beantwoord

Telfort wachtwoorden onveilig, Heartbleed

  • 13 april 2014
  • 26 reacties
  • 2382 keer bekeken

Sinds het bekend worden van een nieuw gat in https beveiliging, het heartbleed lek, heb ik al mijn wachtwoorden geupdate, alleen het Telfort wachtwoordsysteem laat slechts zwakke wachtwoorden toe. Dit is nu het grootste lek in mijn persoonlijke online beveiliging. Vandaar twee vragen;

1. Wanneer maakt Telfort een einde aan die zwakke wachtwoorden? Met de beperkte lengte en alleen de mogelijkheid cijfers en letters te gebruiken, kun je geen veilig wachtwoord maken. De sterkte van het wachtwoord krijg ik met deze instellingen niet hoger dan 94% tewijl bv mijn gmail account wel 100% is.

2. Is de beveiliging op Telfort aangetast door het Heartbleed lek en zo ja, is dit opgelost?
icon

Beste antwoord door Hugo 18 april 2014, 14:54


Nogmaals mijn vragen aan Telfort Webcare;
hoe staat het met het Heartbleed lek bij Telfort? Zijn mijn gegevens nog veilig?

Telfort.nl is inderdaad ook tijdelijk kwetsbaar geweest, uit een ander topic:
Mogelijk heb je gehoord van de Heartbleed-bug, een online beveiligingslek waar wereldwijd een groot aantal websites mee te kampen hebben en dat risico’s met zich meebrengt voor de beveiliging van persoonlijke gegevens. Ook de Telfort site was korte tijd gevoelig voor dit lek. Om de veiligheid van jouw gegevens te garanderen is daarom de website van Telfort geüpdatet. Hoewel wij geen gevallen van misbruik hebben gevonden, adviseren wij je voor alle zekerheid het wachtwoord te wijzigen waarmee je inlogt op ‘Mijn Telfort’.
Voor wat betreft jouw vraag over de wachtwoord specificatie:
waarom kan ik geen sterk wachtwoord aanmaken en hoe kan Telfort op deze wijze de veiligheid van mijn account garanderen?
MijnTelfort blokkeert het account voor 60 minuten nadat er 3x een onjuist wachtwoord is ingegeven. Een brute force aanval wordt daardoor vrijwel onmogelijk. Wel delen wij de wens voor ondersteuning wachtwoordzinnen op MijnTelfort, dat zal echter dit jaar nog niet geïmplementeerd worden.

Hugo
Bekijk reactie

26 reacties

Reputatie 8
Badge +15
@Bard
Android toestellen die draaien op Android 4.1.1 Jelly Bean zijn gevoelig voor de lek.
Op de website van onder andere Digital Trends vind je een overzicht van websites / apps. Telfort zelf staat daar niet bij dus weet niet of de Telfort site gevoelig er voor is.
Met de applicatie Heartbleed Detector kun je simpel en snel checken of jouw Androidapparaat gevoelig is voor deze bug. De app controleert het alleen maar en doet verder niets.

Maar om je een beetje gerust te stellen.. Er komt nog meer bij kijken om zomaar je gegevens te kapen.
Reputatie 8
Badge +15
Nog een aanvulling:
Je hebt ook websites die voor je kunnen controleren of een website gevoelig is voor de lek.
Telfort.nl is beschermd tegen heartbleed: https://www.ssllabs.com/ssltest/analyze.html?d=telfort.nl&s=81.173.34.237
Bedankt koffiemok,

Het stelt mij niet gerust dan op dit moment Telfort nog niet weet of men wel of niet een lek heeft. Ik heb daar nog geen enkele reactie van Telfort over gelezen. Tests die zijn ontwikkeld nadat men het lek heeft ontdekt, zijn ook maar net zo betrouwbaar als de informatie die men heeft over het lek en dat verandert nog per dag.

In ieder geval blijft staan dat de huidige wachtwoordsterkte van Telfort onvoldoende is. Een gemiddeld wachtwoord die ik gebruik bevat 30 tekens van alle soorten, en niet alleen de 12 letters en cijfers die Telfort biedt. Dat is vragen om problemen, kijk de aanbevelingen voor wachtwoordsterkte er maar eens op na.

