Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
quote:Half 1.. Zal ik nog wat noodles naar binnen werken?Op dinsdag 25 augustus 2009 00:26 schreef Dropdown het volgende:
Kwaliteitstopic om 6 voor half 1. Zal wel dinsdag zijn
quote:Samenvatting: shit happensOp dinsdag 25 augustus 2009 00:24 schreef Japsnars het volgende:
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
quote:Met een beetje programmeer kennis kan je goud geld verdienen
quote:De bril moet nog komenOp dinsdag 25 augustus 2009 00:30 schreef LudoSanders het volgende:
Al die bebrilde pubers met zomervakantie die het beter denken te weten.
[ Bericht 33% gewijzigd door #ANONIEM op 25-08-2009 00:32:54 ]
quote:Ja als gold harvester in WoW ja!Op dinsdag 25 augustus 2009 00:31 schreef Japsnars het volgende:
[..]
Met een beetje programmeer kennis kan je goud geld verdienen
Te laat.
quote:Te laat
Ga met Iteejer samen om de tafel zou ik zeggen voor een diep gesprek
Er mogen aardige lekken ontdekt worden, wil je kunnen ontcijferen wat we nu hebben.
wie kan dit ontcijferen?
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
Ik heb geen idee waar het over gaat.
quote:Eens, iets met zout ofzo?Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
quote:Een uurtje geleden had ik nog geen idee dat Fok! slechts een standaard MD5 encryptie gebruikteOp dinsdag 25 augustus 2009 00:32 schreef Igen het volgende:
Een uurtje geleden had je een punt gehad, maar nu had je beter alles in de verleden tijd kunnen schrijven. Beetje een mosterd-na-de-maaltijd-topic.
Dus meer een nabeschouwing topic inderdaad 
quote:MD5 is een hashing algoritme:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Fok!Forum wordt: bd0b6a8703c90e4471aa39367158aca8
vroeger (ergens 5 jaar geleden ofzo?) werd het nog gebruikt om wachtwoorden "veilig" op te slaan (anders kan jan met de pet je wachtwoord lezen
quote:Vergelijk het maar met het rondlopen in kleren die in 1999 mode waren.Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
quote:spammertOp dinsdag 25 augustus 2009 00:41 schreef dWc_RuffRyder het volgende:
Dit account is overgenomen door Peter Havenaar die in de Van ’t Hoffstraat kaasspeciaalzaak Weydeland leidt.
[ afbeelding ]
quote:dacht, herhaal het even, er lopen wat hardlerende fokkers rond @ Fok!Op dinsdag 25 augustus 2009 00:41 schreef Core2 het volgende:
Goh echt gast? Dat dit nog niet eerder genoemd is in de talloze topics en op de fp over de hack!
quote:In jip-en-janneketaal:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Een wachtwoord met MD5 opslaan is zo veilig als je fiets in Amsterdam met zo'n slot vastmaken:
quote:Klopt, als een user aanmeld of zijn password veranderd; genereer je een random salt. Bijvoorbeeld: '7%4Ks' deze sla je vervolgens ook gewoon op in de database, dit kan in een nieuwe tabel maar ook gewoon in de password tabel. Vervolgens fetch je de salt bij het inloggen en controleer je alles.Op dinsdag 25 augustus 2009 00:38 schreef mschol het volgende:
hoe zit dat met dat salt verhaal...
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
Het grote nadeel van salts is dus wel dat je steeds de salt moet fetchen wat toch weer extra DB-load kost.
quote:Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
quote:1. Ik lees de FP nietOp dinsdag 25 augustus 2009 00:41 schreef Core2 het volgende:
Goh echt gast? Dat dit nog niet eerder genoemd is in de talloze topics en op de fp over de hack!
2. Ik heb in KLB nog niks teruggezien over MD5 dus vandaar
3. Ik verveel me
quote:had je er niet ook wat peper bij willen hebben dan?Op dinsdag 25 augustus 2009 00:45 schreef Breuls het volgende:
Nee, we hebben nu echt de ultrabeste stuff geregeld.
quote:Nee blijkbaar is het gewoon hasj die twaalf jaar gedroogd is in de zuiderzee.
Maar MD5 is dus niet echt topkwaliteit hasj?
quote:Oh we zijn goed gekruid hoor.
[..]
had je er niet ook wat peper bij willen hebben dan?
quote:Maar als iemand in de database kan komen, kan hij toch ook de salt opvragen
[..]
