Beantwoord

Wachtwoord manager actief tegengewerkt bij Zyxel admin interface

  • 14 March 2023
  • 9 reacties
  • 141 Bekeken
M

Als ik probeer in te loggen op de admin interface van mijn Zyxel router, met behulp van mijn 1password password manager, wordt het wachtwoord veld weer gewist. Ik zie even kort het wachtwoord verschijnen, en daarna verdwijnt het snel. Ik heb zelf al een scriptje moeten maken om het veld te veranderen van type=”text” naar type=”password” om 1password uberhaupt het veld te laten herkennen als wachtwoordveld, maar het werkt nog steeds niet.

Pas als ik in de web developer tools duik en event listeners ga weggooien, krijg ik het aan de praat, maar dat ik helaas niet reproduceerbaar in een scriptje. Het lijkt te maken te hebben met een of ander brok javascript die de inhoud van een text input gaat maskeren met sterretjes (daar hebben ze heel vroeger password veld voor uitgevonden dacht ik??).

Ik zou graag willen dat T-Mobile stopt met het over-engineeren met rare scriptjes en mij een gewoon, NORMAAL password veld geeft waar ik dan vervolgens de vrijheid heb dat veld in te vullen op de manier die ik leuk vind.

Iemand een idee hoe dit wel kan werken?

icon

Beste antwoord door Sven-Odido 13 April 2023, 09:11

Bekijk origineel

9 reacties

Jason van Odido
Rank
Reputatie 7
Badge +16

Hoi @martijn43497561547217654, welkom op de Community! 🙋‍♂️

Jouw topic was geflagd omdat je gebruikersnaam veel cijfers bevat, hier zit een automatische check op om te voorkomen dat we met een openbaar 06-nummer of bot te maken hebben. Jammer genoeg heeft dit erin geresulteerd dat jouw topic voor ons onzichtbaar was, excuses voor het ongemak en de late reactie.

Even heel kort resumé: jij gebruikt een OnePassword-manager en wil daarbij het admin wachtwoordveld invullen, maar die verdwijnt vanzelf weer/wordt weer gewist → dit probleem heb ik nog niet eerder voorbij zien komen, maar lijkt dan samen te hangen met het gebruik van de password-manager. Ik zal eens navraag doen bij onze specialisten, bedankt voor deze melding!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

@Sven-TMT Hoi Sven! Zegt jou dit iets? Alvast bedankt voor je hulp! 😄

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
TMTV
Rank
Reputatie 7
Badge +6

@martijn43497561547217654 In dit recente topic wordt het inlogscherm van de Zyxel uitgebreid besproken. Het probleem dat je schetst met de wachtwoordmanager komt daar ook aan bod. Het staat dus op de radar, maar zoals daar al aangegeven wordt, heeft het geen heel hoge prioriteit, omdat het de werking van het modem niet beïnvloedt.

"Jonge hackgod" - @Jason van Odido, 12 maart 2021
S
Rank
Reputatie 7
Badge +4

@Sven-TMT Hoi Sven! Zegt jou dit iets? Alvast bedankt voor je hulp! 😄

Niet direct, maar als @TMTV aangeeft is het al in een ander topic besproken. Ik zal er een item voor maken op de backlog en deze er aan toevoegen. 
Mocht je er meer tegenkomen stuur ze gerust door. Je weet me te vinden 😊

Helpt hier soms Tommie van Odido
S
Rank
Reputatie 7
Badge +4

@Sven-TMT Hoi Sven! Zegt jou dit iets? Alvast bedankt voor je hulp! 😄

Ik heb even moeten zoeken tussen de de 40 pagina dik document. Maar dit is een van de securiy requirements waar wij ons aan moeten houden voor de WebGui. Het is niet toegestaan dat wachtwoorden automatisch worden ingevuld door browers of plugins. 

Helpt hier soms Tommie van Odido
J
Reputatie 3

@Sven-TMT  Bijzonder, dit is voor mij het eerste modem dat zo gek doet bij het wachtwoord veld.

Dus zijn jullie kennelijk een van de zeer weinigen die dat security requirements document gebruikt.

En alle modems die je zo in winkel koopt voldoen daar dus ook niet aan?

S
Rank
Reputatie 7
Badge +4

 

@Sven-TMT  Bijzonder, dit is voor mij het eerste modem dat zo gek doet bij het wachtwoord veld.

Dus zijn jullie kennelijk een van de zeer weinigen die dat security requirements document gebruikt.

En alle modems die je zo in winkel koopt voldoen daar dus ook niet aan?

In Nederland misschien, maar internationaal word het door meerdere ISP gebruikt. 

Zolang het erin staat en de security teams zeggen dat het erin blijft staan moet ik mij er aan houden. 

Helpt hier soms Tommie van Odido
Pieter_B
Rank
Reputatie 7
Badge +3

@Sven-TMT 

Het grootste gevaar wat je probeert af te vangen door het wissen van inlog gegevens is, dat er nog steeds mensen zijn die de ‘onveilige’ manier van wachtwoorden opslaan gebruiken.

Die ‘onveilige’ manier is namelijk in de browser, wat je eigenlijk ook niet meer moet doen.

Dan volgt automatisch de vraag, zijn password managers beter, in vele opzichten al een stap in de juiste richting. Daar bovenop is 2FA tegenwoordig meer en meer de standaard aan het worden, zeker als het om inlogs gaat voor financiële producten.

Probleem waar @martijn43497561547217654 tegenaan loopt is, dat het inlog scherm dus geen onderscheid ziet tussen inlog gegevens uit je browser, of uit je password manager.

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
M

@Sven-TMT Hoi Sven! Zegt jou dit iets? Alvast bedankt voor je hulp! 😄

Ik heb even moeten zoeken tussen de de 40 pagina dik document. Maar dit is een van de securiy requirements waar wij ons aan moeten houden voor de WebGui. Het is niet toegestaan dat wachtwoorden automatisch worden ingevuld door browers of plugins. 

Dank @Sven-TMT voor je reactie. Ik snap inderdaad dat dit requirements zijn en dat jullie daar niet van kunnen afwijken.

Ik denk wel dat dit helaas dus juist zorgt voor minder veiligheid. Ik heb nu expres een makkelijker wachtwoord wat ik kan onthouden. Hierdoor is het admin panel dus makkelijker benaderbaar voor iedereen die om een of andere reden op mijn netwerk belandt. De andere manier, via een wachtwoord manager, is alleen te misbruiken als iemand zich toegang verschaft tot mijn laptop (gelockt en met disk encryption).

Is dit trouwens een relatief nieuwe richtlijn? Dit is namelijk de eerste keer dit ik dit tegenkom op een admin-panel van een router of switch.

Reageer


ForumvoorwaardenCookie instellingen