Telfort heeft, in tegenstelling tot de andere 150 sites waar ik een uniek wachtwoord heb, geen Heartbleed nodig om onveilig te zijn. Het is de enige site waar ik geen sterk wachtwoord kan aanmaken. Ik zou graag zien, dat naast de betrouwbare telefoon en internetdiensten, men ook de beveiliging eens serieus aandacht gaf.
Badge
Tjonge jonge, hoe paranoia kun je zijn zeg. 30 tekens van alle soorten. Lekker handig. Als het geen wachtwoordzin is onthoud je nooit dat wachtwoord, dus je hebt het ergens opgeschreven. En een wachtwoord ergens opschrijven is weer heel erg onveilig, dat kan gemakkelijk in verkeerde handen vallen.
Daarbij, wat Telfort aanbied, een wachtwoord met 'maar' 12 tekens kost met een ‘brute force’-aanval ruim 17.000 jaar om te kraken, aldus de onderzoekers van Georgia Tech. Geloof je nu echt dat ze die moeite gaan doen om jouw Telfort accountje te kraken?
Bedankt xilence,

Je antwoord is alleen net zo oud en achterhaald als het wachtwoordsysteem van Telfort.

Ter informatie, lees de pagina in de engelse wikipedia over "Password strength" er eens op
na. Quote: "As of 2011, commercial products are available that claim the ability to
test up to 2,800,000,000 passwords per second on a standard desktop computer
using a high-end graphics processor. Such a device can crack a 10 letter single-
case password in one day.
". Dat was in 2011!

Overigens, voor mijn wachtwoorden gebruik ik Lastpass.
Badge
Tja, zal allemaal best zijn, maar als ik zo paranoia zou zijn dan sloot ik me af van internet en kwam niet meer buiten. Nu is bv heartbleed wat de klok slaat, maar de volgende lek is een kwestie van afwachten. Dan ligt misschien al die miljoenen die je met een 30 tekens beschernt wel zo op straat
Je maak je druk om de wachtwoord tekens van Telfort, maar nergens lees ik dat je eigen druk maakt om je eigen internet router welke dezeflde heartbleed lek heeft.  Ik beveilig me zo optimaal mogelijk , zeker als het om bankzaken e.d. gaat  zodat het nog werkbaar is.
En als een echte hacker  interesse in mijn persoontje heeft dan is er toch geen houden aan.
@xilnce,
Dat je met een dergelijke defaistische houding überhaupt nog de moeite neemt hier te reageren. Hoe kun jij je nou "optimaal beschermen" terwijl je overduidelijk laat blijken totaal niets te begrijpen van wachtwoorden en wachtwoordmanagers? Lees dit nog maar eens na; http://www.digibewust.nl/onderwerpen/wachtwoorden dan snap je misschien dat Telfort zich zelfs niet conformeert aan de meest basale beveiligingeisen wat betreft wachtwoorden.


Waar blijft de reactie van Telfort op mijn vragen of Is dit niet de plek om daar ontwoord op te mogen verwachten?
@xilnce,
Dat je met een dergelijke defaistische houding überhaupt nog de moeite neemt hier te reageren. Hoe kun jij je nou "optimaal beschermen" terwijl je overduidelijk laat blijken totaal niets te begrijpen van wachtwoorden en wachtwoordmanagers? Lees dit nog maar eens na; http://www.digibewust.nl/onderwerpen/wachtwoorden dan snap je misschien dat Telfort zich zelfs niet conformeert aan de meest basale beveiligingeisen wat betreft wachtwoorden.


Waar blijft de reactie van Telfort op mijn vragen of Is dit niet de plek om daar ontwoord op te mogen verwachten?
Reputatie 8
Badge +16
De sterkte van het wachtwoord krijg ik met deze instellingen niet hoger dan 94% tewijl bv mijn gmail account wel 100% is.
Allereerst kun je de sterkte van wachtwoorden niet op deze manier een score geven.

Maar als ik dan toch op digibewust kijk (waar jij naar verwijst) is een wachtwoord van 12 alfanumerieke karakters gewoon "GOED" en duurt het zelfs bij een "Mega aanval" (wat dat ook mag zijn) 8 jaar om te kraken.