Klopt, als een user aanmeld of zijn password veranderd; genereer je een random salt. Bijvoorbeeld: '7%4Ks' deze sla je vervolgens ook gewoon op in de database, dit kan in een nieuwe tabel maar ook gewoon in de password tabel. Vervolgens fetch je de salt bij het inloggen en controleer je alles.
Het grote nadeel van salts is dus wel dat je steeds de salt moet fetchen wat toch weer extra DB-load kost.
?quote:Het smaakte de laatste tijd anders knap lafjes!
quote:Top! Best snel geregeld.Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
quote:Top, ga het nu even lezen.Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
Goed geregeld
quote:True, maar dan kom je weer terecht bij het kraak proces.Op dinsdag 25 augustus 2009 00:51 schreef CaptainCookie het volgende:
[..]
Maar als iemand in de database kan komen, kan hij toch ook de salt opvragen
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
Voor de luiaards onder ons:
quote:Topic van TS was van vandaag 00:25 uur. Topic van Danny is van gisteren 23:19 uur...Op maandag 24 augustus 2009 23:19 schreef Danny het volgende:
Beste FOK!ker,
zoals jullie weten zijn we afgelopen zaterdag aangevallen door een hacker die in md5 gehashte vorm opgeslagen passwords heeft ontfutseld. MD5 is in haar standaard vorm tegenwoordig relatief eenvoudig te kraken en dus moest daar een betere oplossing voor komen. Die is er en die zal op zeer korte termijn (vanavond nog) worden doorgevoerd.
Om te voorkomen dat de hacker zich alsnog met de buitgemaakte passwords toegang kan verschaffen tot accounts van gebruikers zullen we ook alle passwords resetten. Dit houdt in dat je zodra je uitlogt pas weer kunt inloggen als je de passmailer gebruikt en op die manier een nieuw wachtwoord hebt gekregen. Die kun je dan weer veranderen via de profielinstellingen. Tussentijds je wachtwoord veranderen kan niet omdat het zonder ingesteld password onmogelijk is in te loggen.
We raden iedereen aan zo snel mogelijk uit te loggen en na verificatie dat inloggen inderdaad niet meer mogelijk is de passmailer te gebruiken. We begrijpen dat dit een lastige procedure is, maar in dit geval kiezen we voor volledige veiligheid.
Mochten er toch problemen zijn, stuur dan even een mail naar forum@fok.nl. We zullen er dan zo snel mogelijk naar kijken.
We rekenen op jullie begrip voor deze situatie.
De Crew
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
quote:Ik lees niet ieder uur de mededelingen? Jij wel danOp dinsdag 25 augustus 2009 00:58 schreef Adolecens het volgende:
ALLE PASSWORDS WORDEN GERESET!
Voor de luiaards onder ons:
[..]
Topic van TS was van vandaag 00:25 uur. Topic van Danny is van gisteren 23:19 uur...
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
Als jij iedere 5 minuten de aankondigingen refreshed, dan faal jij toch echt harder
quote:Als ik FOK! open in een browser kom ik gewoon in de index terecht en daar staat het bovenaan. Dus ja, het was het eerste wat ik las. Faal ik dan?
[..]
Ik lees niet ieder uur de mededelingen? Jij wel dan
Als jij iedere 5 minuten de aankondigingen refreshed, dan faal jij toch echt harder
quote:Maar jij begrijpt niet dat sommige mensen, waaronder ik dus, nog een forum pagina openhebben staan in hun browser en vervolgens gewoon af en toe op MyAT klikken ipv op index?Op dinsdag 25 augustus 2009 01:03 schreef Adolecens het volgende:
[..]
Als ik FOK! open in een browser kom ik gewoon in de index terecht en daar staat het bovenaan. Dus ja, het was het eerste wat ik las. Faal ik dan?
quote:Ah, natuurlijk. Dat had ik zelf moeten bedenken
[..]
True, maar dan kom je weer terecht bij het kraak proces.
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
quote:Ow ja, dat snap ik wel
[..]
Maar jij begrijpt niet dat sommige mensen, waaronder ik dus, nog een forum pagina openhebben staan in hun browser en vervolgens gewoon af en toe op MyAT klikken ipv op index?
Als ik wat langer FOK! doe ik het ook op die manier en zie ik de index ook niet geregeld. Het ging mij nu om je statement dat ik zou falen quote:Ik kijk echt nooit in de index, alleen MyAT/AT.Op dinsdag 25 augustus 2009 01:05 schreef Japsnars het volgende:
[..]
