Vodafone versleutelt wachtwoorden niet

Encrypting encrypting... ooooh... who cares...!

I'll fix that someday.. Now is time for television and beer!

Die vind ik een goedje Ozzie ;p

Zoiets staat toch niet op je 'to-do lijstje'? Daar denk je toch als eerste aan?

Zelfde als telfort, volgens mij versleutelen ze geen van alle hun passworden, lekker alles plain text via mail en sms versturen.

Bij symio kreeg ik het ook gewoon toe gesmst

Ik vind deze kritiek niet geheel terecht. Je logt nl in via een SSL verbinding, en dat blijft tig keer veiliger dan alle zout, peper en nootmuskaat.

De kritiek is wel degelijk terecht. Zo'n grote organisatie moet z'n zaakjes gewoon op orde hebben. Ongeacht of ze een SSL verbinding gebruiken. Als er een keer een lek in de site komt en hackers krijgen de database in handen dan staan alle gebruikersnamen en wachtwoorden daar onversleuteld in!

Als groot bedrijf moet je gewoon gaan encrypten, dat is basic hé.

Stel je hebt een kluis met daarin een kassa met een simpel slotje.
Op het moment dat je de kluis open laat heeft dat slotje op de kassa weinig zin.
Dus je moet gewoon zorgen dat ze de kluis niet in kunnen, das veel belangrijker dan het slotje op die kassa.

Misschien moet je eerst eens uitleggen waarom je een kassa in een kluis stopt...

Maar goed afgezien daarvan... die gegevens kunnen ook via een sql-lek bovenwater komen, of via de server. Je moet niet alleen maar denken aan de "voorkant" van de website. Ook via de "achterkant" kan een hacker of misschien wel een onbetrouwbare werknemer of onderhoudsmonteur binnenkomen. En dan is het toch heel wenselijk dat de gegevens versleuteld zijn. Als je het nieuws gevolgd hebt de afgelopen maanden dan weet je ook waarom.

kassa is wachtwoord en kluis is database.
En ja ik sla wachtwoorden versleuteld op, maar niet gehashed (groot verschil)
Maar het belangrijkste is nog steeds de beveiliging op je database.

Je hasht niet? Versleuterd is volgens mij gewoon beveilingslagen toevoegen als SSL maar je hasht dus degelijk niks? Dat is gewoon dom. Als er dan ooit een lek in je site zit ligt alles op straat. En verder hoef je het wachtwoord van je leden ook niet te weten ;)

Ach kom nou toch zo stom ben je toch niet? Laat ik het uitleggen met een leuk verhaaltje.

"Er was eens een kasteel. De muren waren zó hoog, daar kon eens mens niet overheen komen. De koning in het kasteel waande zich veilig, hij kon zich makkelijk tegen al zijn vijanden verdedigen vanaf die hoge muren.

Toen was er een heel slimme andere koning, die de eerste koning wou verslaan. Maar hij wist van de hoge muren. Maar, slim als hij was, zei hij: 'waarom bouwen we niet gewoon een toren, even hoog als de muren, maar dan op wielen, zodat we zo de muren op kunnen wandelen'. En zo was de belegeringstoren geboren.

De eerste koning, die zich zó veilig waande door zijn hoge muren, had nooit nagedacht over andere verdedigingstechnieken. En zo werd hij verslagen."

Ik zou zeggen, trek er je eigen conclusies uit.

Mijn conclusie is dat je iets niet goed gelezen hebt, of ik ben niet helemaal duidelijk geweest.

Als ik eenmaal bij iemand in de database ben zal het me een worst wezen wat iemand zijn wachtwoord is want ik heb toch lekker al toegang tot alle andere gegevens.
En een hash is een vast algoritme en GEEN encryptie

nee, maar als je een echte hacker bent, zal het je wel een worst wezen wat iemand zijn wachtwoord is. veel mensen gebruiken overal dezelfde wachtwoorden, heb je er een gevonden, dan kun je dus als hacker in andere dingen komen met een beetje geluk.

Ik vind dit toch wel grof.
Geen enkele beveiliging beschermt je te eeuwigen dage.
Vraag maar aan de jongens van Sony Playstation.

Maar zo goed als alles wordt wel permanent bijgehouden.

Ik hoop dan toch dat ze geen 5 jaar wachten om nog eens naar hun TO DO-lijstje te kijken

Het gaat om nu over vijf jaar zijn er andere technieken van hacken EN beveiligen.

Ik ben het met Ger eens. Ik kan wel al mijn wachtwoorden encrypten maar als ik geen login beveiliging op mijn database zet, heeft het nog niet zoveel zin.

Ja het houd de hackers hoogstens iets langer bezig. Bij je data kunnen ze toch wel.

Daarnaast moet je bedenken, waarom heb je login functionaliteit? Juist om bepaalde functionaliteiten af te schermen voor normale gebruikers. Wanneer een hacker toegang tot de database heeft, kan hij makkelijk(er) bij de afgeschermde data komen. (Ligt aan de situatie maar het gaat om het idee)

Niels

"Ik ben het met Ger eens. Ik kan wel al mijn wachtwoorden encrypten maar als ik geen login beveiliging op mijn database zet, heeft het nog niet zoveel zin."

Dat lijkt me logisch, maar het een sluit het ander toch niet uit? Je moet én én doen.

Wanneer een hacker toegang heeft tot de database kan hij makkelijker bij de afgeschermde data komen. Dat klopt, maar vaak is het juist om de combinatie van gebruikersnaam en wachtwoord te doen. Hackers trekken zo'n hele database leeg en gaan vervolgens op andere sites met al die gebruikersnaam wachtwoord combinaties hun geluk beproeven.

Als je auto rijdt behoor je een gordel te dragen. Dan kun je net zo goed zeggen, ik draag geen gordels want mijn auto heeft airbags! Kortom: maak je applicatie gewoon zo veilig mogelijk.

Ik vind dit wel zo erg belachelijk van hun , stel nou dat er wat gebeurt en al mijn gegevens komen op de mat te liggen. Dan ben je er wel goed maar dan ook goed klaar mee ze kunnen zelf je rekeningnummer enzo zien dit loopt uit tot dikke oplichting onder iemand anders zijn naam.

Dit is voor mij een reden om nu meteen mijn abbonoment te laten verlopen wat een ramp ga nooit meer naar vodafone !.

ook misschien omdat je de laatste tijd vaker geen bereik had dan wel?

Dave, Ga je ook gelijk je huur opzeggen als je er achter komt dat jou woningbouw zijn systeem niet goed heeft opgezet?

Zeker, helemaal gelijk. Je krijgt van mij ook een nekschot als je het niet doet, maar ik kreeg het idee dat bepaalde mensen denken dat je, als je de wachtwoorden encrypt helemaal safe zit. (Zit je overigens nooit, maar je snapt wel wat ik bedoel)



Is dat zo? Waarom niet direct de hoofdwebsite aanvallen? Stel ik hack een belangrijk data bureau. Dan ga ik toch niet de buitgemaakte logingegevens bij andere websites testen?

Volgens mij ga je als hacker direct op je doel af. Je hackt / crackt een bepaalde databank om verborgen data in handen te krijgen.

Je hebt natuurlijk ook nog een ander scenario. Stel ik hack een (ander soort) website, en ik test de buitgemaakte gegevens op die belangrijke databank. Dan maak ik geen schade bij die belangrijke databank. (waar ze waarschijnlijk iets meer controle / logging hebben) Dat betekend dus dat ik minder sporen achter laat en de pakkans dus minder is.

Het ligt er denk ik aan hoe ervaren / slim de hacker / cracker is :-)

Niels