Security Professionals
- ipfw add deny all from eindgebruikers to any
Paypal wachtwoord, veilig? Niet plakken, zonder spaties in controle vragen, max 20 tekens....
Vanmiddag heb ik mijn Paypal wachtwoord geprobeerd te veranderen. Het bleek dat je daarvoor de antwoorden op de 2 additionele veiligheidsvragen moet beantwoorden, die had ik wel (lange random strings) maar het werkte niet.
Na verloop van uren:
- De antwoorden op de veiligheidsvragen bleken zonder spaties te zijn opgeslagen, zonder mededeling destijds!
- Wachtzinnen kunnen niet, maximale lengte is 20 tekens. Dat is te kort en bovendien is het verplicht tekens uit alle tekenklassen A a [ 9 te nemen. Dat is de beschikbare lengte voor passphrase slechts 18 lang.
- Plakken mag niet! Een 15 tekens lang sterk wachtwoord van Lastpass is dus erg onhandig.
Ik vraag mij werkelijk af of die maatregelen de zaak niet juist verzwakken: geen passphrases, ik neem een simpel wachtwoord (kan niet plakken) en de 2 zinnen ook simpel houden, je hebt ze echt nodig.
(Dit alles betreft het veranderen van wachtwoorden, niet het gebruik.)
Na verloop van uren:
- De antwoorden op de veiligheidsvragen bleken zonder spaties te zijn opgeslagen, zonder mededeling destijds!
- Wachtzinnen kunnen niet, maximale lengte is 20 tekens. Dat is te kort en bovendien is het verplicht tekens uit alle tekenklassen A a [ 9 te nemen. Dat is de beschikbare lengte voor passphrase slechts 18 lang.
- Plakken mag niet! Een 15 tekens lang sterk wachtwoord van Lastpass is dus erg onhandig.
Ik vraag mij werkelijk af of die maatregelen de zaak niet juist verzwakken: geen passphrases, ik neem een simpel wachtwoord (kan niet plakken) en de 2 zinnen ook simpel houden, je hebt ze echt nodig.
(Dit alles betreft het veranderen van wachtwoorden, niet het gebruik.)
Reacties (15)
Ik kan inloggen bij Paypal door mijn wachtwoord te plakken..
Het wijzigen van het wachtwoord kan misschien niet op die manier, maar betekent dus eenmalig 2maal goed typen :)
Het wijzigen van het wachtwoord kan misschien niet op die manier, maar betekent dus eenmalig 2maal goed typen :)
26-05-2014, 09:39 door
passer
ik wijzigde mijn wachtwoord eergisteren zonder dat ik twee vragen voorgeschoteld kreeg (en ontving een bevestiging van de wijziging van mijn ww)
26-05-2014, 09:39 door
CSO.
Ik ben ook niet erg blij met het wachtwoordensysteem van Paypal. Informatie op de website over de mogelijkheden is ook erg summier. Ook zou ik graag 2 step authenticatie willen gebruiken dmv Google Authenticator, maar volgens mij is dit (of met een vergelijkbare tool) niet eens mogelijk. :(
Kreeg pas gistermiddag mail van ebay maar daar stond geen woord over Paypal in.
Mijn Paypal wachtwoord kon ik zonder de veiligheidsvragen wijzigen. Plakken kon i.d.d. niet.
Aanvulling op CSO 09:39: iemand wellicht ervaring met 2 step authenticatie voor Paypal?
Mijn Paypal wachtwoord kon ik zonder de veiligheidsvragen wijzigen. Plakken kon i.d.d. niet.
Aanvulling op CSO 09:39: iemand wellicht ervaring met 2 step authenticatie voor Paypal?
ik heb mijn paypal account opgezegd (leeggehaald en de koppeling met mijn bankrekening weggehaald.
paypal is een te groot cybercrimineel magneet geworden en paypal/Ebay is duidelijk een clubje security-prutsende amateurs waarbij je jezelf moet afvragen of je uberhaupt wel geld wil hebben staan op een veilingsite internetportemonai, gecontrolleerd door de USA, NSA, welke op elk willekeurig moment je tegoeden kan bevriezen omdat ze er zin in hebben en er mee weg komen met zo'n halfgaar apple-itunes antwoord. "het is tegen onze (zeer flexibele en voor velerlei manieren interpretabele) principes".
paypal is een te groot cybercrimineel magneet geworden en paypal/Ebay is duidelijk een clubje security-prutsende amateurs waarbij je jezelf moet afvragen of je uberhaupt wel geld wil hebben staan op een veilingsite internetportemonai, gecontrolleerd door de USA, NSA, welke op elk willekeurig moment je tegoeden kan bevriezen omdat ze er zin in hebben en er mee weg komen met zo'n halfgaar apple-itunes antwoord. "het is tegen onze (zeer flexibele en voor velerlei manieren interpretabele) principes".
