Netwerk FON slecht beveiligd
Gebruikers beschuldigen FON, de grootste netwerkgemeenschap ter wereld, van het onveilig opslaan van wachtwoorden. Vergeten wachtwoorden worden gewoon per mail opgestuurd naar gebruikers.
De servers van FON blijken namelijk te reageren op "vergeten wachtwoord"-verzoeken met een automatische verzending van het oorspronkelijke wachtwoord via de mail.
Dit betekent dat de servers niet alleen beschikking hebben over de versleutelde bestanden met wachtwoorden, maar ook over de sleutel om die wachtwoorden naar normale tekst te halen.
Hashes
Moderne beveiliging vereist dat wachtwoorden opgeslagen worden als zogenaamde hashes en niet terug te halen zijn door de server zelf. Dit voorkomt dat hackers eenvoudig toegang kunnen krijgen tot de wachtwoorden. Veilige opslag met hashes is een reden dat de meeste sites op een verloren wachtwoord-verzoek reageren met een nieuw gegenereerd wachtwoord dat veranderd dient te worden.
FON reageert op haar blog met de mededeling dat het "beveiliging heel serieus neemt". De organisatie geeft aan dat de wachtwoorden van haar vier miljoen gebruikers verspreid zijn over verschillende systemen die op verschillende manieren beveiligd zijn. Zo zijn bijvoorbeeld de wachtwoorden van klanten die via partners van FON (zoals Belgacom) gebruikmaken op de servers van die partners opgeslagen.
FON geeft aan dat het zich ervan bewust is dat opslaan als hashes een beter idee is. Het bedrijf zegt met deze verandering bezig te zijn.
Gebruikers beschuldigen FON, de grootste netwerkgemeenschap ter wereld, van het onveilig opslaan van wachtwoorden. Vergeten wachtwoorden worden gewoon per mail opgestuurd naar gebruikers.
De servers van FON blijken namelijk te reageren op "vergeten wachtwoord"-verzoeken met een automatische verzending van het oorspronkelijke wachtwoord via de mail.
Dit betekent dat de servers niet alleen beschikking hebben over de versleutelde bestanden met wachtwoorden, maar ook over de sleutel om die wachtwoorden naar normale tekst te halen.
Hashes
Moderne beveiliging vereist dat wachtwoorden opgeslagen worden als zogenaamde hashes en niet terug te halen zijn door de server zelf. Dit voorkomt dat hackers eenvoudig toegang kunnen krijgen tot de wachtwoorden. Veilige opslag met hashes is een reden dat de meeste sites op een verloren wachtwoord-verzoek reageren met een nieuw gegenereerd wachtwoord dat veranderd dient te worden.
FON reageert op haar blog met de mededeling dat het "beveiliging heel serieus neemt". De organisatie geeft aan dat de wachtwoorden van haar vier miljoen gebruikers verspreid zijn over verschillende systemen die op verschillende manieren beveiligd zijn. Zo zijn bijvoorbeeld de wachtwoorden van klanten die via partners van FON (zoals Belgacom) gebruikmaken op de servers van die partners opgeslagen.
FON geeft aan dat het zich ervan bewust is dat opslaan als hashes een beter idee is. Het bedrijf zegt met deze verandering bezig te zijn.