Maar jij begrijpt niet dat sommige mensen, waaronder ik dus, nog een forum pagina openhebben staan in hun browser en vervolgens gewoon af en toe op MyAT klikken ipv op index?
quote:OkeOp dinsdag 25 augustus 2009 01:06 schreef Adolecens het volgende:
[..]
Ow ja, dat snap ik wel
quote:Hey! Welkom terug..
Ja, de een ziet zo'n mededeling wel, de ander niet. Ga elkaar daar nou niet op lopen aanvallen, ieder zijn meug en dus zijn browsemethoden.
Goed en lekker rustig weekend gehad? quote:Ik wel, ik moest pas vandaag aan de bak. Heb van het weekend maar weinig meegekregen van de perikelen.Op dinsdag 25 augustus 2009 01:08 schreef Adolecens het volgende:
[..]
Hey! Welkom terug..
quote:Hé ja. Wat een plan.Op dinsdag 25 augustus 2009 00:30 schreef trancethrust het volgende:
[..]
Half 1.. Zal ik nog wat noodles naar binnen werken?
quote:Het gaat er meer om dat Fok! het anno 2009 nog gebruikteOp dinsdag 25 augustus 2009 01:11 schreef Mr.Noodle het volgende:
Zou wat zijn als het nog steeds zo is, dan zou het mailtje met de mededeling om het wachtwoord te wijzigen nog weinig waard zijn, he?
quote:
Wat is dat "zout" gebeuren voor iets? Ik bedoel dat SHA2 512-bits encryption zal wel weer een bepaalde encryptiemethode zijn maar waarom gooi je er nog een korrel zout op?
quote:
[..]
True, maar dan kom je weer terecht bij het kraak proces.
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
quote:Bedoel je niet jezelf?Op dinsdag 25 augustus 2009 07:25 schreef AlphaOmega het volgende:
Ah gossie, TS heeft net z'n HBO lesje gehad over beveiligingsprotocollen. Kreeg je die cursus gratis bij een pakje Stimorol, TS?
Sorry, ik zelf doe nog VWO. Maar iedere webdeveloper moet deze kennis over beveiliging hebben wil hij goede en vooral degelijke websites kunnen maken
quote:Er zijn nogal wat meer factoren van invloed die een school je niet meegeeft, maar goed. Oh, en die gegevens heb ik al een tijdje niet bijgewerkt. Ben ondertussen een hele andere kant uit ontwikkeld.Op dinsdag 25 augustus 2009 08:07 schreef Japsnars het volgende:
[..]
Bedoel je niet jezelf?
[ afbeelding ]
Sorry, ik zelf doe nog VWO. Maar iedere webdeveloper moet deze kennis over beveiliging hebben wil hij goede en vooral degelijke websites kunnen maken
quote:Ik eigenlijk ook niet, al vind ik dit soort eikelpoets topics altijd wel komisch. Vooral het gebrek aan inzicht. Het feitjesneuken kunnen ze, maar het begrip waarom bepaalde zaken zijn zoals ze zijn, dat is lastig.Op dinsdag 25 augustus 2009 08:10 schreef jitzzzze het volgende:
Ik kan er niet wakker van liggen, sorry
quote:Nou inderdaad. En begrijpen dat een groot forum als dit wel interessant is voor hackers is ook moeilijk.
[..]
Ik eigenlijk ook niet, al vind ik dit soort eikelpoets topics altijd wel komisch. Vooral het gebrek aan inzicht. Het feitjesneuken kunnen ze, maar het begrip waarom bepaalde zaken zijn zoals ze zijn, dat is lastig.
En al helemaal dat er vast onwijs goede redenen waren om voor deze beveiliging te kiezen.
quote:Jij als gebruiker wel, maar je weet de insteek van de leverancier niet. Er zijn vele zaken die je tegen elkaar af kunt wegen, en een belangrijke vraag om jezelf te stellen is 'Wanneer was de vorige keer dat Fok! gehackt was?'Op dinsdag 25 augustus 2009 08:50 schreef YoshiBignose het volgende:
Je verwacht toch wel dat een groot forum (met ook veel betaalde users) wel een beetje normale beveiliging heeft. Dit is gewoon heel erg slecht.
quote:Het was (en is) ook een normale beveiliging.
