wachtwoord te zwak

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Jan R

Jan R

02/06/2022 13:29:26
Quote Anchor link
Hoi

Ik heb op een site de melding gekregen dat mijn wachtwoord te zwak zou zijn.

Hoe kan een site welke de wachtwoorden versleuteld opslaat en met koekjes inlogt zonder het wachtwoord op te slaan in een koekje, sowieso een slecht idee) weten dat het wachtwoord te zwak zou zijn?

Jan
 
PHP hulp

PHP hulp

26/09/2022 01:43:36
 
Ivo P

Ivo P

02/06/2022 13:34:12
Quote Anchor link
Op het moment dat jij inlogt, heeft het inlog script het password onversleuteld in handen.

Nadat succesvol in ingelogd, kan het script teruggrijpen op die onversleutelde password en dan controleren of het password sterk genoeg was:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
if(isPost()) {

 $user = $_POST['user'];
 $passOnversleuteld = $_POST['pass'];

 if(checkKanInloggen($user, $passOnversleuteld)} {

   // we zijn ingelogd nu controleren sterk?
   if(!isSterkPass($passOnversleuteld)) {

    echo 'niet sterk';
   }

 }

?>


in de functie checkKanInloggen() wordt pass gehasht en vergeleken met de hash. Maar we hebben vooraf de onversleutelde versie.
 
Adoptive Solution

Adoptive Solution

02/06/2022 13:35:00
Quote Anchor link
Daar gebruiken ze regels voor. Regular Expressions.

Deze doet dat :

https://lowe.github.io/tryzxcvbn/

Dit is zo’n RegEx :

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@_$!%*?& ])[A-Za-z\d@_$!%*?& ]{15,50}$/g


Hiero om te oefenen :

https://regexr.com/3bfsi
 
Jan R

Jan R

02/06/2022 13:51:02
Quote Anchor link
Akkoord op voorwaarde dat er ingelogd wordt met het wachtwoord. Niet als je inlogt met een koekje
 
Ozzie PHP

Ozzie PHP

02/06/2022 16:43:06
Quote Anchor link
Wat voor site hebben we het over? Iets dat we kennen?
 
Ward van der Put
Moderator

Ward van der Put

02/06/2022 17:06:18
Quote Anchor link
Als er uitsluitend een hash wordt gebruikt, is het wachtwoord eventueel ook uit een rainbow table af te leiden. De waarschuwing kan erop wijzen dat je wachtwoord (of eigenlijk de hash) in zo'n rainbow table is aangetroffen.
Gewijzigd op 02/06/2022 17:06:47 door Ward van der Put
 
Ad Fundum

Ad Fundum

02/06/2022 17:32:42
Quote Anchor link
Jan R op 02/06/2022 13:29:26:
Hoe kan een site welke de wachtwoorden versleuteld opslaat en met koekjes inlogt zonder het wachtwoord op te slaan in een koekje, sowieso een slecht idee) weten dat het wachtwoord te zwak zou zijn?

Niet, alleen als je inlogt of je wachtwoord wijzigt kan-ie zo'n melding geven.
Dus als die site dat wel doet, zou ik bijzonder voorzichtig zijn met wat ik er mee zou doen, zo'n site is niet veilig en breekt met wetgeving dat wachtwoorden nooit in plain-text opgeslagen mogen zijn.
 
Jan R

Jan R

02/06/2022 20:29:22
Quote Anchor link
Ad Fundum op 02/06/2022 17:32:42:
Jan R op 02/06/2022 13:29:26:
Hoe kan een site welke de wachtwoorden versleuteld opslaat en met koekjes inlogt zonder het wachtwoord op te slaan in een koekje, sowieso een slecht idee) weten dat het wachtwoord te zwak zou zijn?

Niet, alleen als je inlogt of je wachtwoord wijzigt kan-ie zo'n melding geven.
Dus als die site dat wel doet, zou ik bijzonder voorzichtig zijn met wat ik er mee zou doen, zo'n site is niet veilig en breekt met wetgeving dat wachtwoorden nooit in plain-text opgeslagen mogen zijn.

Dat was ook mijn idee. Daarom had ik hun al om een uitleg gevraagd. Gelukkig gebruik ik een afzonderlijk e-mailadres en ww. Benieuwd of ik antwoord zal krijgen.

Ps Duitse site ivm zonnepanelen
 
Ozzie PHP

Ozzie PHP

02/06/2022 22:18:42
Quote Anchor link
Inderdaad vreemd. Zeker dat de melding verschijnt op het moment dat je niet eens met een wachtwoord inlogt. Dat zou dan inhouden dat ze pro-actief met de aanwezige hashes in de database aan de slag zouden moeten zijn gegaan. Dan zouden die zoals Ward zegt op een rainbow table moeten zijn gematcht. Maar dat zou dan ook inhouden dat er geen salt en pepper aan de hash is toegevoegd, of veeeeel erger nog ze zijn in plain text opgeslagnen. Maar belangrijker nog ... waarom zou een website van zonnepanelen überhaupt een dergelijke actie van het valideren van wachtwoorden in gang zetten? Nogal vreemd lijkt me. En hoe kan het wachtwoord niet veilig zijn, terwijl je je wél hebt ingeschreven met datzelfde wachtwoord. Dan had er toch al een validatie moeten plaatsvinden of het wachtwoord sterk genoeg was?

Even een totaal andere gedachte ... heb je toevallig niet een soort van reclame-pop up te zien gekregen "uw wachtwoord is zwak, klik hier om een dure virusscanner aan te schaffen!" die verder geheel losstaat van die website?
 
Jan R

Jan R

03/06/2022 07:01:37
Quote Anchor link
Ozzie PHP op 02/06/2022 22:18:42:
En hoe kan het wachtwoord niet veilig zijn, terwijl je je wél hebt ingeschreven met datzelfde wachtwoord. Dan had er toch al een validatie moeten plaatsvinden of het wachtwoord sterk genoeg was?

Even een totaal andere gedachte ... heb je toevallig niet een soort van reclame-pop up te zien gekregen "uw wachtwoord is zwak, klik hier om een dure virusscanner aan te schaffen!" die verder geheel losstaat van die website?


Deel 1. Ze versterken hun ww-beleid. (beweren ze toch :))
Deel 2. Nee. Is gewoon 1 van de opstartpagina's van de browser

Jan
 
Ozzie PHP

Ozzie PHP

03/06/2022 10:29:44
Quote Anchor link
>> Nee. Is gewoon 1 van de opstartpagina's van de browser

Ik neem aan dat je niet bedoelt browser, maar website.

>> Ze versterken hun ww-beleid.

Dan zou ik navragen hoe ze dat willen doen. Ze behoren jouw wachtwoord helemaal niet te kunnen achterhalen. Tenzij op het moment van inloggen, zie tweede reactie van Ivo.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.