Beantwoord

Veiligheid van gegevens binnen My T-Mobile

  • 16 april 2019
  • 3 reacties
  • 1321 Bekeken

Ik heb zojuist mijn wachtwoord voor My T-Mobile aangepast en zag de foutmelding waarvan ik een screenshot onderaan deze post geplaatst heb.

Dit roept bij mij vragen op over de veiligheid van mijn gegevens in My T-Mobile.

Er vanuit gaande dat een moderne encryptiemethode zoals Bcrypt gebruikt wordt is er absoluut geen reden om een maximumlengte voor een wachtwoord te hebben. Ook al worden er maar 72 tekens opgeslagen, de lengte van de hash die opgeslagen wordt (en daarmee het aantal bytes die deze in beslag neemt) blijft hetzelfde los van of een wachtwoord nou 8 of 192 tekens bevat.

Los van dat 20 tekens erg kort is (de meeste wachtwoord beheersoftware heeft de mogelijkheid om 100 tekens of meer te genereren), zou vrijwel iedere telefoon zonder moeite 128 tekens in een TextView moeten kunnen tonen. Zoals dit StackOverflow antwoord dmv een toepasselijke XKCD-afbeelding illustreert zorgt het limiteren van de lengte er alleen voor dat mensen moeilijkere en onveiligere wachtwoorden moeten gebruiken, omdat bijv. een wachtwoordzin niet kort genoeg is en spaties niet toegestaan zijn.

De enige reden waarom een wachtwoord ooit een maximumlengte zou hebben is omdat een oudere encryptiemethode zoals MD5 or SHA1, of zelfs geen encryptie, gebruikt worden om wachtwoorden op te slaan. MD5 en SHA1 zijn daarbij niet veel veiliger dan het weglaten van encryptie, en hoewel SHA128 t/m SHA512 iets veiliger zijn, is het gebruik van een salt op basis van vaste gegevens ook niet meer relevant om extra bescherming te bieden. Een encrypthiemethode als Bcrypt (welke gebruikt maakt van Blowfish en een willekeurige salt voor iedere hash) is vrijwel onkraakbaar op dit moment, en het kleine beetje extra rekenkracht dat gebruikt wordt om deze hashes te genereren is te verwaarlozen tegenover de enorm verhoogde veiligheid van het gebruik hiervan.

Hoewel ik het uiterst vertrouwen heb dat derde partijen niet zomaar toegang hebben tot mijn gegevens zou ik toch graag zien dat zwakke punten zoals deze niet van buitenaf zichtbaar zijn, aangezien dit My T-Mobile ook weer een makkelijk doelwit maakt voor partijen die interesse hebben in deze gegevens voor minder positieve doeleinden.

Mijn vraag is daarom; zijn onze gegevens in My T-Mobile wel veilig? De punten hierboven benoemd wijzen op een verouderde manier van gegevensopslag, wat meestal samenhangt met andere punten binnen de infrastructuur die niet helemaal juist in elkaar steken.

icon

Beste antwoord door David 18 april 2019, 10:20

Hey @Ieuan Kessels (en andere lezers),

Ik heb gelijk even navraag gedaan, om een zo goed mogelijk antwoord te kunnen geven. Mijn collega beantwoordt jouw vraag als volgt:

Wij gebruiken individuele salted hashes in combinatie met een SHA256 hashing algoritme. Daarbij houden wij doorlopend het security landschap in de gaten om te zien of er kwetsbaarheden of andere problemen rondom algoritmes en functies ontstaan en zullen we deze ook zeker upgraden en verbeteren wanneer nodig.

Daarnaast veranderen met het verstrijken van de tijd ook inzichten in de toepassing van bepaalde security maatregelen en we zullen je opmerkingen over de gelimiteerde lengte dan ook zeker meenemen in een volgende iteratie van de ontwikkeling van onze systemen.

Hopelijk is hiermee jouw vraag beantwoord en de zorgen weggenomen? Als je nog vragen hebt, dan horen we het graag van je!
Bekijk origineel

3 reacties

Reputatie 7
Badge +5
Goedemorgen @Ieuan Kessels,

Hier kan ik kort over zijn; eens. Het is niet meer van de tijd en loop geregeld tegen dit soort beperkingen aan. Zou dan ook graag een upgrade zien, waarmee de lengte opgeheven wordt. Al vraag ik mij oprecht af of de gebruikte software dit ondersteund.

Hoewel de schade op het forum beperkt zal zijn, blijft het een gevaar dat velen het wachtwoord ook elders gebruiken, waar er meer schade kan ontstaan.
Reputatie 7
Badge +18
Goedemorgen,

Ik ben het ook wel met je eens maar ik denk dat de meeste "hacks" plaatsvinden met hergebruikte en zwakke wachtwoorden. Ik gebruik zelf KeePassXC en die laat ik voor elke site een apart sterk wachtwoord genereren waarbij ik ooit via een of andere site berekend heb dat een wachtwoord van 17 karakters uit deze password manager binnen een paar honderd jaar gekraakt kan worden met de huidige beschikbare computers.

Groet, Folkert
Reputatie 7
Badge +20
Hey @Ieuan Kessels (en andere lezers),

Ik heb gelijk even navraag gedaan, om een zo goed mogelijk antwoord te kunnen geven. Mijn collega beantwoordt jouw vraag als volgt:

Wij gebruiken individuele salted hashes in combinatie met een SHA256 hashing algoritme. Daarbij houden wij doorlopend het security landschap in de gaten om te zien of er kwetsbaarheden of andere problemen rondom algoritmes en functies ontstaan en zullen we deze ook zeker upgraden en verbeteren wanneer nodig.

Daarnaast veranderen met het verstrijken van de tijd ook inzichten in de toepassing van bepaalde security maatregelen en we zullen je opmerkingen over de gelimiteerde lengte dan ook zeker meenemen in een volgende iteratie van de ontwikkeling van onze systemen.

Hopelijk is hiermee jouw vraag beantwoord en de zorgen weggenomen? Als je nog vragen hebt, dan horen we het graag van je!

Reageer