Veiligheid van wachtwoorden op fora
4 plaatsers
Pagina 1 van 1• Deel
Veiligheid van wachtwoorden op fora
Een aantal jaar geleden zat ik op een forum welke gemaakt was via actieforum.com. Een aantal maanden geleden kwam iemand die ik daarvan nog kende met het idee om weer eens op het forum te gaan kijken. Ik was helaas mijn wachtwoord vergeten, dus wilde ik deze resetten. Via de website dus mijn wachtwoord opgevraagd en tot mijn grote verbazing, of eerder schrik, kreeg ik mijn wachtwoord gewoon via e-mail toegezonden! Blijkbaar is de beveiliging dus zo dat wachtwoorden in plain text in een database staan. Waar dat 10 jaar geleden misschien een degelijke oplossing was, lijkt mij dit anno 2018 ver ondermaats qua beveiliging. Ik heb meteen ook iedereen maar even aangereden zijn/haar wachtwoord te veranderen naar een wachtwoord wat ze nergens anders gebruiken.
Toen zocht ik naar contactinformatie van actieforum om hier meer navraag naar te doen, maar kon dit nergens vinden. Zodoende ben ik op dit forum uitgekomen, toen ik me hier echter aanmeldde; precies hetzelfde! Mijn wachtwoord werd gewoon in een mail verstuurd.
Mijn vraag is dan ook;
-Hoe is het mogelijk dat wachtwoorden niet gehasht in een database staan?
-Kan hier verandering in komen zodat de veiligheid van wachtwoorden kan worden gegarandeerd?
Alvast bedankt!
~Backslide
Toen zocht ik naar contactinformatie van actieforum om hier meer navraag naar te doen, maar kon dit nergens vinden. Zodoende ben ik op dit forum uitgekomen, toen ik me hier echter aanmeldde; precies hetzelfde! Mijn wachtwoord werd gewoon in een mail verstuurd.
Mijn vraag is dan ook;
-Hoe is het mogelijk dat wachtwoorden niet gehasht in een database staan?
-Kan hier verandering in komen zodat de veiligheid van wachtwoorden kan worden gegarandeerd?
Alvast bedankt!
~Backslide
Re: Veiligheid van wachtwoorden op fora
Bij veel fora en social media krijg je, je WW gewoon via de mail.
Neem aan dat verder niemand bij je mail adres kan komen.
Ben lid geweest op een fora met een eigen domein en ook daar kreeg ik mijn WW gewoon via de mail.
Je kan als je dat hebt gedaan je WW veranderen in de WW die voor jou bestemd is.
Je moet het zien als een noodoplossing tot jij het weer hebt veranderd.
Neem aan dat verder niemand bij je mail adres kan komen.
Ben lid geweest op een fora met een eigen domein en ook daar kreeg ik mijn WW gewoon via de mail.
Je kan als je dat hebt gedaan je WW veranderen in de WW die voor jou bestemd is.
Je moet het zien als een noodoplossing tot jij het weer hebt veranderd.
Forum Tools | Tutorials | Stijl aanvraag | Forumpromotie goedkeuring | Wachtwoord vergeten?
Geen ondersteuning via PM | Ondersteuningsvraag opgelost? Markeer je topic dan met het icoon
Liesbeth*- Globaal Moderator
-
Berichten : 1882
Leeftijd : 70
Registratie : 13-06-13
Oprichter : Ja
Templates : Ja
CSS : Ja - Medewerker awardJe verdient deze award als je medewerker bent van Actieforum1000 berichten of meer gepostJe hebt 1000 berichten of meer gepostFeestdagen 2022Fijne Feestdagen namens team Actieforum!Lid sinds +10 jaarU bent al meer dan 10 jaar lidFeestdagen 2023Fijne Feestdagen namens team Actieforum!1000 berichten of meer zijn als leuk gemarkeerdWanneer je 1000 of meer likes op je berichten krijgt
Re: Veiligheid van wachtwoorden op fora
Liesbeth* schreef:Bij veel fora en social media krijg je, je WW gewoon via de mail.
