Vodafone versleutelt wachtwoorden niet

Toegevoegd door - Raoul -, 11 jaar geleden

Vodafone versleutelt wachtwoorden nietMyVodafone slaat wachtwoorden onversleuteld op in de database. Gebruikers die hun wachtwoord vergeten zijn en die dus willen resetten krijgen het wachtwoord in plain-text via SMS verstuurd.

Volgens de woordvoerder van Vodafone word de database waar de wachtwoorden in staan met netwerklagen en een firewall beveiligd.

Een groot deel van de klanten van Vodafone gebruikt MyVodafone, het zou gaan om honderdduizenden tot enkele miljoenen wachtwoorden.

Vodafone zegt wel dat het versleutelen van wachtwoorden al eerder op de to-do lijst staat. Maar wanneer alle wachtwoorden versleuteld zullen zijn is bij Vodafone niet bekend.

Gerelateerde nieuwsberichten

19/02/2014 Veelgebruikte wachtwoorden raken uit de mode
18/06/2012 Paraplu voor beter signaal
19/04/2012 Nog steeds 140.000 Macs besmet

 

Er zijn 23 reacties op 'Vodafone versleutelt wachtwoorden niet'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Ozzie PHP
Ozzie PHP
11 jaar geleden
 
Encrypting encrypting... ooooh... who cares...!

I'll fix that someday.. Now is time for television and beer!

http://images.picturesdepot.com/photo/h/homer_simpson_in_his_underwear-11208.jpg
 - Diov  -
- Diov -
11 jaar geleden
 
0 +1 -0 -1
Die vind ik een goedje Ozzie ;p
Victor Php
Victor Php
11 jaar geleden
 
Zoiets staat toch niet op je 'to-do lijstje'? Daar denk je toch als eerste aan?
Ykcin Ykcin
Ykcin Ykcin
11 jaar geleden
 
Zelfde als telfort, volgens mij versleutelen ze geen van alle hun passworden, lekker alles plain text via mail en sms versturen.


11 jaar geleden
 
Bij symio kreeg ik het ook gewoon toe gesmst
Ger van Steenderen
Ger van Steenderen
11 jaar geleden
 
Ik vind deze kritiek niet geheel terecht. Je logt nl in via een SSL verbinding, en dat blijft tig keer veiliger dan alle zout, peper en nootmuskaat.
Ozzie PHP
Ozzie PHP
11 jaar geleden
 
De kritiek is wel degelijk terecht. Zo'n grote organisatie moet z'n zaakjes gewoon op orde hebben. Ongeacht of ze een SSL verbinding gebruiken. Als er een keer een lek in de site komt en hackers krijgen de database in handen dan staan alle gebruikersnamen en wachtwoorden daar onversleuteld in!
- Raoul -
- Raoul -
11 jaar geleden
 
0 +1 -0 -1
Als groot bedrijf moet je gewoon gaan encrypten, dat is basic hé.
Ger van Steenderen
Ger van Steenderen
11 jaar geleden
 
Stel je hebt een kluis met daarin een kassa met een simpel slotje.
Op het moment dat je de kluis open laat heeft dat slotje op de kassa weinig zin.
Dus je moet gewoon zorgen dat ze de kluis niet in kunnen, das veel belangrijker dan het slotje op die kassa.
Ozzie PHP
Ozzie PHP
11 jaar geleden
 
Misschien moet je eerst eens uitleggen waarom je een kassa in een kluis stopt...

Maar goed afgezien daarvan... die gegevens kunnen ook via een sql-lek bovenwater komen, of via de server. Je moet niet alleen maar denken aan de "voorkant" van de website. Ook via de "achterkant" kan een hacker of misschien wel een onbetrouwbare werknemer of onderhoudsmonteur binnenkomen. En dan is het toch heel wenselijk dat de gegevens versleuteld zijn. Als je het nieuws gevolgd hebt de afgelopen maanden dan weet je ook waarom.
Ger van Steenderen
Ger van Steenderen
11 jaar geleden
 
0 +1 -0 -1
kassa is wachtwoord en kluis is database.
En ja ik sla wachtwoorden versleuteld op, maar niet gehashed (groot verschil)
Maar het belangrijkste is nog steeds de beveiliging op je database.
- Raoul -
- Raoul -
11 jaar geleden
 
0 +1 -0 -1
Je hasht niet? Versleuterd is volgens mij gewoon beveilingslagen toevoegen als SSL maar je hasht dus degelijk niks? Dat is gewoon dom. Als er dan ooit een lek in je site zit ligt alles op straat. En verder hoef je het wachtwoord van je leden ook niet te weten ;)
Jeroen VD
Jeroen VD
11 jaar geleden
 
1 +1 -0 -1
Ach kom nou toch zo stom ben je toch niet? Laat ik het uitleggen met een leuk verhaaltje.

"Er was eens een kasteel. De muren waren zó hoog, daar kon eens mens niet overheen komen. De koning in het kasteel waande zich veilig, hij kon zich makkelijk tegen al zijn vijanden verdedigen vanaf die hoge muren.

Toen was er een heel slimme andere koning, die de eerste koning wou verslaan. Maar hij wist van de hoge muren. Maar, slim als hij was, zei hij: 'waarom bouwen we niet gewoon een toren, even hoog als de muren, maar dan op wielen, zodat we zo de muren op kunnen wandelen'. En zo was de belegeringstoren geboren.

De eerste koning, die zich zó veilig waande door zijn hoge muren, had nooit nagedacht over andere verdedigingstechnieken. En zo werd hij verslagen."

