image

"Webmail-providers hadden Palin-hack kunnen voorkomen"

maandag 22 september 2008, 10:07 door Redactie, 9 reacties

Webmail-providers moeten hun gebruikers alleen toestaan om het wachtwoord vanaf een bij hun bekend IP-adres te laten wijzigen of desnoods naar de configuratie van de computer kijken. Het beantwoorden van de geheime vraag om een wachtwoord te resetten is kwetsbaar voor social engineering aanvallen, maar verschillende maatregelen hadden dit in het geval van Palin kunnen voorkomen, aldus Adam O'Donnell. Het kan dan gaan om de geografische locatie van een IP-adres en gebruikers het wachtwoord niet te laten resetten vanaf een geografische locatie waar ze nooit eerder zijn geweest.

Een andere mogelijkheid is de configuratie van de gebruiker z'n systeem opslaan en het resetten van nieuwe systemen verbieden. Een andere oplossing is het gebruik van de mobiele telefoon als tweede authenticatie factor, door een code naar het mobieltje te sturen. O'Donnell ziet echter ook problemen met zijn eigen voorstellen. Het aantal mensen dat contact op moet nemen met een helpdesk zal er door toenemen. "Met webmail verdien je niet veel geld en een toename van mens-geörienteerde oplossingen zal de kosten van de dienst laten stijgen. Providers kunnen er ook voor kiezen om hun beveiliging niet te verbeteren en de nalatige gebruikers hun inkomsten laten derven."

Reacties (9)
22-09-2008, 10:16 door Anoniem
Authenticatie aan de hand van een IP adres, dat is het meest idiote wat je kan verzinnen. Dit kan je omzeilen met proxies en geeft je alleen maar problemen wanneer je zelf tijdelijk in het buitenland bent.
22-09-2008, 10:32 door Anoniem
TJa , en wat als je van je provider een DHCP lease krijgt?
En wat als je pc stuk gaat en je weet je wachtwoord niet meer?
Hoe ken je jezelf dan nog bewijzen ?
Door contact op te nemen met de helldesk.
En dan kan je met social engineering nog hetzelfde bereiken
22-09-2008, 11:39 door Anoniem
Door AnoniemTJa , en wat als je van je provider een DHCP lease krijgt?

Wijst je op de woorden "geografische lokatie"... Je krijgt van je ISP nooit een lease voor ip-adressen die dan opeens in Afrika liggen... Of Azie.
22-09-2008, 12:15 door Anoniem
Volgens http://www.tgdaily.com/html_tmp/content-view-39405-108.html hebben ze de hacker..Slashdot heeft het artikel ook al overgenomen.
22-09-2008, 12:15 door [Account Verwijderd]
Om naar de root van het probleem terug te gaan: gebruik om te beginnen al geen webmail voor officiële zaken zoals overheids opdrachten...
22-09-2008, 12:33 door Arno Nimus
Providers kunnen er ook voor kiezen om hun beveiliging niet te verbeteren en de nalatige gebruikers hun inkomsten laten derven.
Ik ben sterk voorstander van dat laatste. Gebruikers moeten maar eens aan den lijve ondervinden wat de gevolgen kunnen zijn van hun (soms idiote) acties. Maar dat mag natuurlijk geen reden zijn om de beveiliging nooit te verbeteren...
22-09-2008, 15:03 door Anoniem
Bij een reset het nieuwe wachtwoord naar een (ander) werkend e-mailadres van de bezoeker laten sturen.
22-09-2008, 16:04 door Anoniem
Dus Yahoo, Gmail en Hotmail moeten maar gaan bijhouden waar we allemaal op internet zitten? Normaal schreeuwt iedereen dan (terecht) moord en brand, maar nu kan het ineens wel?
23-09-2008, 02:46 door Anoniem
Webmail en de geheime vraag optie is je van het.
Het werkt perfect om je zorgvuldig gekozen data ongemerkt te laten lekken aan je "vijanden".
Voorwaarde is dat je een makkelijk te raden antwoord op geeft uiteraard.
Je "vijanden" die je webmail "kraken" zijn zich niet bewust dat al het email verkeer op je account fake is.
Met een beetje geduld, bereik je precies datgene wat je doel is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.