Digitale Wachtkamer gewaarschuwd voor niet hashen van wachtwoorden
De Digitale Wachtkamer, waar een aanvaller de gegevens van 500.000 Belgische patiënten wist te stelen, is in 2013 al door een gebruiker gewaarschuwd voor het niet hashen van wachtwoorden. Gebruikers die voor de optie "wachtwoord vergeten?" kozen kregen hun oorspronkelijke wachtwoord toegestuurd. Dit geeft aan dat de Digitale Wachtkamer bij de opslag van wachtwoorden geen gebruik van hashing maakte.
Een hash is een gecodeerde versie van het wachtwoord die wordt opgeslagen. Zodoende hebben aanvallers geen directe toegang tot de wachtwoorden als ze erin slagen de website te hacken. Digitale Wachtkamer ontkent echter dat de wachtwoorden onversleuteld werden opgeslagen. "De wachtwoorden in de database zaten wel degelijk geëncrypteerd in de database. Maar op een of andere manier heeft de hacker die kunnen ontcijferen", zegt Ronny Paesen van Digitale Wachtkamer tegenover Data News.
Een aanvaller wist via een beveiligingslek toegang tot de database van de website te krijgen en maakte allerlei gegevens buit, waaronder e-mailadressen, telefoonnummers, wachtwoorden en reden voor het huisartsbezoek. Voor zijn 'stilzwijgen' eiste de aanvaller 86.000 euro. Het beveiligingslek is inmiddels verholpen. Uit onderzoek van Security.NL blijkt dat de Digitale Wachtkamer nu wel met een resetlink werkt en het oorspronkelijke wachtwoord niet meer terugstuurt.
Dus parlementen, politici c.q. volksvertegenwoordigers....doe hier wat aan. De bal ligt bij u.
Dit is niet enkel zo met ICT security zaken, maar bijvoorbeeld ook als er iemand over een losliggende tegel valt en dit werd reeds (meermaals) gemeld aan de verantwoordelijken.
Verder zijn er wel degelijke verplichtingen over hoe er moet omgesprongen worden met persoonlijk en confidentiële data. Wachtwoorden vallen onder confidentiële data.
Hashing is een vorn van encryptie die bedoeld is om maar één kant op te gaan. Het wachtwoord wordt bij registratie gehasht en is (met salting/stretching) niet herleidbaar naar het originele wachtwoord. Bij inloggen wordt de invoer ook gehasht en vergeleken met de hash in de database. Komen die overeen, dan is het een geldige inlogpoging.
Verwacht niet dat iedereen die op de zelfde wijze hanteert. Slecht gencrypte (terug herleidbaar) worden aangeprezen (verkocht) als hashes. Het is een uitdaging om zoiets fouts zien te weerleggen.
Dat is zeer lastig als met er veel betaald voor heeft en het de standaard is volgens de leverancier.
Digitale Wachtkamer ontkent echter dat de wachtwoorden onversleuteld werden opgeslagen. "De wachtwoorden in de database zaten wel degelijk geëncrypteerd in de database. Maar op een of andere manier heeft de hacker die kunnen ontcijferen", zegt Ronny Paesen van Digitale Wachtkamer tegenover Data News.
Zeker met UTF-8? https://twitter.com/kpnwebcare/status/168371471675174913 :)
-- Serieus: zitten ze al in https://haveibeenpwned.com?
Salting heeft niets te maken met versleutelen. Als je iets versleuteld, kun je het altijd ontsleutelen met de juiste sleutel. Die heeft de aanvaller waarschijnlijk weten te bemachtigen. Dat is ook wel logisch als hij op het systeem is geweest waar die wachtwoorden werden gebruikt. Daar staat die sleutel ergens in geheugen of in de code.
Hashing is een eenrichtingsmanier om (o.a.) wachtwoorden te te beschermen tegen openbaar worden. Bij een hash kun je nooit teruggaan naar het oorspronkelijke wachtwoord.
Ja, je zou toch beter verwachten van bezoekers van een security site.
Of juist niet, omdat ze iets willen leren. Wat prijzenswaardig is.
Maar dan moeten ze leren en niet opmerkingen plaatsen alsof ze het zelf weten. Daardoor worden de nieuwelingen weer verkeerd voorgelicht en blijven deze fouten gemaakt worden.
Peter
Nee ook niet met brute forcing. Wel met Rainbow table.
Als je het hashing algoritme kent dan kun je zoveel mogelijk verschillende karakterstrings hashen (dat levert Rainbow tables op) en vervolgens kijken welke eenzelfde hash oplevert (die zal dan ook werken als wachtwoord bijvoorbeeld), maar dat wil niet zeggen dat je zeker weet dat je exact de oorspronkelijke string te pakken hebt. Bij een goede hash is er geen weg terug.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.