Hi wachtwoord opvragen te makkelijk

01-08-2010,00:19 doorjoey van hummel

Ik schrok me dood deze avond: ik was mijn wachtwoord voor Mijn Hi vergeten. Ik voer mijn telefoonnummer in op de wachtwoord vergeten pagina en ik krijg een smsje, met daarin mijn wachtwoord.. Dus, Ik begin in te loggen en ineens besef ik mij:
S&*T, mijn wachtwoord, in een smsje. Daar, recht voor mijn neus. Dat kan één ding betekenen; mijn wachtwoord zit in hun database. Zonder encryptie. En nog erger; het werd zo naar mijn nummer gestuurd. Wat nou als ze mijn mobieltje jatten? (Nu heb ik daar een wachtwoord op, maar de meesten hebben dat niet.) kunnen ze ook nog eens in mijn profiel op Mijn Hi rondsnuffelen, en dus ook betalingen en geschiedenis, mijn tegoed, ze kunnen mijn abonnementen veranderen en mij ervoor laten betalen, ze kunnen mijn rekeningen bekijken, online smsen vanaf mijn nummer, en vast nog wel meer. Hi, wat is dit? Waarom staat mijn wachtwoord zo onveilig in een database, dat er zo uit gerukt kan worden mocht er een lek bestaan?

LNK-PATCH IS UIT!

Hotmail SSL Full session

Reacties

01-08-2010,

11:00 door

Anoniem

-1 Rating:

Quote deze reactie | Reactie niet OK

T-Mobile heeft dit ook.. Het is heel lastig om dit op een goede manier op te lossen. Eigenlijk zou je de klantenservice moeten bellen, al jouw gegevens geven e.d. Maar ja, dat is ook weer te faken ;-)

11:08 door

ej__

+0 Rating:

Je vergeet dat, ook al is het wachtwoord encrypted opgeslagen, je met de telefoon zelf altijd een nieuw wachtwoord per sms kunt aanvragen. Telefoon gejat? Melden bij je provider! Telefoon geblokkeerd, niemand kan meer iets doen met jouw rekening.

Laatst gewijzigd: 01-08-2010, 11:08

11:18 door

Predjuh

+1 Rating:

Door ej__: Je vergeet dat, ook al is het wachtwoord encrypted opgeslagen, je met de telefoon zelf altijd een nieuw wachtwoord per sms kunt aanvragen. Telefoon gejat? Melden bij je provider! Telefoon geblokkeerd, niemand kan meer iets doen met jouw rekening.

plain-text of encrypted, voor wachtwoorden kun je het best gewoon hashing gebruiken, wel zo veilig voor beide partijen ...

12:10 door

unaniem

Waar was je toen je je wachtwoord opvroeg?

In mijn geval; PUK code vergeten of onvindbaar. Ik was thuis met nog iemand. (dit soort paniek situaties kan ik niet aan derhalve zocht en regelde de tweede individu dit probleem. Telefoon stond aan, dat wel.

Wij bevonden ons in mijn woning. De persoon in kwestie telefoneerde met diens telefoon, PUK code werd door gegeven en ik kon weer bij mijn telefoon.

http://nl.wikipedia.org/wiki/GSM_(communicatie)#Plaatsbepaling

Ze wisten dus waar je je bevindt en anders is het adres bekend waar het gebeurt, derhalve kan er altijd een spoor gevolgd worden om de valsspeler te achterhalen.

Indien ik een fout maak, meld het gerust (ik ben feilbaar : P )

19:05 door

Bitwiper

Door Predjuh: plain-text of encrypted, voor wachtwoorden kun je het best gewoon hashing gebruiken, wel zo veilig voor beide partijen ...

Ten eerste wordt dat vaak verkeerd toegepast (bijv. zodanig dat als een aanvaller die hash weet te sniffen, hij/zij vervolgens met die hash kan inloggen - waarmee die hash dezelfe waarde als een password heeft) en ten tweede los je daarmee het probleem van een vergeten wachtwoord niet op.

19:16 door

Door unaniem: Wij bevonden ons in mijn woning. De persoon in kwestie telefoneerde met diens telefoon, PUK code werd door gegeven en ik kon weer bij mijn telefoon.

Bizar en onacceptabel.Welke provider was dat?

De GSM plaatsbepaling is veel grover dan "een adres", is namelijk de zendmast waar je verbinding mee hebt. M.a.w. als ik jouw gelockte telefoon jat ga ik in de buurt van jouw huis staan, druk 3x een foute pincode en bel dan met een andere (gejatte) telefoon om de PUK code te krijgen en bel vervolgens dure nummers op jouw kosten - allemaal nog voordat jij doorhebt dat je telefoon gejat is.

Onacceptabel wat mij betreft. Om een vergeten PUK-code te achterhalen bij een telefoon met een abonnement zou je je (vind ik) met legitimatie bij een telefoonshop moeten melden, en met een prepay mag dat wat mij betreft ook - maar dan ben je natuurlijk niet meer anoniem voor je provider (voor zover je dat nog was natuurlijk bijv. door online opwaarderen of gebruik maken van een kortingsactie). En als je met een prepay volstrekt anoniem wilt blijven koop je gewoon een nieuwe SIM-kaart, zo duur zijn die nou ook weer niet.

Het verhaal van Joey vind ik begrijpelijker, je verzint niet zomaar iets veiligers dat nog werkbaar is. De praktijk is dat veel mensen webapplicatiewachtwoorden vergeten (bijv. omdat ze het door hun webbrowser laten opslaan en nooit meer hoeven in te tikken - tot hun PC overlijdt o.i.d.).

In elk kun je veel narigheid voorkomen door je telefoon zo snel mogelijk te laten blokkeren (zowel IMEI- als telefoonnummer) na verlies of diefstal.

22:36 door

GSM plaatsbepaling is stukken nauwkeuriger dan je denkt door triangulatie. Meer dan 1 mast ziet je telefoon. Daarmee is de plaats erg nauwkeurig te bepalen. Probeer het maar eens met google maps... Mijn android telefoon komt tot een resolutie van een meter of 50 (straal).

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login