@passer
Vandaag nog een keer geprobeerd. PayPal blijkt soms een extra verificatie stap te doen voordat het wachtwoord veranderd mag worden, ook al ben je ingelogd.
- Vandaag werd mijn credit card nummer als authenticatie bewijs gevraagd.
- Gisteren dus het antwoord op de 2 veiligheidsvragen als extra authenticatie.
- En op mijn andere account werd helemaal niets gevraagd (gebruik ik zeer regelmatig, de andere gebruik ik weinig)
Zie schermafdrukken: https://onedrive.live.com/redir?resid=27C8533B3AA9E42B!16015&authkey=!AJAzMybdoFKGfm8&ithint=folder%2c.txt
@NedFox: Login kan inderdaad, daarom staat onderaan in mijn post: (Dit alles betreft het veranderen van wachtwoorden, niet het gebruik.). En wat betreft 'misschien', zie bovenstaande link, daarin staat een schermafdruk dat je niet mag/kan plakken.
Overigens werkt mij eigen Alt V (een andere manier voor CTRL V) wel.
Vandaag nog een keer geprobeerd. PayPal blijkt soms een extra verificatie stap te doen voordat het wachtwoord veranderd mag worden, ook al ben je ingelogd.
- Vandaag werd mijn credit card nummer als authenticatie bewijs gevraagd.
- Gisteren dus het antwoord op de 2 veiligheidsvragen als extra authenticatie.
- En op mijn andere account werd helemaal niets gevraagd (gebruik ik zeer regelmatig, de andere gebruik ik weinig)
Zie schermafdrukken: https://onedrive.live.com/redir?resid=27C8533B3AA9E42B!16015&authkey=!AJAzMybdoFKGfm8&ithint=folder%2c.txt
@NedFox: Login kan inderdaad, daarom staat onderaan in mijn post: (Dit alles betreft het veranderen van wachtwoorden, niet het gebruik.). En wat betreft 'misschien', zie bovenstaande link, daarin staat een schermafdruk dat je niet mag/kan plakken.
Overigens werkt mij eigen Alt V (een andere manier voor CTRL V) wel.
26-05-2014, 11:35 door
sloepie
Dat is toch wel apart.
Ik gebruik Lastpass en kon daarmee, ook bij het wijzigen van het wachtwoord, automatisch het met Lastpass nieuw gegenereerde wachtwoord door Lastpass in laten vullen en wijzigen. Ook hoefde ik geen extra vragen te beantwoorden.
Ik gebruik Lastpass en kon daarmee, ook bij het wijzigen van het wachtwoord, automatisch het met Lastpass nieuw gegenereerde wachtwoord door Lastpass in laten vullen en wijzigen. Ook hoefde ik geen extra vragen te beantwoorden.
Lastpass gebruikt vermoedelijk een ander mechanisme dan CTRL V (Plak). Dat doet mijn eigen ALT V ook, vandaar dat die wel werkt. De reden dat ik LastPass het nieuwe wachtwoord niet GEHEEL laat invullen is dat ik uitsluitend voor al mijn financiële sites een 2-staps procedure gebruik. Lastpass kent en vult alleen het moeilijke eerste deel in en ik vul nog een 2-de deel aan.
Of dat vergelijkbaar is met 2-factor authorization? In ieder geval bestaat mijn totale wachtwoord uit iets dat ik heb (LP) en iets dat ik weet (het 2-de deel)
== edit GEHEEL toegevoegd
Of dat vergelijkbaar is met 2-factor authorization? In ieder geval bestaat mijn totale wachtwoord uit iets dat ik heb (LP) en iets dat ik weet (het 2-de deel)
== edit GEHEEL toegevoegd
@Dick 11:50
Op zich heb je gelijk dat two factor authenticatie een zeer goede (toegangs)beveiliging biedt.
Het probleem is echter dat nog maar heel weinig sites de mogelijkheid van two factor authenticatie bieden en mijn bank (Rabo) al zijn eigen two factor authenticatie systeem gebruikt.
