Veiligheid van wachtwoorden op fora

Een aantal jaar geleden zat ik op een forum welke gemaakt was via actieforum.com. Een aantal maanden geleden kwam iemand die ik daarvan nog kende met het idee om weer eens op het forum te gaan kijken. Ik was helaas mijn wachtwoord vergeten, dus wilde ik deze resetten. Via de website dus mijn wachtwoord opgevraagd en tot mijn grote verbazing, of eerder schrik, kreeg ik mijn wachtwoord gewoon via e-mail toegezonden! Blijkbaar is de beveiliging dus zo dat wachtwoorden in plain text in een database staan. Waar dat 10 jaar geleden misschien een degelijke oplossing was, lijkt mij dit anno 2018 ver ondermaats qua beveiliging. Ik heb meteen ook iedereen maar even aangereden zijn/haar wachtwoord te veranderen naar een wachtwoord wat ze nergens anders gebruiken.
Toen zocht ik naar contactinformatie van actieforum om hier meer navraag naar te doen, maar kon dit nergens vinden. Zodoende ben ik op dit forum uitgekomen, toen ik me hier echter aanmeldde; precies hetzelfde! Mijn wachtwoord werd gewoon in een mail verstuurd.

Mijn vraag is dan ook;
-Hoe is het mogelijk dat wachtwoorden niet gehasht in een database staan?
-Kan hier verandering in komen zodat de veiligheid van wachtwoorden kan worden gegarandeerd?


Alvast bedankt!

~Backslide

Bij veel fora en social media krijg je, je WW gewoon via de mail.
Neem aan dat verder niemand bij je mail adres kan komen.

Ben lid geweest op een fora met een eigen domein en ook daar kreeg ik mijn WW gewoon via de mail.
Je kan als je dat hebt gedaan je WW veranderen in de WW die voor jou bestemd is.
Je moet het zien als een noodoplossing tot jij het weer hebt veranderd.

Liesbeth* schreef:Bij veel fora en social media krijg je, je WW gewoon via de mail.
Neem aan dat verder niemand bij je mail adres kan komen.

Ben lid geweest op een fora met een eigen domein en ook daar kreeg ik mijn WW gewoon via de mail.
Je kan als je dat hebt gedaan je WW veranderen in de WW die voor jou bestemd is.
Je moet het zien als een noodoplossing tot jij het weer hebt veranderd.

Bedankt voor je reactie Liesbeth,

maar het feit dat je een nieuw wachtwoord krijgt is héél iets anders dan je eigen wachtwoord terug krijgen. Stel dat je je wachtwoord kwijt bent op een website waar deze wel gehasht op worden geslagen, dan kan de website een nieuw wachtwoord genereren. Deze kan hij dan (gehasht) wegzetten in de database en eenmalig opsturen via de e-mail.
Het feit dat mijn wachtwoord via de e-mail wordt opgestuurd is niet het feit dat mij zorgen baat, het feit dat mijn wachtwoord gewoon in een database staat baat mij zorgen.

Nou heel eerlijk ik heb nog nooit en ook bij actieforum niet en bij geen enkel iets waar ik een WW nodig ben, mijn eigen WW terug gekregen.
Want als jij jou WW niet meer weet dan weet je denk ik ook niet welke je krijgt toegezonden of dat jou WW is.

Het kan er dus wel veel op hebben geleken wat cijfers en wellicht letters betreft.
Maar echt het hele fijne weet ik ook niet.
Zeg nu even mijn ervaringen met vergeten wachtwoorden.

Ik weet d.m.v eigen ervaringen met websites en wachtwoorden, dat je heel slim met dit soort dingen om kan gaan. Je kan dus met PHP zelf het wachtwoord op een e-mail doorsturen, terwijl je 'm als hash in de database stopt. Moet je dit door middel van je functionaliteit aangeven. Ik neem aan dat de software engineers in Frankrijk slim genoeg zijn om een wachtwoord als hash in de database te stoppen en niet als een normaal wachtwoord.

