Een collega kreeg een melding bij van een app van een groot bedrijf (gpdr laat geen naam toe :)) Dat zijn paswoord niet correct is, niet alle regels werden gerespecteerd. ikzelf die wel een correct paswoord gebruik krijg dus geen melding.
Indien een paswoord correct geHASHd opgeslagen is kan dat bedrijf toch niet weten of er hoofdletters of iets dergelijks in onze paswoorden zitten?
Ik vermoed dus dat de paswoorden opgeslagen zijn en niet de HASH. Wat kunnen we daar aan doen? Kunnen we dir ergens doorgeven of iets dergelijks?
Het betreft dus een Belgisch bedrijf met Belgische klanten!
Ward bedoelt, tijdens het aanmeldingsproces waarbij je een nieuw wachtwoord kiest is een dergelijke melding normaal. Er wordt dan eerst door het systeem gekeken of het wachtwoord voldoet aan de eisen (bijv. minimaal x tekens en letters en cijfers) en pas als het daaraan voldoet wordt er een hash van gemaakt die wordt opgeslagen.
Als jouw collega die melding kreeg terwijl hij al langer is ingeschreven, dan is het inderdaad een vreemd verhaal en klopt er iets niet.
Het zou wel zo kunnen zijn dat op het moment dat hij inlogt, het normale (niet-gehashte) wachtwoord wordt geëvalueerd en dat dan die melding wordt getoond. Het hoeft dan niet per se zo te zijn dat dat niet-gehashte wachtwoord ook in de database is opgeslagen.
Het zou wel zo kunnen zijn dat op het moment dat hij inlogt, het normale (niet-gehashte) wachtwoord wordt geëvalueerd en dat dan die melding wordt getoond.
Dat snijdt natuurlijk geen hout. De enige terugkoppeling die een login zou moeten geven is of deze al dan niet was geslaagd. Dat daarbij niet aan bepaalde criteria zou zijn voldaan, dat heb ik nog nooit bij een login gezien eigenlijk. Dit lijkt mij ook de verkeerde plek om daar over te klagen.
Dit bedrijf kan ook prima afdwingen dat iemand zijn/haar login aanpast. Dit zouden ze kunnen doen door zo'n account te flaggen zodat wanneer deze persoon de eerstvolgende keer inlogt je direct een dialoog krijgt om een nieuw wachtwoord op te geven waarbij de mogelijk nieuwe criteria verplicht moeten worden toegepast.
Mijn eerste ingeving bij zo'n bericht zou een phishing e-mail/bericht zijn eigenlijk.
En nee, als de wachtwoorden gehashed zijn opgeslagen kun je daaruit niet herleiden dat dit een zwak wachtwoord was.
Als het bedrijf de wachtwoorden niet gehashed opslaat dan is dat nou niet bepaald een professionele partij, om niet te spreken van het feit dat er sinds kort vele strengere privacyregels gelden voor persoonlijke gegevens, met forse boetes als blijkt dat zij hun zaken niet op orde hebben. Misschien zou je daar eens een balletje over kunnen opgooien ;).
>> Dat snijdt natuurlijk geen hout. ... dat heb ik nog nooit bij een login gezien eigenlijk. Dit lijkt mij ook de verkeerde plek om daar over te klagen.
Klopt, maar het betreft een Belgische website hè ;-)
De enige terugkoppeling die een login zou moeten geven is of deze al dan niet was geslaagd.
... als de wachtwoorden gehashed zijn opgeslagen kun je daaruit niet herleiden dat dit een zwak wachtwoord was.
Maar het kan wel. Bij het controleren van het wachtwoord heb je het plain-text wachtwoord in handen (voordat je het gaat hashen / met de hash gaat vergelijken), dus dan kun je er meteen eens even goed naar kijken (het is raar, maar het kan wel).
Ik kan me voorstellen dat ze ontdekt hebben dat sommige gebruikers wel heel eenvoudige wachtwoorden hebben gekozen, en dat ze dat nu met terugwerkende kracht nog even willen herstellen. Dit zou je sowieso constant kunnen doen: elke keer bij invoeren het wachtwoord bij https://haveibeenpwned.com/ controleren. Krijg je een "hit" terug, dan meteen afdwingen dat het wachtwoord gewijzigd wordt.
Ja het kan, maar het lijkt mij een zeer vreemde gang van zaken. En de vraag is of gebruikers daar dan gehoor aan geven. De makkelijkste manier is gewoon afdwingen, op de eerder beschreven wijze: indien je niet wilt dat iemand kan kiezen, zorg er simpelweg voor dat er geen keuze is.