Daarnaast heb ik absoluut geen vertrouwen in bijvoorbeeld de Google two factor authenticator. Als Google zich ook nog eens met mijn financiële zaken gaat bemoeien is het hek helemaal van de dam en ontstaat er tegelijkertijd een steeds groter wordend risico van een vendor lock als je voor alles wat je doet Google nodig hebt. Het liefst maak ik helemaal geen gebruik meer van wat voor dienst van Google dan ook.
Vooralsnog blijf ik dan ook maar gebruik maken van zeer sterke sleutels/passwords in combinatie met Lastpass en vervang ik ook regelmatig de sleutels/password, wat met Lastpass trouwens ook een makkie is.
En voordat ik Lastpass zelf kan gebruiken heb ik mijn Youbikey nodig (wat ook een vorm van 2 factor authenticatie is, zij het niet op transactie niveau.) zodat niemand zonder mijn Youbikey mijn Lastpass applicaties kan gebruiken.
https://helpdesk.lastpass.com/security-options/multifactor-authentication-options/yubikey-authentication/
Tot het moment dat je werkelijk overal d.m.v een echt onafhankelijk orgaan 2 factor authenticatie kan gebruiken lijkt een mechanisme als Lastpass in combinatie met zeer sterke en regelmatig wisselende sleutel/passwords en de Youbikey in ieder geval een veel betere oplossing dan, zoals je zelf ook al aangeeft, het onthouden van zelf verzonnen passwords die bovendien zelden of nooit sterk genoeg zijn.
Misschien is Lastpass niet de perfecte oplossing, maar onder de gegeven omstandigheden vooralsnog wel een van de veiligste oplossingen.
Op zich heb je gelijk dat two factor authenticatie een zeer goede (toegangs)beveiliging biedt.
Het probleem is echter dat nog maar heel weinig sites de mogelijkheid van two factor authenticatie bieden en mijn bank (Rabo) al zijn eigen two factor authenticatie systeem gebruikt.
Daarnaast heb ik absoluut geen vertrouwen in bijvoorbeeld de Google two factor authenticator. Als Google zich ook nog eens met mijn financiële zaken gaat bemoeien is het hek helemaal van de dam en ontstaat er tegelijkertijd een steeds groter wordend risico van een vendor lock als je voor alles wat je doet Google nodig hebt. Het liefst maak ik helemaal geen gebruik meer van wat voor dienst van Google dan ook.
Vooralsnog blijf ik dan ook maar gebruik maken van zeer sterke sleutels/passwords in combinatie met Lastpass en vervang ik ook regelmatig de sleutels/password, wat met Lastpass trouwens ook een makkie is.
En voordat ik Lastpass zelf kan gebruiken heb ik mijn Youbikey nodig (wat ook een vorm van 2 factor authenticatie is, zij het niet op transactie niveau.) zodat niemand zonder mijn Youbikey mijn Lastpass applicaties kan gebruiken.
https://helpdesk.lastpass.com/security-options/multifactor-authentication-options/yubikey-authentication/
Tot het moment dat je werkelijk overal d.m.v een echt onafhankelijk orgaan 2 factor authenticatie kan gebruiken lijkt een mechanisme als Lastpass in combinatie met zeer sterke en regelmatig wisselende sleutel/passwords en de Youbikey in ieder geval een veel betere oplossing dan, zoals je zelf ook al aangeeft, het onthouden van zelf verzonnen passwords die bovendien zelden of nooit sterk genoeg zijn.
Misschien is Lastpass niet de perfecte oplossing, maar onder de gegeven omstandigheden vooralsnog wel een van de veiligste oplossingen.
26-05-2014, 14:33 door
Dick99999
@sloepie 14:01
Even ere wie ere toekomt: het was CSO 09:39 die 2 step authenticatie noemde.
Ik heb bij 'mijn' 2 factor authentication een vraagteken gezet omdat de opdeling van een wachtwoord in 2 delen (auto invulling door lastpass + mijn handmatig deel) op transactie niveau niet onder 2 factor valt. Althans, het beschermt niet tegen het risico van afluisteren/afkijken/keylogging. Een ING SMS als reactie op het inloggen met een eenmalige code beschermt wel.
Maar wat die 2-deling van het wachtwoord wel doet is beschermen tegen diefstal van de database met hashcodes, zoals nu weer bij eBay. Als mijn financiële site dan geen 2-factor heeft, kan de dief daar inloggen als de hash code te kraken is. Met de opsplitsing lukt dat niet. Is het dan toch een beetje 2 factor? Het geeft mij in ieder geval gemoedsrust: mijn wachtwoorden staan in de cloud maar sommige niet helemaal!