Ook heb ik in al die jaren dat ik bij actieforum zit, dit jaar is dat 7 jaar, nog nooit gehad dat iemand in een database is gekomen en/of een account gehackt heeft. Heb laatst zelf een keer een wachtwoord opnieuw moeten opvragen en kreeg een compleet random gegenereerde wachtwoord vanuit het systeem toegestuurd om deze daarna te veranderen.

Ik ga er dan ook van uit dat ze in Frankrijk hier zeker weten wel aandacht aan besteden i.v.m. privacy wetgevingen etc. die gelden en dat men ook weet dat in Nederland bepaalde privacy wetgevingen gelden. Neem het voorbeeld van Facebook met privacy instellingen en het land Duitsland. De manier waarop FB bepaalde dingen had willen doen, mocht niet van de Duitse wetgeving en hier had FB aan te voldoen, dus geldt dit ook voor Actieforum.

Dragonytail schreef:Ik weet d.m.v eigen ervaringen met websites en wachtwoorden, dat je heel slim met dit soort dingen om kan gaan. Je kan dus met PHP zelf het wachtwoord op een e-mail doorsturen, terwijl je 'm als hash in de database stopt.

Kan je uitleggen wat je hier precies mee bedoelt? Want ik ga er vanuit dat mijn wachtwoord érgens moet zijn opgeslagen als het naar mij verstuurd wordt via e-mail. Want waar kan anders mijn wachtwoord vandaan komen?

Dragonytail schreef:Ook heb ik in al die jaren dat ik bij actieforum zit, dit jaar is dat 7 jaar, nog nooit gehad dat iemand in een database is gekomen en/of een account gehackt heeft.

Ik denk dat niemand er vanuit gaat dat dit gebeurt, maar dit geeft geen garantie voor de toekomst. Zeker met zaken als IT-beveiliging gaan er vaak dingen fout "omdat het goed liep zoals het liep". Ik geef nu alleen bijtijds (ik hoop niet dat er ooit een forum wél is gekraakt) aan dat er mijn inziens tekort wordt gedaan aan de beveiliging. Ik kan dit fout zien, maar tot nu toe ben ik daar nog niet overtuigd van.

Beste @Backslide ,

Bedankt voor je bericht hierover, wij als beheerdersteam gaan je bericht even doorsturen naar de organisatie Forumactif in Frankrijk. Hierop kunnen wij geen correct antwoord over geven aangezien wij vrijwilligers zijn en geen invloed hebben op de technische kant van onze organisatie.
Zodra we een terugkoppeling hebben gekregen laten we dit weten, we hopen op je begrip dat dit mogelijk 1 a 2 dagen kan duren voor we een antwoord hebben hierop aangezien onze organisatie dit zal moeten bekijken.

Ik verplaats je topic ook naar onze "Globale Technische problemen" forumsectie.

Met vriendelijke groet,

Joost
Hoofdbeheerder van het Nederlandse ondersteuningsforum Actieforum.

Beste Joost,

Bedankt voor je bericht! Ik kan het al zeer waarderen dat er wat mee wordt gedaan. Ik wist zelf ook niet waar ik terecht kon met mijn vraag, aangezien het niet helemaal duidelijk wie de organisatie is achter actieforum. Maar bedankt voor de snelle berichten en ik zie graag een reactie tegemoet!

Backslide schreef:Beste Joost,

Bedankt voor je bericht! Ik kan het al zeer waarderen dat er wat mee wordt gedaan. Ik wist zelf ook niet waar ik terecht kon met mijn vraag, aangezien het niet helemaal duidelijk wie de organisatie is achter actieforum. Maar bedankt voor de snelle berichten en ik zie graag een reactie tegemoet!

Geen probleem, we gaan dit doorsturen. Wij als beheer kunnen niks beloven dat hier iets mee gedaan zal worden wij hebben geen invloed op de technische kant van onze organisatie.