Je verwacht toch wel dat een groot forum (met ook veel betaalde users) wel een beetje normale beveiliging heeft. Dit is gewoon heel erg slecht.
quote:hebben jullie ook gekeken of het haalbaar/wenselijk is om het inloggen via SSL te laten plaatsvinden, zodat de wachtwoorden niet plaintext over het netwerk gaan, tegen packet sniffing?Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
ik heb hier helaas te weinig verstand van om te weten hoe haalbaar zoiets is, maar het klinkt me wel veiliger in de oren...
quote:ja, het zou me verbazen als niet driekwart van de site's zo in elkaar zitten, of dat ze de wachtwoorden zelfs plaintext opslaan.Op dinsdag 25 augustus 2009 08:56 schreef jitzzzze het volgende:
[..]
Het was (en is) ook een normale beveiliging.
10 jaar geleden was dit waarschijnlijk gewoon aardige beveiliging, en was Fok! net even wat kleinschaliger, en kan ik me voorstellen dat security dan niet echt prioriteit één was.
wat dat betreft is het misschien handig om eens in de zoveel jaar een momentje te hebben waar bijvoorbeeld nagegaan wordt of de beveiliging en misschien ook opvattingen over privacy nog wel voldoende zijn.
quote:En jij denkt serieus dat dat niet gebeurt?
[..]
ja, het zou me verbazen als niet driekwart van de site's zo in elkaar zitten, of dat ze de wachtwoorden zelfs plaintext opslaan.
10 jaar geleden was dit waarschijnlijk gewoon aardige beveiliging, en was Fok! net even wat kleinschaliger, en kan ik me voorstellen dat security dan niet echt prioriteit één was.
wat dat betreft is het misschien handig om eens in de zoveel jaar een momentje te hebben waar bijvoorbeeld nagegaan wordt of de beveiliging en misschien ook opvattingen over privacy nog wel voldoende zijn.
quote:nou ja, ze lopen op de één of andere manier al 10 jaar met md5 rond...Op dinsdag 25 augustus 2009 09:05 schreef jitzzzze het volgende:
[..]
En jij denkt serieus dat dat niet gebeurt?
quote:Wat nog steeds niet zegt dat er nog nooit over nagedacht is.
[..]
nou ja, ze lopen op de één of andere manier al 10 jaar met md5 rond...
quote:tot iemand wel in je database terecht komt... en dan heeft iedereen die z'n wachtwoord in goed vertrouwen heeft afgegeven een probleem. want die md5 valt relatief makkelijk te kraken.Op dinsdag 25 augustus 2009 09:48 schreef Lastpost het volgende:
Md5 is dan wel achterhaald, maar als je code gewoon klopt/veilig is merkt niemand daar toch iets van?
hier kwamen ze ook via 3rd party code in de database terecht, dus je hebt het niet altijd helemaal in de hand.
quote:Maar dat bovenstaande is natuurlijk bij alles van toepassing, kan me deur nog zo goed dichtdoen, als het achterraam open staat komen ze ook binnen.Op dinsdag 25 augustus 2009 10:22 schreef SeanFerdi het volgende:
[..]
tot iemand wel in je database terecht komt... en dan heeft iedereen die z'n wachtwoord in goed vertrouwen heeft afgegeven een probleem. want die md5 valt relatief makkelijk te kraken.
hier kwamen ze ook via 3rd party code in de database terecht, dus je hebt het niet altijd helemaal in de hand.
Begreep dat het via het weblog-deel is gebeurd, lijkt me een geval van een scriptkiddie die weet welke software daar voor draait (krijg zo'n vermoeden dat het niet zelf gescript is) en welke exploits ervoor aanwezig zijn.
En ook die software kun je natuurlijk gewoon up-to-date houden/nalopen.
quote:Mensen die in goed vertrouwen wachtwoorden delen binnen een organisatie... Dan heb je toch een structureel probleem... of gewoon pauperwerknemers.Op dinsdag 25 augustus 2009 10:22 schreef SeanFerdi het volgende:
[..]
tot iemand wel in je database terecht komt... en dan heeft iedereen die z'n wachtwoord in goed vertrouwen heeft afgegeven een probleem. want die md5 valt relatief makkelijk te kraken.
hier kwamen ze ook via 3rd party code in de database terecht, dus je hebt het niet altijd helemaal in de hand.
quote:alsof dat zo bijzonder isOp dinsdag 25 augustus 2009 10:29 schreef AlphaOmega het volgende:
[..]