Ik deel je ervaring met en gevoelens over LastPass. Ik zou niet weten hoe ik het zonder zou moeten doen, alhoewel desktop applicatie support toch nog een lange weg te gaan heeft. Maar dat deel is zeker bruikbaar.
Even ere wie ere toekomt: het was CSO 09:39 die 2 step authenticatie noemde.
Ik heb bij 'mijn' 2 factor authentication een vraagteken gezet omdat de opdeling van een wachtwoord in 2 delen (auto invulling door lastpass + mijn handmatig deel) op transactie niveau niet onder 2 factor valt. Althans, het beschermt niet tegen het risico van afluisteren/afkijken/keylogging. Een ING SMS als reactie op het inloggen met een eenmalige code beschermt wel.
Maar wat die 2-deling van het wachtwoord wel doet is beschermen tegen diefstal van de database met hashcodes, zoals nu weer bij eBay. Als mijn financiële site dan geen 2-factor heeft, kan de dief daar inloggen als de hash code te kraken is. Met de opsplitsing lukt dat niet. Is het dan toch een beetje 2 factor? Het geeft mij in ieder geval gemoedsrust: mijn wachtwoorden staan in de cloud maar sommige niet helemaal!
Ik deel je ervaring met en gevoelens over LastPass. Ik zou niet weten hoe ik het zonder zou moeten doen, alhoewel desktop applicatie support toch nog een lange weg te gaan heeft. Maar dat deel is zeker bruikbaar.
Beste xxxxxxxxxx,
Dank u dat u nogmaals contact met ons heeft opgenomen. Ik begrijp dat de informatie die u via onze automatische e-mail heeft ontvangen, u niet de gewenste oplossing heeft aangeboden. Ik help u graag verder bij het beantwoorden van uw vraag
Ik begrijp dat u graag wilt weten waarom wachtwoorden bij PayPal niet langer mogen zijn dan 20 tekens. Helaas kan ik uw vraag niet dieper beantwoorden dan dat het een interne keuze is geweest. Deze keuze is ongetwijfeld een wel overwogen keuze geweest. Echter kan ik u geen informatie verstrekken over de besluitvorming wat betreft bedrijfsvoering omtrent beveiliging. Ik ben persoonlijk met u eens dat een wachtwoord zin geen slechte optie zou zijn, maar binnen PayPal is toch gekozen voor wachtwoorden.
Ik hoop u hiermee voldoende te hebben geïnformeerd en wens u een prettige dag verder.
Mocht u verdere hulp nodig hebben, laat het dan alstublieft weten.
Met vriendelijke groet,
Walther
PayPal
Copyright © 1999-2014 PayPal. Alle rechten voorbehouden. PayPal (Europe) S.à r.l. & Cie, S.C.A. (Société en Commandite par Actions).
Gevestigd te Luxemburg, 22-24 Boulevard Royal, 5ème étage, L-2449
RCS Luxembourg B 118 349.
Dank u dat u nogmaals contact met ons heeft opgenomen. Ik begrijp dat de informatie die u via onze automatische e-mail heeft ontvangen, u niet de gewenste oplossing heeft aangeboden. Ik help u graag verder bij het beantwoorden van uw vraag
Ik begrijp dat u graag wilt weten waarom wachtwoorden bij PayPal niet langer mogen zijn dan 20 tekens. Helaas kan ik uw vraag niet dieper beantwoorden dan dat het een interne keuze is geweest. Deze keuze is ongetwijfeld een wel overwogen keuze geweest. Echter kan ik u geen informatie verstrekken over de besluitvorming wat betreft bedrijfsvoering omtrent beveiliging. Ik ben persoonlijk met u eens dat een wachtwoord zin geen slechte optie zou zijn, maar binnen PayPal is toch gekozen voor wachtwoorden.
Ik hoop u hiermee voldoende te hebben geïnformeerd en wens u een prettige dag verder.
Mocht u verdere hulp nodig hebben, laat het dan alstublieft weten.
Met vriendelijke groet,
Walther
PayPal
Copyright © 1999-2014 PayPal. Alle rechten voorbehouden. PayPal (Europe) S.à r.l. & Cie, S.C.A. (Société en Commandite par Actions).
Gevestigd te Luxemburg, 22-24 Boulevard Royal, 5ème étage, L-2449
RCS Luxembourg B 118 349.
