Wachtwoord onveilig opgeslagen

stanhope
Topic Starter

Wachtwoord onveilig opgeslagen

#1 , 20 aug 2018 08:09

Recent heb ik gemerkt dat een site die ik verplicht moet gebruiken voor de hogeschool mijn wachtwoord onveilig bewaard. Mijn wachtwoord word in gewone tekst opgeslagen in hun databank. De standaard vandaag is om een wachtwoord te hashen en te salten voordat het wordt opgeslagen.
Ik moet betalen om deze site 1 jaar te mogen bezoeken.

Nu is mijn vraag is eralleen iets dat ik kan doen? Ik ben al van plan om zodra de herexamens gedaan zijn op het school is rond te vragen.

Jureca
Juridisch actief: Ja
Regio: België

Een juridische oplossing. Voor elk probleem, voor iedereen!

Benieuwd naar jouw juridische opties? Jureca begeleidt jou aan de geschikte oplossing. Klik hier om jouw situatie te beschrijven en we nemen binnen de 24 uur met jou contact op voor persoonlijke begeleiding
puttemanp
Berichten: 634

#2 , 20 aug 2018 08:14

De eerste vraag die bij me opkomt: hoe heb je dit gemerkt?

P.

Joeri_J
Berichten: 656

#3 , 20 aug 2018 09:02

De eerste vraag die bij me opkomt: hoe heb je dit gemerkt?

P.
Gewoon recovery van je paswoord doen...
Als je uw paswoord in je mailbox krijgt dan hebben ze dit opgeslagen...

Al zou het dan ook nog kunnen dat het via een hardcoded paswoord geëncrypteerd opgeslagen wordt in hun systeem.
Iets beter, maar ook niet aan te raden...

Beste is gewoon per systeem een ander paswoord te laten genereren en dit via een paswoord tool bij te houden...

Reclame

stanhope
Topic Starter

#4 , 20 aug 2018 10:09

De eerste vraag die bij me opkomt: hoe heb je dit gemerkt?

P.
Nee, ik heb niets gehacked. Ik heb misschien al wel eens gekeken of de site niet kwetsbaar was voor xss of SQL injectie. (Wat niet zo is op de publieke delen.)

Ik was m'n wachtwoord vergeten en in de recovery mail stond m'n ww in plain text. Daarna heb ik gekeken naar het request dat m'n browser maakt als ik inlog en m'n wachtwoord stond daar in plain tekst.
Ook heb ik gemerkt dat de site ook bereikbaar is via http. Wat wil zeggen dat als iemand zit mee te kijken op je verbinding ze ook je ww hebben. Vermits andere studenten in m'n hogeschool het niet zo nauw nemen met welke wifi ze verbinden is dat ook niet zo fantastisch.

stanhope
Topic Starter

#5 , 20 aug 2018 10:24

Al zou het dan ook nog kunnen dat het via een hardcoded paswoord geëncrypteerd opgeslagen wordt in hun systeem.
Iets beter, maar ook niet aan te raden...

Beste is gewoon per systeem een ander paswoord te laten genereren en dit via een paswoord tool bij te houden...
Encryptie van wachtwoorden in een databank is het equivalent van een gigantisch sterke stalen deur in u huis te hebben en de sleutel onder de mat leggen.

Nog iets leuk, zodra ik door het dat deze site dit deed heb ik mijn ww vveranderd naar een random string van 25 karakters. Vervolgens wou ik inloggen maar dat ging niet. Zonder mij iets te zeggen had die website mijn ww afgekapt na 10 karakters. Wat ik pas te weten kwam nadat ik nog een recovery mail had gekregen.

Moet een school iemand hebben die verantwoordelijk is voor de privacy en online veiligheid van haar studenten?

Joeri_J
Berichten: 656

#6 , 20 aug 2018 10:47

Heeft je school geen DPO (Data Protection Officer) ?
Bij deze persoon kan je dit kenbaar maken.

op zijn minst kunnen ze de http access al blokkeren dit zou relatief snel moeten kunnen.

denlowie
Berichten: 15962
Juridisch actief: Nee

#7 , 20 aug 2018 10:48

Volledig off topic, staan daar zoveel geheimen op, dat dit zo versleuteld hoef te worden ???
Als er één deur dicht gaat, gaat er een andere open.

stanhope
Topic Starter

#8 , 20 aug 2018 12:45

Heeft je school geen DPO (Data Protection Officer) ?
Bij deze persoon kan je dit kenbaar maken.

op zijn minst kunnen ze de http access al blokkeren dit zou relatief snel moeten kunnen.
Moet ik eens nagaan, maar ze zullen die HTTP access niet relatief snel kunnen blokkeren vermits het een site is voor het school en niet van het school. Het is een site om oefeningen op te maken (die dan ook op punten staan).
Volledig off topic, staan daar zoveel geheimen op, dat dit zo versleuteld hoef te worden ???
Staan er veel geheimen in uw emails? Als dat niet het geval is zou u dan uw email adres en wachtwoord naar mij kunnen doorsturen?

Om op de vraag te antwoorden: nee, er staan geen 'geheimen' in. Wat wel 'vervelend' is is dat als iemand (persoon A) toegang krijgt tot iemand anders (persoon B) zijn account kan A ervoor zorgen dat B 1 of meerdere vakken opnieuw moet doen. Daarnaast weet ik zeker dat een merendeel van de studenten op mijn hogeschool éénzelfde wachtwoord gebruikt voor al zijn accounts. Dus als 1 site kwetsbaar is zijn ineens al je accounts kwetsbaar. Als dit het geval is kan persoon B zelfs persoon A volledig uitschrijven of in een andere richting inschrijven.

denlowie
Berichten: 15962
Juridisch actief: Nee

#9 , 20 aug 2018 12:56

Dit is een antwoord op mijn vraag !

Ik zit op zeer veel forums en horeca platforms, en alles maar ook alles zelfs mijn id kaart is allemaal met het zelfde wachtwoord, heb het al moeilijk om die ene te onthouden ! :lol:
Als er één deur dicht gaat, gaat er een andere open.

Joeri_J
Berichten: 656

#10 , 20 aug 2018 16:38

offtopic:
Ik zit op zeer veel forums en horeca platforms, en alles maar ook alles zelfs mijn id kaart is allemaal met het zelfde wachtwoord, heb het al moeilijk om die ene te onthouden ! :lol:
zelf gebruik ik LastPass in combinatie met Authy maar er zijn er vele equivalente oplossingen...
gsm app die me helpt, browser plugin, etc...
1 paswoord dat ik nog moet kennen en dat is dat paswoord...
zeker aan te raden...

Terug naar “Privacy-bescherming”