Neem aan dat verder niemand bij je mail adres kan komen.
Ben lid geweest op een fora met een eigen domein en ook daar kreeg ik mijn WW gewoon via de mail.
Je kan als je dat hebt gedaan je WW veranderen in de WW die voor jou bestemd is.
Je moet het zien als een noodoplossing tot jij het weer hebt veranderd.
Bedankt voor je reactie Liesbeth,
maar het feit dat je een nieuw wachtwoord krijgt is héél iets anders dan je eigen wachtwoord terug krijgen. Stel dat je je wachtwoord kwijt bent op een website waar deze wel gehasht op worden geslagen, dan kan de website een nieuw wachtwoord genereren. Deze kan hij dan (gehasht) wegzetten in de database en eenmalig opsturen via de e-mail.
Het feit dat mijn wachtwoord via de e-mail wordt opgestuurd is niet het feit dat mij zorgen baat, het feit dat mijn wachtwoord gewoon in een database staat baat mij zorgen.
Re: Veiligheid van wachtwoorden op fora
Nou heel eerlijk ik heb nog nooit en ook bij actieforum niet en bij geen enkel iets waar ik een WW nodig ben, mijn eigen WW terug gekregen.
Want als jij jou WW niet meer weet dan weet je denk ik ook niet welke je krijgt toegezonden of dat jou WW is.
Het kan er dus wel veel op hebben geleken wat cijfers en wellicht letters betreft.
Maar echt het hele fijne weet ik ook niet.
Zeg nu even mijn ervaringen met vergeten wachtwoorden.
Want als jij jou WW niet meer weet dan weet je denk ik ook niet welke je krijgt toegezonden of dat jou WW is.
Het kan er dus wel veel op hebben geleken wat cijfers en wellicht letters betreft.
Maar echt het hele fijne weet ik ook niet.
Zeg nu even mijn ervaringen met vergeten wachtwoorden.
Forum Tools | Tutorials | Stijl aanvraag | Forumpromotie goedkeuring | Wachtwoord vergeten?
Geen ondersteuning via PM | Ondersteuningsvraag opgelost? Markeer je topic dan met het icoon
Liesbeth*- Globaal Moderator
-
Berichten : 1882
Leeftijd : 70
Registratie : 13-06-13
Oprichter : Ja
Templates : Ja
CSS : Ja - Medewerker awardJe verdient deze award als je medewerker bent van Actieforum1000 berichten of meer gepostJe hebt 1000 berichten of meer gepostFeestdagen 2022Fijne Feestdagen namens team Actieforum!Lid sinds +10 jaarU bent al meer dan 10 jaar lidFeestdagen 2023Fijne Feestdagen namens team Actieforum!1000 berichten of meer zijn als leuk gemarkeerdWanneer je 1000 of meer likes op je berichten krijgt
Re: Veiligheid van wachtwoorden op fora
Ik weet d.m.v eigen ervaringen met websites en wachtwoorden, dat je heel slim met dit soort dingen om kan gaan. Je kan dus met PHP zelf het wachtwoord op een e-mail doorsturen, terwijl je 'm als hash in de database stopt. Moet je dit door middel van je functionaliteit aangeven. Ik neem aan dat de software engineers in Frankrijk slim genoeg zijn om een wachtwoord als hash in de database te stoppen en niet als een normaal wachtwoord.
Ook heb ik in al die jaren dat ik bij actieforum zit, dit jaar is dat 7 jaar, nog nooit gehad dat iemand in een database is gekomen en/of een account gehackt heeft. Heb laatst zelf een keer een wachtwoord opnieuw moeten opvragen en kreeg een compleet random gegenereerde wachtwoord vanuit het systeem toegestuurd om deze daarna te veranderen.
Ik ga er dan ook van uit dat ze in Frankrijk hier zeker weten wel aandacht aan besteden i.v.m. privacy wetgevingen etc. die gelden en dat men ook weet dat in Nederland bepaalde privacy wetgevingen gelden. Neem het voorbeeld van Facebook met privacy instellingen en het land Duitsland. De manier waarop FB bepaalde dingen had willen doen, mocht niet van de Duitse wetgeving en hier had FB aan te voldoen, dus geldt dit ook voor Actieforum.