26-05-2014, 17:57 door
Guy Fawkes Maskers
paypal insecure
@ 15:15 door NedFox
Dank je voor de informatie. Sites als PayPal, Skype, Onedrive en eBay zijn de veroorzakers van het falen van het gebruik van wachtzinnen (passpohrases). Ik vind wachtzinnen in principe beter dan wachtwoorden.
Ook onze ING doet mee! Bij alle voorbeelden mogen maximaal 20 tekens gebruikt worden. BinckBank heeft zelfs 15 als maximum en staat geen speciale tekens toe! Enige goede uitzondering is de online Knab bank: maximaal 32 tekens, maar ze eisen weer wel minimaal tekens als A a 1 @ te gebruiken.
Voor een wachtzin voor een financiële site vind ik dat minimaal zo'n 25-27 tekens nodig nodig zijn (5 woorden van gemiddeld 5 tekens (zie woordenboeken van Diceware ) + 2 tekens om aan cijfers en speciale tekens te voldoen. De consumentenbond is een groot voorstander van wachtzinnen. Zou goed zijn als ze de sites die dat niet toestaan, aanschrijven.
Dank je voor de informatie. Sites als PayPal, Skype, Onedrive en eBay zijn de veroorzakers van het falen van het gebruik van wachtzinnen (passpohrases). Ik vind wachtzinnen in principe beter dan wachtwoorden.
Ook onze ING doet mee! Bij alle voorbeelden mogen maximaal 20 tekens gebruikt worden. BinckBank heeft zelfs 15 als maximum en staat geen speciale tekens toe! Enige goede uitzondering is de online Knab bank: maximaal 32 tekens, maar ze eisen weer wel minimaal tekens als A a 1 @ te gebruiken.
Voor een wachtzin voor een financiële site vind ik dat minimaal zo'n 25-27 tekens nodig nodig zijn (5 woorden van gemiddeld 5 tekens (zie woordenboeken van Diceware ) + 2 tekens om aan cijfers en speciale tekens te voldoen. De consumentenbond is een groot voorstander van wachtzinnen. Zou goed zijn als ze de sites die dat niet toestaan, aanschrijven.
Hoi beste lezers, ik gebruik (wel noodgedwongen) E-Bay en Pay-Pal omdat sommige aanbieders/bedrijven zoals bepaalde luchtvaartmaatschappijen/vrijmarkten deze betaalwijze hanteren, het is een internationale betalingswijze. En daar zit 'm dan al de kneep. Internationaal betekent ook 'grote kans' op internationaal misbruik van iemand anders account.
Tip 1. zet er alleen geld op als u het nodig heeft voor een transactie
Tip 2. mocht u dat vervelend vinden, elke keer nadat u betaald hebt, het wachtwoord veranderen!
Knippen en plakken kan mislukken door bepaalde configuratie instellingen van uw PC
Dan maar handmatig intoetsen....
NB: bewaar uw wachtwoorden in een 'ook' beveiligd Word bestand en anders op een usb stick die ook beveiligd kan worden door een persoonlijk wachtwoord of vingerafdruk.
Ik hoop u hiermee van dienst te zijn en u voortaan veilig en safe gebruik kan maken van diverse betalingswijzen.
Tip 1. zet er alleen geld op als u het nodig heeft voor een transactie
Tip 2. mocht u dat vervelend vinden, elke keer nadat u betaald hebt, het wachtwoord veranderen!
Knippen en plakken kan mislukken door bepaalde configuratie instellingen van uw PC
Dan maar handmatig intoetsen....
NB: bewaar uw wachtwoorden in een 'ook' beveiligd Word bestand en anders op een usb stick die ook beveiligd kan worden door een persoonlijk wachtwoord of vingerafdruk.
Ik hoop u hiermee van dienst te zijn en u voortaan veilig en safe gebruik kan maken van diverse betalingswijzen.
30-05-2014, 09:41 door
Dick99999
@10:27 Anoniem
"beveiligd Word bestand", bestaan die? Ik zou maar vlug overstappen op een wachtwoord manager zoals LastPass, of Keypass als je de wachtwoorden niet in de Cloud wilt bewaren. Ben je ook af van het intikken van wachtwoorden.
"beveiligd Word bestand", bestaan die? Ik zou maar vlug overstappen op een wachtwoord manager zoals LastPass, of Keypass als je de wachtwoorden niet in de Cloud wilt bewaren. Ben je ook af van het intikken van wachtwoorden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.