Ik zou zeggen, trek er je eigen conclusies uit.
Ger van Steenderen
Ger van Steenderen
11 jaar geleden
 
1 +1 -0 -1
Mijn conclusie is dat je iets niet goed gelezen hebt, of ik ben niet helemaal duidelijk geweest.
Quote:
Maar het belangrijkste is nog steeds de beveiliging op je database.

Als ik eenmaal bij iemand in de database ben zal het me een worst wezen wat iemand zijn wachtwoord is want ik heb toch lekker al toegang tot alle andere gegevens.
En een hash is een vast algoritme en GEEN encryptie
Jeroen VD
Jeroen VD
11 jaar geleden
 
1 +1 -0 -1
nee, maar als je een echte hacker bent, zal het je wel een worst wezen wat iemand zijn wachtwoord is. veel mensen gebruiken overal dezelfde wachtwoorden, heb je er een gevonden, dan kun je dus als hacker in andere dingen komen met een beetje geluk.
Kris Peeters
Kris Peeters
11 jaar geleden
 
0 +1 -0 -1
Ik vind dit toch wel grof.
Geen enkele beveiliging beschermt je te eeuwigen dage.
Vraag maar aan de jongens van Sony Playstation.

Maar zo goed als alles wordt wel permanent bijgehouden.

Ik hoop dan toch dat ze geen 5 jaar wachten om nog eens naar hun TO DO-lijstje te kijken
Jordi Kroon
Jordi Kroon
11 jaar geleden
 
0 +1 -0 -1
Het gaat om nu over vijf jaar zijn er andere technieken van hacken EN beveiligen.
Niels K
Niels K
11 jaar geleden
 
0 +1 -0 -1
Ik ben het met Ger eens. Ik kan wel al mijn wachtwoorden encrypten maar als ik geen login beveiliging op mijn database zet, heeft het nog niet zoveel zin.

Ja het houd de hackers hoogstens iets langer bezig. Bij je data kunnen ze toch wel.

Daarnaast moet je bedenken, waarom heb je login functionaliteit? Juist om bepaalde functionaliteiten af te schermen voor normale gebruikers. Wanneer een hacker toegang tot de database heeft, kan hij makkelijk(er) bij de afgeschermde data komen. (Ligt aan de situatie maar het gaat om het idee)

Niels
Ozzie PHP
Ozzie PHP
11 jaar geleden
 
"Ik ben het met Ger eens. Ik kan wel al mijn wachtwoorden encrypten maar als ik geen login beveiliging op mijn database zet, heeft het nog niet zoveel zin."

Dat lijkt me logisch, maar het een sluit het ander toch niet uit? Je moet én én doen.

Wanneer een hacker toegang heeft tot de database kan hij makkelijker bij de afgeschermde data komen. Dat klopt, maar vaak is het juist om de combinatie van gebruikersnaam en wachtwoord te doen. Hackers trekken zo'n hele database leeg en gaan vervolgens op andere sites met al die gebruikersnaam wachtwoord combinaties hun geluk beproeven.

Als je auto rijdt behoor je een gordel te dragen. Dan kun je net zo goed zeggen, ik draag geen gordels want mijn auto heeft airbags! Kortom: maak je applicatie gewoon zo veilig mogelijk.
Dave schaafsma
dave schaafsma
11 jaar geleden
 
0 +1 -0 -1
Ik vind dit wel zo erg belachelijk van hun , stel nou dat er wat gebeurt en al mijn gegevens komen op de mat te liggen. Dan ben je er wel goed maar dan ook goed klaar mee ze kunnen zelf je rekeningnummer enzo zien dit loopt uit tot dikke oplichting onder iemand anders zijn naam.

Dit is voor mij een reden om nu meteen mijn abbonoment te laten verlopen wat een ramp ga nooit meer naar vodafone !.
Jeroen VD
Jeroen VD
11 jaar geleden
 
0 +1 -0 -1
ook misschien omdat je de laatste tijd vaker geen bereik had dan wel?
Frank WD
Frank WD
11 jaar geleden
 
0 +1 -0 -1
Dave, Ga je ook gelijk je huur opzeggen als je er achter komt dat jou woningbouw zijn systeem niet goed heeft opgezet?
PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Niels K
Niels K
11 jaar geleden
 
Quote:
Dat lijkt me logisch, maar het een sluit het ander toch niet uit? Je moet én én doen.

Zeker, helemaal gelijk. Je krijgt van mij ook een nekschot als je het niet doet, maar ik kreeg het idee dat bepaalde mensen denken dat je, als je de wachtwoorden encrypt helemaal safe zit. (Zit je overigens nooit, maar je snapt wel wat ik bedoel)

Quote:
Dat klopt, maar vaak is het juist om de combinatie van gebruikersnaam en wachtwoord te doen. Hackers trekken zo'n hele database leeg en gaan vervolgens op andere sites met al die gebruikersnaam wachtwoord combinaties hun geluk beproeven.


Is dat zo? Waarom niet direct de hoofdwebsite aanvallen? Stel ik hack een belangrijk data bureau. Dan ga ik toch niet de buitgemaakte logingegevens bij andere websites testen?

Volgens mij ga je als hacker direct op je doel af. Je hackt / crackt een bepaalde databank om verborgen data in handen te krijgen.

Je hebt natuurlijk ook nog een ander scenario. Stel ik hack een (ander soort) website, en ik test de buitgemaakte gegevens op die belangrijke databank. Dan maak ik geen schade bij die belangrijke databank. (waar ze waarschijnlijk iets meer controle / logging hebben) Dat betekend dus dat ik minder sporen achter laat en de pakkans dus minder is.

Het ligt er denk ik aan hoe ervaren / slim de hacker / cracker is :-)

Niels

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.