bij de inschrijving bij je ISP de verkoper kan vragen: "Is het mogelijk om je prive emailadres of GSM te geven. Dit is niet verplicht hoor. Dit zal worden gebruikt wanneer je je paswoord kwijt bent." En klaar is kees. Vergelijk het met de secret question die je moet gebruiken bij Hotmail en dergelijke meer dat ook haast geen uitleg behoeft.

Dat is anders ook wel ECHT secure hoor
Alternatief e-mail adres is bij 95% van de mensen een hotmail adres (iedereen op de hoogte van social engineering weet hoe hij daar binnen raakt). Als een 'hacker' iemand zijn wachtwoord wil weten kent hij die persoon echt wel, hoe moeilijk is het om een gsm een half uurtje of half dagje te laten verdwijnen?

So think again, het is trouwens niet zo dat iedereen kan bellen he. Ze vragen wel degelijk informatie die normaal niemand heeft (geboortedatum + rijksregister nummer en dergelijke).

Na het lezen van jou mening over het niet implementeren van hashes heb ik toch sterk mijn twijfels bij je kennis van professionele IT systemen. Jij studeert of ben hobbyist veronderstel ik? Om mijn statement even duidelijk te maken, hoe denk je dat de verificatie verloopt als je inbelt op DSL? Of hoe denk je dat een provider jouw wachtwoord verstuurd naar een extern bedrijf dat voor usenet toegang zorgt? Loopt inderdaad over privé of secure lijnen, maar je wachtwoord moet 'ergens' bij je provider toch opgeslagen worden (rekening houdend dat je voor veel applicaties 1 wachtwoord gebruikt, binnen de ISP wel te verstaan word dit dus centraal opgeslagen).

[cloink]

Ik krijg hier stilaan hoofdpijn bij het lezen van dit alles... Menen jullie dit nu echt?

Als ik hier morgen een publieke toepassing maak, waarvan de paswoorden "gemakkelijkheidshalve" in plaintext opgeslagen worden, vlieg ik met mijn klikken en klakken buiten. En terecht.

[gr4vity]

In normale omstandigheden zou ik je gelijk geven Cloink, maar de ISP/telecom wereld is 'weird'.

[cloink]

/makes mental note to self: nooit solliciteren in die sector, mijn hart zou het allicht begeven...

[Monkey]

bij scarlet moet je een fax sturen voor de informatie te kunnen bemachtigen

[The Conquer]

Wat ik hier nu nog nergens gelezen heb: over WELK paswoord gaat het hier eigenlijk?

[Marauder]

Ik krijg hier stilaan hoofdpijn bij het lezen van dit alles... Menen jullie dit nu echt?

Als ik hier morgen een publieke toepassing maak, waarvan de paswoorden "gemakkelijkheidshalve" in plaintext opgeslagen worden, vlieg ik met mijn klikken en klakken buiten. En terecht.

Terecht inderdaad en nog ne sjot onder u kont erbij

In normale omstandigheden zou ik je gelijk geven Cloink, maar de ISP/telecom wereld is 'weird'.

Er is helemaal niets weird aan de ISP-wereld (wat een makkelijke uitleg, zo kan je alles verklaren). Een aantal ISP's zijn gewoon te lui, te gierig of het ontbreekt het management aan een duidelijk security-inzicht om een degelijk security-beleid te voeren. Vraag mij af hoeveel van de low-cost ISP's een security audit zouden doorkomen. Ik ken er alvast 2 die er niet zouden doorgeraken zonder aanpassingen door te voeren.

Zou je overigens kunnen vertellen waar je zoal werkt gr4vity en wat je implentaties zijn. Ik wil deze best wel eens testen

[kaween]

... oh kijk. T2 is -slordig- op dit gebied. Misschien ook op andere dingen, maar securiy is bij T2 altijd al een beetje een lachterje geweest. Even meevolgen :

1) eerste gebruikers mochten en konden totaal niet in hun 716's. Voor *niks*, geen poorten konden we openzetten, geen forwarding, nada, op hun eigen toestellen notabene. Zogezegd vooral om security-redenen. Gevolg : binnen 3 maanden was het algemeen supervisor wachtwoord van IEDERE 716 bekend. Reaktie van Tele 2 hier op ? "da's helemaal niet zo erg ..."
Dus eerst een hele onzin waarom de gebruiker _niks_ kon veranderen onder het mom van security, maar éénmaal het master login gelekt was, is er maanden _geen enkele_ reaktie geweest van T2. Toen na maanden er een nieuwe firmware uitkwam, was ook het nieuwe universele wachtwoord vrij snel bekend.

2) na een reset/firmware upgrade zit het er dik in dat je modem doodleuk een ongeëncript Wifi signaal de lucht in stuurt. Ik vraag me af hoeveel mensen dat onmiddelijk merken VOOR klein-jantje-met de-PS3/NDS/Xbox-van-de-buren dat doet. Niet om te lachen : zelf gemerkt toen ik met mijn zoontje's NDS'je zat te prutsen toen ik aan de schoolpoort op hem aan het wachten was.

3) de "universal hack" voor de Thomson's wepkey laat iedereen toe om op minder dan 15 seconden je normale standaard wepkey te hacken, en dat zonder specifieke Wifi kaart/drivers/softwaremodules/OS of weet ik veel : kan onmiddelijk met iedere notebook met elke willekeurige Wifi kaart en gewoon onder Windows. In Nederland werd dit bij de KPN klanten opgelost, in België niet.

Geen onzin verkopen over "de technisch minder begaafde medemens die niet op UB zit". Niks van wat ik hier boven aangeef is onhaalbaar voor om het even welke persoon die _tenminste iemand kent_ die pakweg gekraakte games weet te installeren/te downloaden van het net, want DAT is het kennisniveau dat je hiervoor nodig hebt.

T2 bashen is goedkoop, en ondanks alles is het nog steeds voor mij de best mogelijke keuze, maar veiligheid is niet echt T2's prioriteit. Die plain-text situatie is in het licht van bovenstaande bij T2 nog het minste van de potentiële problemen.