Dat wil niet zeggen dat het niet beter kan... zeker als je toekomstbestendig wil zijn. Maar roepen dat de huidige paswoorden onveilig zijn is onzin.
Bedankt Franzki,

Alles is relatief! Als je goed gelezen hebt, sprak ik over mijn persoonlijke online beveiliging en daar kan ik elke waardering aangeven die ik wil. Overigens kom ik op die percentages via een analyse door Lastpass, niet de minste of geringste wat betreft online security. Nogmaals, van de 150 sites met wachtwoorden die ik gebruik, scoort Telfort slecht wat betreft wachtwoordsterkte. Technisch gezien zou het dus geen probleem hoeven te zijn dat aan te passen. Op de site van digibewust.nl, zie eerdere link, staat trouwens duidelijk dat je verschillende tekens moet gebruiken en een zo lang mogelijk wachtwoord. Test zelf een wachtwoord van 12 letters en cijfers bijvroobeeld op http://www.testjewachtwoord.nl/ en kijk maar eens wat voor score je haalt.

De nonchalance die ik tot nu toe terug lees in de reacties over wachtwoorden maakt mij vooral duidelijk hoe weinig informatie Telfort geeft over beveiliging aan hun klanten. Zalig zijn de onwetenden.
Voor meer informatie over wachtwoorden en het belang van bijzondere tekens, zie https://www.grc.com/haystack.htm

Voor meer informatie over brute force attacks, zie http://techcrunch.com/2013/04/12/hackers-point-large-botnet-at-wordpress-sites-to-steal-admin-passwords-and-gain-server-access/

Uit de eerste link kun je opmaken binnen hoeveel tijd een brute force attack je wachtwoord kan achterhalen, met één enkele computer. Na het lezen van de tweede link kun je bedenken hoe lang een botnet van 100.000 computers er over doet.

Nog steeds in afwachting van een reactie van Telfort...
Reputatie 8
Badge +16
GRC heb ik altijd een onruststoker gevonden.... En zelfs in het online-scenario wat hij noemt is het nog steeds zeer veilig om een 12-karakter alfanumeriek wachtwoord te gebruiken.

Maar... het is een kwestie van tijd voor het wèl onveilig wordt. En het zou prettig zijn als Telfort daarop nu al zou inspelen.

Ik verwacht overigens dat een gewone gebruiker niet snel gericht aangevallen wordt door een botnet van 100.000 computers. Dat is de moeite niet waard...
Badge +4
Alleen zwakke wachtwoorden toestaan is natuurlijk vreemd.

Maar even over die brute-force aanvallen van zoveel duizend per seconde... dat werkt natuurlijk alleen als je iets probeert te kraken wat lokaal op dezelfde PC staat. Als je brute force probeert in te loggen op een externe website, hoort die site natuurlijk gewoon een delay in te bouwen voor elke poging en op den duur (na 10 pogingen of zo) het account sowieso tijdelijk te blokkeren.
Bedankt erikk,

Helaas weet ik niet of Telfort een dergelijke blokkade heeft in hun wachtwoordsysteem, we mogen hopen van wel. Voor mij is van belang te weten hoe goed mijn Telfort account is beveiligd zodat ik Telfort email eventueel als hersteladres kan gebruiken. Op dit moment is de beveiliging van Telfort mijn zwakste plek en krijg daar tot nu toe zelfs geen opheldering over terwijl er toch beloofd wordt binnen drie dagen te reageren op dit forum. Met het Telfort wachtwoordsysteem geeft Telfort bovendien een verkeerd signaal af aan hun klanten, zoals te lezen valt uit eerdere reacties.

Een voorbeeld van hoe het ook kan, een bericht vandaag ontvangen van een andere website die ik gebruik (naam van website verwijdert ivm privacy);
----------------------------------------------------
U bent wellicht via het nieuws al op de hoogte van ʺHeartbleedʺ

Wij willen u ervan op de hoogte brengen, dat xxxxxxx.nl niet is geïnfecteerd met het ʺHeartbeatʺ bug in recente versies van Open SSL, een veelgebruikt programma voor het versleutelen van gegevens die via internet worden verzonden.

Bij xxxxxxxx staat een technisch veilige omgeving voor klanten en producten hoog in het vaandel. Wij raden u dan ook aan om uw wachtwoord regelmatig te wijzigen en om verschillende wachtwoorden te gebruiken voor verschillende websites.