Mensen die in goed vertrouwen wachtwoorden delen binnen een organisatie... Dan heb je toch een structureel probleem... of gewoon pauperwerknemers.
quote:ja, daarom is het dus zo belangrijk dat het niet als simpele md5 wordt opgeslagen.Op dinsdag 25 augustus 2009 10:27 schreef Lastpost het volgende:
[..]
Maar dat bovenstaande is natuurlijk bij alles van toepassing, kan me deur nog zo goed dichtdoen, als het achterraam open staat komen ze ook binnen.
...
een MD5 valt tegenwoordig veels te snel terug te halen, waardoor de hacker in principe het wachtwoord weet van een eindgebruiker, waarmee hij bij andere site's, z'n e-mail, of zelfs zijn online bankieren kan binnen komen (en ja, dat is stom van de eindgebruiker, maar dan nog)
als site leg je gevoelige informatie van een persoon vast, en dan vind ik dat je daarmee ook een verantwoordelijkheid op je neemt, om die informatie te beschermen.
en om een wachtwoord te beschermen, hoef je maar een heel klein beetje extra moeite te doen om het vele malen moeilijker te maken voor een hacker om een wachtwoord te achterhalen.
quote:Nee, daarom moet je in veel bedrijven ook zogenaamde security awareness trainingen op naam doen. Daarmee geef je je bedrijf een stok om je heel makkelijk te (ont)slaan.
quote:Met alle respect, maar ik deel wachtwoorden waarmee je toegang krijgt tot de database echt niet aan derden.
Zelfde verhaal met de mappen waarin bestanden staan waarmee je de wachtwoorden kunt achterhalen (config), als er iets echt verneukt wordt wil ik er wel zelf verantwoordelijk voor zijn.
quote:Brabbel brabbel.... een MD5 terughalen? Ga nu eens in een beetje meer detail uitleggen wat je probeert te zeggen?Op dinsdag 25 augustus 2009 10:33 schreef SeanFerdi het volgende:
[..]
ja, daarom is het dus zo belangrijk dat het niet als simpele md5 wordt opgeslagen.
een MD5 valt tegenwoordig veels te snel terug te halen, waardoor de hacker in principe het wachtwoord weet van een eindgebruiker, waarmee hij bij andere site's, z'n e-mail, of zelfs zijn online bankieren kan binnen komen (en ja, dat is stom van de eindgebruiker, maar dan nog)
als site leg je gevoelige informatie van een persoon vast, en dan vind ik dat je daarmee ook een verantwoordelijkheid op je neemt, om die informatie te beschermen.
en om een wachtwoord te beschermen, hoef je maar een heel klein beetje extra moeite te doen om het vele malen moeilijker te maken voor een hacker om een wachtwoord te achterhalen.
quote:ik moet nu weg, maar misschien kom ik hier vanmiddag nog wel op terug.Op dinsdag 25 augustus 2009 10:36 schreef AlphaOmega het volgende:
[..]
Brabbel brabbel.... een MD5 terughalen? Ga nu eens in een beetje meer detail uitleggen wat je probeert te zeggen?
quote:Natuurlijk, joh... heb je even tijd nodig om op Google te zoeken of je je hier überhaupt uit kunt lullen?Op dinsdag 25 augustus 2009 10:37 schreef SeanFerdi het volgende:
[..]
ik moet nu weg, maar misschien kom ik hier vanmiddag nog wel op terug.
quote:Met dat laatste heb je zeker gelijk, gaat er mij meer om dat als je de rest op orde hebt (code/serverbeveiliging enz.) je bij wijze van spreken de boel in plain text op zou moeten kunnen slaan omdat ze toch niet in je database terecht kunnen komen.Op dinsdag 25 augustus 2009 10:33 schreef SeanFerdi het volgende:
[..]
ja, daarom is het dus zo belangrijk dat het niet als simpele md5 wordt opgeslagen.
een MD5 valt tegenwoordig veels te snel terug te halen, waardoor de hacker in principe het wachtwoord weet van een eindgebruiker, waarmee hij bij andere site's, z'n e-mail, of zelfs zijn online bankieren kan binnen komen (en ja, dat is stom van de eindgebruiker, maar dan nog)
als site leg je gevoelige informatie van een persoon vast, en dan vind ik dat je daarmee ook een verantwoordelijkheid op je neemt, om die informatie te beschermen.
en om een wachtwoord te beschermen, hoef je maar een heel klein beetje extra moeite te doen om het vele malen moeilijker te maken voor een hacker om een wachtwoord te achterhalen.
