Recent heb ik gemerkt dat een site die ik verplicht moet gebruiken voor de hogeschool mijn wachtwoord onveilig bewaard. Mijn wachtwoord word in gewone tekst opgeslagen in hun databank. De standaard vandaag is om een wachtwoord te hashen en te salten voordat het wordt opgeslagen.
Ik moet betalen om deze site 1 jaar te mogen bezoeken.
Nu is mijn vraag is eralleen iets dat ik kan doen? Ik ben al van plan om zodra de herexamens gedaan zijn op het school is rond te vragen.
-
stanhope
Topic Starter
- Jureca
- Juridisch actief: Ja
- Regio: België
Benieuwd naar jouw juridische opties? Jureca begeleidt jou aan de geschikte oplossing.
Klik hier om jouw situatie te beschrijven en we nemen binnen de 24 uur met jou contact op voor persoonlijke begeleiding
Gewoon recovery van je paswoord doen...De eerste vraag die bij me opkomt: hoe heb je dit gemerkt?
P.
Als je uw paswoord in je mailbox krijgt dan hebben ze dit opgeslagen...
Al zou het dan ook nog kunnen dat het via een hardcoded paswoord geëncrypteerd opgeslagen wordt in hun systeem.
Iets beter, maar ook niet aan te raden...
Beste is gewoon per systeem een ander paswoord te laten genereren en dit via een paswoord tool bij te houden...
-
stanhope
Topic Starter
Nee, ik heb niets gehacked. Ik heb misschien al wel eens gekeken of de site niet kwetsbaar was voor xss of SQL injectie. (Wat niet zo is op de publieke delen.)De eerste vraag die bij me opkomt: hoe heb je dit gemerkt?
P.
Ik was m'n wachtwoord vergeten en in de recovery mail stond m'n ww in plain text. Daarna heb ik gekeken naar het request dat m'n browser maakt als ik inlog en m'n wachtwoord stond daar in plain tekst.
Ook heb ik gemerkt dat de site ook bereikbaar is via http. Wat wil zeggen dat als iemand zit mee te kijken op je verbinding ze ook je ww hebben. Vermits andere studenten in m'n hogeschool het niet zo nauw nemen met welke wifi ze verbinden is dat ook niet zo fantastisch.
-
stanhope
Topic Starter
Encryptie van wachtwoorden in een databank is het equivalent van een gigantisch sterke stalen deur in u huis te hebben en de sleutel onder de mat leggen.Al zou het dan ook nog kunnen dat het via een hardcoded paswoord geëncrypteerd opgeslagen wordt in hun systeem.
Iets beter, maar ook niet aan te raden...
Beste is gewoon per systeem een ander paswoord te laten genereren en dit via een paswoord tool bij te houden...
Nog iets leuk, zodra ik door het dat deze site dit deed heb ik mijn ww vveranderd naar een random string van 25 karakters. Vervolgens wou ik inloggen maar dat ging niet. Zonder mij iets te zeggen had die website mijn ww afgekapt na 10 karakters. Wat ik pas te weten kwam nadat ik nog een recovery mail had gekregen.
Moet een school iemand hebben die verantwoordelijk is voor de privacy en online veiligheid van haar studenten?
-
stanhope
Topic Starter
Moet ik eens nagaan, maar ze zullen die HTTP access niet relatief snel kunnen blokkeren vermits het een site is voor het school en niet van het school. Het is een site om oefeningen op te maken (die dan ook op punten staan).Heeft je school geen DPO (Data Protection Officer) ?
Bij deze persoon kan je dit kenbaar maken.
op zijn minst kunnen ze de http access al blokkeren dit zou relatief snel moeten kunnen.
Staan er veel geheimen in uw emails? Als dat niet het geval is zou u dan uw email adres en wachtwoord naar mij kunnen doorsturen?Volledig off topic, staan daar zoveel geheimen op, dat dit zo versleuteld hoef te worden ???
Om op de vraag te antwoorden: nee, er staan geen 'geheimen' in. Wat wel 'vervelend' is is dat als iemand (persoon A) toegang krijgt tot iemand anders (persoon B) zijn account kan A ervoor zorgen dat B 1 of meerdere vakken opnieuw moet doen. Daarnaast weet ik zeker dat een merendeel van de studenten op mijn hogeschool éénzelfde wachtwoord gebruikt voor al zijn accounts. Dus als 1 site kwetsbaar is zijn ineens al je accounts kwetsbaar. Als dit het geval is kan persoon B zelfs persoon A volledig uitschrijven of in een andere richting inschrijven.
Dit is een antwoord op mijn vraag !
Ik zit op zeer veel forums en horeca platforms, en alles maar ook alles zelfs mijn id kaart is allemaal met het zelfde wachtwoord, heb het al moeilijk om die ene te onthouden !
Ik zit op zeer veel forums en horeca platforms, en alles maar ook alles zelfs mijn id kaart is allemaal met het zelfde wachtwoord, heb het al moeilijk om die ene te onthouden !
Als er één deur dicht gaat, gaat er een andere open.
offtopic:
gsm app die me helpt, browser plugin, etc...
1 paswoord dat ik nog moet kennen en dat is dat paswoord...
zeker aan te raden...
zelf gebruik ik LastPass in combinatie met Authy maar er zijn er vele equivalente oplossingen...Ik zit op zeer veel forums en horeca platforms, en alles maar ook alles zelfs mijn id kaart is allemaal met het zelfde wachtwoord, heb het al moeilijk om die ene te onthouden !
gsm app die me helpt, browser plugin, etc...
1 paswoord dat ik nog moet kennen en dat is dat paswoord...
zeker aan te raden...