Ook heb ik in al die jaren dat ik bij actieforum zit, dit jaar is dat 7 jaar, nog nooit gehad dat iemand in een database is gekomen en/of een account gehackt heeft. Heb laatst zelf een keer een wachtwoord opnieuw moeten opvragen en kreeg een compleet random gegenereerde wachtwoord vanuit het systeem toegestuurd om deze daarna te veranderen.
Ik ga er dan ook van uit dat ze in Frankrijk hier zeker weten wel aandacht aan besteden i.v.m. privacy wetgevingen etc. die gelden en dat men ook weet dat in Nederland bepaalde privacy wetgevingen gelden. Neem het voorbeeld van Facebook met privacy instellingen en het land Duitsland. De manier waarop FB bepaalde dingen had willen doen, mocht niet van de Duitse wetgeving en hier had FB aan te voldoen, dus geldt dit ook voor Actieforum.
Dragonytail- Forumlid
-
Berichten : 52
Registratie : 13-04-16
Oprichter : Ja
Templates : Ja
CSS : Ja - Lid sinds +5 jaarU bent al meer dan 5 jaar lid200 berichten of meer gepostJe hebt 200 berichten of meer gepostFeestdagen 2022Fijne Feestdagen namens team Actieforum!Oud Actieforum MedewerkerDeze gebruiker is een oud Actieforum medewerker.Feestdagen 2023Fijne Feestdagen namens team Actieforum!
Re: Veiligheid van wachtwoorden op fora
Dragonytail schreef:Ik weet d.m.v eigen ervaringen met websites en wachtwoorden, dat je heel slim met dit soort dingen om kan gaan. Je kan dus met PHP zelf het wachtwoord op een e-mail doorsturen, terwijl je 'm als hash in de database stopt.
Kan je uitleggen wat je hier precies mee bedoelt? Want ik ga er vanuit dat mijn wachtwoord érgens moet zijn opgeslagen als het naar mij verstuurd wordt via e-mail. Want waar kan anders mijn wachtwoord vandaan komen?
Ik denk dat niemand er vanuit gaat dat dit gebeurt, maar dit geeft geen garantie voor de toekomst. Zeker met zaken als IT-beveiliging gaan er vaak dingen fout "omdat het goed liep zoals het liep". Ik geef nu alleen bijtijds (ik hoop niet dat er ooit een forum wél is gekraakt) aan dat er mijn inziens tekort wordt gedaan aan de beveiliging. Ik kan dit fout zien, maar tot nu toe ben ik daar nog niet overtuigd van.Dragonytail schreef:Ook heb ik in al die jaren dat ik bij actieforum zit, dit jaar is dat 7 jaar, nog nooit gehad dat iemand in een database is gekomen en/of een account gehackt heeft.
Re: Veiligheid van wachtwoorden op fora
Beste @Backslide ,
Bedankt voor je bericht hierover, wij als beheerdersteam gaan je bericht even doorsturen naar de organisatie Forumactif in Frankrijk. Hierop kunnen wij geen correct antwoord over geven aangezien wij vrijwilligers zijn en geen invloed hebben op de technische kant van onze organisatie.
Zodra we een terugkoppeling hebben gekregen laten we dit weten, we hopen op je begrip dat dit mogelijk 1 a 2 dagen kan duren voor we een antwoord hebben hierop aangezien onze organisatie dit zal moeten bekijken.
Ik verplaats je topic ook naar onze "Globale Technische problemen" forumsectie.
Met vriendelijke groet,
Joost
Hoofdbeheerder van het Nederlandse ondersteuningsforum Actieforum.
Bedankt voor je bericht hierover, wij als beheerdersteam gaan je bericht even doorsturen naar de organisatie Forumactif in Frankrijk. Hierop kunnen wij geen correct antwoord over geven aangezien wij vrijwilligers zijn en geen invloed hebben op de technische kant van onze organisatie.