Iedere beveiliging is natuurlijk meegenomen en zodoende is het wel zo wenselijk om ook die zaken nog verder te beveiligen zoals inmiddels is toegepast aangezien het toch om de gegevens van je leden gaat.
9 van de 10 keer komen dit soort hackers aan gevoelige informatie door fouten in de codering, zorg er dan ook voor dat die codering in ieder geval prima in orde is.
Waarmee ik geen gevoelige sneer wil uitdelen richting Fok, in zoveel kb aan code kan er altijd iets over het hoofd gezien worden, dat begrijp ik prima.
quote:Volgens mij heeft bijna elk bedrijf zulke werknemers.Op dinsdag 25 augustus 2009 10:29 schreef AlphaOmega het volgende:
[..]
Mensen die in goed vertrouwen wachtwoorden delen binnen een organisatie... Dan heb je toch een structureel probleem... of gewoon pauperwerknemers.
Ik sta altijd versteld dat ze gwoon alle wachtwoorden van iedereen op een afdeling weten ofzo. En dan praat ik niet alleen over kleine bedrijfjes, maar ook over multinationals. En ze geven zo'n wachtwoord net zo makkelijk aan mij. Bij veel bedrijven krijg ik zelfs het admin wachtwoord als ik op een server moet zijn.
En mensen wensen niet over beveiliging te denken. Krijg je een UPS Invoice mailtje (virus) dan open je dat gewoon. Versturen wij wel eens pakketten met UPS? Nee. Verstuur jij wel eens pakketten? Nee. Ben jij de persoon die facturen moet verwerken? Nee. Waarom open je dan in hemelsnaam zulke mailtjes en zeker hun attachments?
Dan gaat er een mailtje rond die uitlegt waar je op kunt leggen. Gebeurt het gewoon weer (zelfde persoon natuurlijk). Gaat weer een mailtje rond waar je op moet letten bij mailtjes, algemeen opgesteld. Komen ze rustig op hoge poten verhaal halen of je het op hun gemunt hebt. Nou ja, eigenlijk wel, want je bent al twee keer zo stom om iets te openen wat je niet moest openen. En de tweede keer wist je waar op te letten.
Kortom, je kunt coderen wat je wilt. De mens is de zwakste schakel. En wie nu piept dat de hacker zijn wachtwoord weet. Vette pech. Je moet ook niet op alle sites hetzelfde wachtwoord gebruiken. Als Danny tot nu toe de wachtwoorden niet gehashed had, dan had hij vrolijk met jouw username en wachtwoord kunnen rotzooien op andere sites. Puur omdat hij rechtstreeks in de database kan kijken.
quote:Wat hij zegt.
[..]
Volgens mij heeft bijna elk bedrijf zulke werknemers.
Ik sta altijd versteld dat ze gwoon alle wachtwoorden van iedereen op een afdeling weten ofzo. En dan praat ik niet alleen over kleine bedrijfjes, maar ook over multinationals. En ze geven zo'n wachtwoord net zo makkelijk aan mij. Bij veel bedrijven krijg ik zelfs het admin wachtwoord als ik op een server moet zijn.
En mensen wensen niet over beveiliging te denken. Krijg je een UPS Invoice mailtje (virus) dan open je dat gewoon. Versturen wij wel eens pakketten met UPS? Nee. Verstuur jij wel eens pakketten? Nee. Ben jij de persoon die facturen moet verwerken? Nee. Waarom open je dan in hemelsnaam zulke mailtjes en zeker hun attachments?
Dan gaat er een mailtje rond die uitlegt waar je op kunt leggen. Gebeurt het gewoon weer (zelfde persoon natuurlijk). Gaat weer een mailtje rond waar je op moet letten bij mailtjes, algemeen opgesteld. Komen ze rustig op hoge poten verhaal halen of je het op hun gemunt hebt. Nou ja, eigenlijk wel, want je bent al twee keer zo stom om iets te openen wat je niet moest openen. En de tweede keer wist je waar op te letten.
Kortom, je kunt coderen wat je wilt. De mens is de zwakste schakel. En wie nu piept dat de hacker zijn wachtwoord weet. Vette pech. Je moet ook niet op alle sites hetzelfde wachtwoord gebruiken. Als Danny tot nu toe de wachtwoorden niet gehashed had, dan had hij vrolijk met jouw username en wachtwoord kunnen rotzooien op andere sites. Puur omdat hij rechtstreeks in de database kan kijken.