Dit forum is read-only voor bezoekers; enkel leden kunnen berichten plaatsen...
Wachtwoord reset

Forumoverzicht / Nieuws / Wachtwoord reset

Sorteer berichten:
Wachtwoord reset
21-08-2019 om 10:26
Ik kon niet echt een betere categorie vinden voor dit bericht gezien het niet MX-5, maar website gerelateerd is, dus ik post dit even in Nieuws.
 
Ik was mijn wachtwoord vergeten en heb even een nieuwe aangemaakt. Wat me echter wel opviel is dat de reset e-mail een nieuw gegenereerd wachtwoord heeft toegezonden, in klare tekst.
 
De huidige opzet is niet optimaal om de volgende reden:
- Iedereen kan mijn wachtwoord resetten via het inlog dialoog als ze mijn e-mail weten, er is geen bevestiging via de e-mail. Dit is ongewenst.
- Het wachtwoord wordt in klare tekst verzonden naar het e-mail adres, als de e-mail wordt onderschept (bijvoorbeeld via een man-in-the-middle attack) is je wachtwoord uitgelekt. Dit is kwetsbaar!
- De e-mail raadt niet aan om het nieuwe wachtwoord onmiddellijk te veranderen. Het potentieel uitlekbaar wachtwoord kan dus gebruikt blijven worden.

Mede omdat de email dus het nieuwe wachtwoord in klare tekst via de e-mail verzonden wordt wil ik ook even navragen of wachtwoorden gehasht worden voordat ze opgeslagen worden in de database. Is dit zo?

Ik wil gelijk ook een verbetering voorstellen voor een veiligere opzet:
- Als iemand zijn wachtwoord reset wordt een e-mail verstuurd met een bevestigingslink.
- Deze bevestigingslink bevat een tijdelijk token waarmee de gebruiker zijn nieuwe wachtwoord kan invoeren op de website.
- Het token in de bevestigingslink blijft tijdelijk geldig (bijv. 24 uur) en vervalt na het resetten van het wachtwoord.

Met deze oplossing hoeft de server geen wachtwoord te genereren en te versturen, en kan het nieuwe wachtwoord meteen gehasht opgeslagen worden nadat de gebruiker deze zelf invult.
 
Graag hoor ik of dit opgepakt gaat worden.

RE:Wachtwoord reset
22-08-2019 om 1:23
Hoi Jasper,
 
Bedankt voor de suggesties. Ik kan je bevestigen dat alle wachtwoorden worden gehashed op de server. Een andere manier van password retrieval wordt echter niet aangeboden voor dit CMS en het is een van de redenen dat er een nieuwe website gaat komen. We kunnen wel de inhoud van de password-mail aanpassen en dat heb ik zojuist gedaan.
 
Groetjes,
Jeroen
Coördinator Websitecommissie


Search Topics:
 



< Terug | Home  >  Website  >  Forum