Een collega kreeg een melding bij van een app van een groot bedrijf (gpdr laat geen naam toe :)) Dat zijn paswoord niet correct is, niet alle regels werden gerespecteerd. ikzelf die wel een correct paswoord gebruik krijg dus geen melding.
Indien een paswoord correct geHASHd opgeslagen is kan dat bedrijf toch niet weten of er hoofdletters of iets dergelijks in onze paswoorden zitten?
Ik vermoed dus dat de paswoorden opgeslagen zijn en niet de HASH. Wat kunnen we daar aan doen? Kunnen we dir ergens doorgeven of iets dergelijks?
Het betreft dus een Belgisch bedrijf met Belgische klanten!
--
als een site besluit om de eisen aan de passwords op te hogen, kun je maar 2 dingen doen:
1) iedereen dwingen om zijn password te wijzigen en de nieuwe eisen afdwingen (voor wie een voldoende password had, mag het gelijk blijven)
2) bij inloggen voor het hashen controleren of het aan de eisen voldoet.
De minste overlast geeft optie 2.
Maar voor optie 1 is ook wat te zeggen omdat je in elk geval iedereen eens naar zijn password laat kijken en een vaker veranderend password kan geen kwaad.
Ik ben ook zeer benieuwd naar het precieze moment.
#2 is catering voor laksheid van gebruikers die potentieel veel meer ellende kan veroorzaken; ik zou niet uit mijn weg gaan om zoiets te programmeren waarbij de gebruiker nog steeds vrij is om deze waarschuwing te negeren
> Kunnen we dir ergens doorgeven of iets dergelijks?
Als ze een klantenservice of technische dienst hebben zou je eens kunnen vragen wat voor filosofie hierachter steekt, en of die aanpak nu echt het achterliggende probleem oplost. Hoeveel mensen die gewaarschuwd zijn hebben vervolgens daadwerkelijk hun wachtwoord aangepast? :p
Ik heb dit in actie gezien: daarbij was het na het inloggen een tussenscherm waarin de gebruiker verplicht was om een aan de eisen voldoend wachtwoord te maken.
Zo niet, kwam hij ook niet verder.
Dit is eigenlijk vergelijkbaar met de "u heeft uw wachtwoord al 6 maanden niet meer aangepast" wat ook wel vaker voorkomt.