Zodra we een terugkoppeling hebben gekregen laten we dit weten, we hopen op je begrip dat dit mogelijk 1 a 2 dagen kan duren voor we een antwoord hebben hierop aangezien onze organisatie dit zal moeten bekijken.
Ik verplaats je topic ook naar onze "Globale Technische problemen" forumsectie.
Met vriendelijke groet,
Joost
Hoofdbeheerder van het Nederlandse ondersteuningsforum Actieforum.
Forum Tools | Tutorials | Stijl aanvraag | Forumpromotie goedkeuring | Wachtwoord vergeten?
Geen ondersteuning via PM | Ondersteuningsvraag opgelost? Markeer je topic dan met het icoon
Joost- Beheerder
-
Berichten : 5895
Leeftijd : 33
Registratie : 31-08-07
Oprichter : Ja
Templates : Ja
CSS : Ja - 1000 berichten of meer zijn als leuk gemarkeerdWanneer je 1000 of meer likes op je berichten krijgtLid sinds +15 jaarU bent al meer dan 15 jaar lidMedewerker awardJe verdient deze award als je medewerker bent van Actieforum1000 berichten of meer gepostJe hebt 1000 berichten of meer gepostFeestdagen 2022Fijne Feestdagen namens team Actieforum!Feestdagen 2023Fijne Feestdagen namens team Actieforum!
Re: Veiligheid van wachtwoorden op fora
Beste Joost,
Bedankt voor je bericht! Ik kan het al zeer waarderen dat er wat mee wordt gedaan. Ik wist zelf ook niet waar ik terecht kon met mijn vraag, aangezien het niet helemaal duidelijk wie de organisatie is achter actieforum. Maar bedankt voor de snelle berichten en ik zie graag een reactie tegemoet!
Bedankt voor je bericht! Ik kan het al zeer waarderen dat er wat mee wordt gedaan. Ik wist zelf ook niet waar ik terecht kon met mijn vraag, aangezien het niet helemaal duidelijk wie de organisatie is achter actieforum. Maar bedankt voor de snelle berichten en ik zie graag een reactie tegemoet!
Re: Veiligheid van wachtwoorden op fora
Backslide schreef:Beste Joost,
Bedankt voor je bericht! Ik kan het al zeer waarderen dat er wat mee wordt gedaan. Ik wist zelf ook niet waar ik terecht kon met mijn vraag, aangezien het niet helemaal duidelijk wie de organisatie is achter actieforum. Maar bedankt voor de snelle berichten en ik zie graag een reactie tegemoet!
Geen probleem, we gaan dit doorsturen. Wij als beheer kunnen niks beloven dat hier iets mee gedaan zal worden wij hebben geen invloed op de technische kant van onze organisatie.
Forum Tools | Tutorials | Stijl aanvraag | Forumpromotie goedkeuring | Wachtwoord vergeten?
Geen ondersteuning via PM | Ondersteuningsvraag opgelost? Markeer je topic dan met het icoon
Joost- Beheerder
-
Berichten : 5895
Leeftijd : 33
Registratie : 31-08-07
Oprichter : Ja
Templates : Ja
CSS : Ja - 1000 berichten of meer zijn als leuk gemarkeerdWanneer je 1000 of meer likes op je berichten krijgtLid sinds +15 jaarU bent al meer dan 15 jaar lidMedewerker awardJe verdient deze award als je medewerker bent van Actieforum1000 berichten of meer gepostJe hebt 1000 berichten of meer gepostFeestdagen 2022Fijne Feestdagen namens team Actieforum!Feestdagen 2023Fijne Feestdagen namens team Actieforum!
Soortgelijke onderwerpen
» Meerdere fora
» Wachtwoorden & Winkeltje
» Verloren wachtwoorden
» [vraag] hoe stel je wachtwoorden in op pagina's?
» Fora headers
» Wachtwoorden & Winkeltje
» Verloren wachtwoorden
» [vraag] hoe stel je wachtwoorden in op pagina's?
» Fora headers
Pagina 1 van 1
Permissies van dit forum:
Je mag geen reacties plaatsen in dit subforum