Wij houden de veiligheid van onze websites streng in de gaten om klantgevoelige informatie te kunnen waarborgen.

Met vriendelijke groet,
xxxxxxxx Product Support
----------------------------------------------------

Overigens van een gratis account, waar ik wel sterke wachtwoorden kan aanmaken, die hun bezoekers serieus nemen. Telfort daarentegen, druist met hun wachtwoordsysteem tegen alle aanbevelingen van overheid en bedrijfsleven in.
Reputatie 8
Badge +16
terwijl er toch beloofd wordt binnen drie dagen te reageren op dit forum.

Die toezegging ken ik niet... Telfort reageer niet in alle topics op dit forum. En er is ook geen gegarandeerde reactietijd voor zover ik weet.
Die toezegging ken ik niet... Telfort reageer niet in alle topics op dit forum. En er is ook geen gegarandeerde reactietijd voor zover ik weet.

Zo staat het in de sticky "Over het vraag "het hier forum""; "Wij helpen u graag op dit openbare forum. Telfort webcare reageert niet op privéberichten, tenzij wij hierom vragen. Op uw verzonden bericht ontvangt u binnen 3 werkdagen een reactie.".
Reputatie 8
Badge +16
Dat is het onderschrift van de moderator die het bericht heeft geplaatst.

En het heeft betrekking op privéberichten die je aan Webcare verstuurt als ze daarom vragen.

Nogmaals... Telfort Webcare leest mee op het forum maar er is geen garantie op een antwoord van Telfort Webcare als je een vraag op het forum post.
Dat is het onderschrift van de moderator die het bericht heeft geplaatst.

En het heeft betrekking op privéberichten die je aan Webcare verstuurt als ze daarom vragen.

Nogmaals... Telfort Webcare leest mee op het forum maar er is geen garantie op een antwoord van Telfort Webcare als je een vraag op het forum post.


Er staat duidelijk dat binnen drie dagen een bericht van Telfort webcare komt op een bericht in het forum en niet op privé-berichten. Bovendien is dit één van de meest gelezen nieuwe onderwerpen op dit forum en staat zelfs boven in een google zoekopdracht naar Telfort Heartbleed. Ook bij de klantenservice contact pagina staat; "Deel uw vragen en kennis met andere gebruikers en met ons webcare team." Het is voor mij onvoorstelbaar dat Telfort webcare deze vragen niet heeft gelezen en kan alleen concluderen dat men bewust niet reageert.

Nogmaals mijn vragen aan Telfort Webcare;
  • hoe staat het met het Heartbleed lek bij Telfort? Zijn mijn gegevens nog veilig?
  • waarom kan ik geen sterk wachtwoord aanmaken en hoe kan Telfort op deze wijze de veiligheid van mijn account garanderen?
Reputatie 8
Badge +16
Er staat duidelijk dat binnen drie dagen een bericht van Telfort webcare komt op een bericht in het forum en niet op privé-berichten.

Dat je binnen 3 dagen antwoord krijgt van Telfort webcare is een onjuiste intepretatie door jou van een persoonlijk onderschrift van de betreffende moderator dat losstaat van de inhoud van het bericht waaran je refereert. Als je de context niet kent, dan zou dit inderdaad wat verwarrend kunnen zijn.... maar neem maar van mij aan dat mijn uitleg klopt... 🆒

Mijn ervaring op dit forum is dat het vooral een community-forum is waar gebruikers elkaar helpen, elkaars vragen beantwoorden en discussies voeren. En dat zie je ook ook terug in dit topic, daar zijn al 4 gebruikers die zich in de discussie mengen over jouw vraag.

Telfort webcare is hier ook aanwezig... maar mengt zich niet in alle discussies. En er zijn geen garanties op een antwoord en al helemaal niet dat je dat binnen 3 dagen krijgt.
Dan is de informatie in de sticky nogal misleidenf en zal mijn vragen via email aan Telfort richten. Dat Telfort Webcare niet reageert op deze vragen is eigenlijk onacceptabel. Heeft Telfort niet de plicht ons over de beveiliging goed te informeren? Een zwaar minpunt wat ik bij de verlenging van mijn contract zeker mee zal laten wegen.

Zodra ik bericht krijg van Telfort, zal ik dat hier plaatsen.
Reputatie 8
Badge +16
Privéberichten sturen heeft geen zin... daar reageren ze niet op. Ik dacht dat je dat inmiddels wel doorhad.
Als jij een antwoord van Telfort eist dan zit je op dit forum verkeerd. Dan kun je beter een aangetekende brief sturen.

Al zou het natuurlijk leuk en leerzaam zijn als ze in dit topic zouden willen reageren.

Overigens ken ik weinig providers die hun klanten proactief voorlichten over beveiliging... dat doen ze meestal alleen als er een serieus lek dreigt.
@ Franzki; Ik ken geen enkele provider die zo slecht over veiligheid communiceert en dergelijke zwakke wachtwoorden hanteert dan Telfort.

Voor iedereen die ook deze vragen heeft en graag opheldering wil, gebruik onderstaand contactformulier en deel de info hier, alvast bedankt.

https://www.telfort.nl/Algemeen/Contact/contactformulier/internet-tv-bellen.htm
Badge +4
Een aangetekende brief sturen... Hallo... stuck in the 80's? 😃
Reputatie 8
Badge +15
@ Franzki; Ik ken geen enkele provider die zo slecht over veiligheid communiceert en dergelijke zwakke wachtwoorden hanteert dan Telfort.

Voor iedereen die ook deze vragen heeft en graag opheldering wil, gebruik onderstaand contactformulier en deel de info hier, alvast bedankt.

https://www.telfort.nl/Algemeen/Contact/contactformulier/internet-tv-bellen.htm

Ken meer bedrijven die niets los laten over beveiliging. Waarom zouden ze?
Alle informatie over de beveiligings technieken die ze vrij geven kan ook misbruikt worden. Zie het als een extra beveiliging. ;)

In één van je vorige berichten heb je een link naar een *ww tester.
Het ww wat ik daar teste word als goed omschreven en is ook te gebruiken op Telfort.
Maar.. als ik dit wachtwoord op andere websites wil gebruiken lees ik alleen maar slecht slecht slecht!
Ook wordt er gelinked naar een ww generator en die vindt 8 tekens prima.Liever meer maar 8 is oke. Het geeft mij dus weinig duidelijkheid en voor mijn gevoel meer onduidelijkheid.

Als je op websites meerdere keren onjuiste inloggegevens invoer dan wordt het account automatisch geblokkeerd voor een bepaalde tijd.

Verder ben je zelf verantwoordelijk voor het aanmaken van een goed wachtwoord. Met een combinatie van cijfers en letters kan je heel ver komen.
Wellicht kan Telfort wel toevoegen dat ook symbolen gebruikt mogen worden.

Ww=wachtwoord. 😉
@koffiemok; mijn eigen verantwoording wat betreft online security neem ik heel serieus, vandaar mijn vragen. Van de 150 sites met wachtwoorden die ik gebruik, heeft juist mijn voornaamste account, van mijn ISP en mobiel contract,  de zwakste wachtwoorden.

Inmiddels een reactie gekregen van Telfort;

Mijn vragen:
1. hoe staat het met het Heartbleed lek bij Telfort? Zijn mijn gegevens nog veilig?
2. waarom kan ik geen sterk wachtwoord aanmaken en hoe kan Telfort op deze wijze de veiligheid van mijn account garanderen?

Een wachtwoord van slechts 12 cijfers en letters is naar de huidige maatstaven erg onder de maat.

Reactie Telfort;
----------------------------------------------------------------------------------------------------------
Geachte heer xxxxxxx,

Op 16-04-2014 heeft u via het webformulier een vraag gesteld aan de klantenservice van Telfort internet. Hieronder leest u onze reactie.

Telfort vindt het fijn dat u gebruik maakt van onze diensten.

Helaas bieden wij geen ondersteuning hierop. Voor eventuele hulp kunt u terecht op ons forum via forum.telfort.nl.

Onze excuses voor het ongemak.

Heeft u nog vragen? Kijk dan op telfort.nl/klantenservice. Hier vindt u eenvoudig en snel antwoord op al uw vragen.

Met vriendelijke groet,
Telfort klantenservice internet
----------------------------------------------------------------------------------------------------------

Dus weer terug bij af... Wel fijn dat ze mijn betalingen op prijs stellen, maar ga toch eens kijken bij andere providers.

Reageer