Wachtwoorden opgeslagen op de computer?

[Severus]

Ik sla altijd mijn wachtwoorden op, zodat ik ze bij een volgend bezoek aan diezelfde websites niet meer opnieuw hoef in te typen. Dat is handig en tijdbesparend. Alleen, nu is een website plotseling vernieuwd en nu werkt die optie van 'het wachtwoord herinneren' niet meer; het verschijnt dus niet meer automatisch.

En laat ik nu net vergeten zijn wat het wachtwoord is! Nu kan ik niet meer inloggen en ik ben niet van plan om een andere nickname te gebruiken.

Weet iemand misschien of er ergens een map is in mijn computer waar het wachtwoord opgeslagen staat? Er moet toch ergens een map zijn van waarin de computer een lijst heeft van alle opgeslagen wachtwoorden bij iedere website? Zo ja, als iemand me kan vertellen waar die zich gewoonlijk bevindt op iedere computer, dan hoor ik het heel graag.

Alvast hartstikke bedankt!

Groetjes,

Ripper

Ik denk dat zoiets wel op de computer staat, maar wel gecodeerd. Ik vrees dan ook dan jij er weinig mee zal kunnen doen...

[IceManX]

Heeft die site geen manier om je password op te laten sturen naar het emailadres dat je hebt gebruikt om te registreren?

[Severus]

Citaat:

IceManX schreef op 24-11-2003 @ 20:56:
Heeft die site geen manier om je password op te laten sturen naar het emailadres dat je hebt gebruikt om te registreren?

Nee, dat doen ze niet. Als je het vergeten bent, heb je geen andere keus dan je opnieuw in te schrijven. En dat wil ik niet.

[Screaming Slave]

ga naar een hypnotiseur, onder hypnose kan je je vrijwel alles herinneren.

[ekki]

Heb ff de topictitel aangepast van Help! naar de huidige titel.

[KoffieKoek]

Het algemene beleid mag dan wel zo zijn dat het password niet naar je e-mail gestuurd word, maar als je gewoon eens een berichtje stuurt naar die webmaster daar; en het verhaal aan 'em voorlegt... wellicht dat 'ie begrip toont voor je situatie.

[Orion16]

Uiteraard wordt dat lokaal opgeslagen als jij aangegeven hebt dat de PC je wachtwoord onthoud. Ik weet alleen dat die passwords ergens in de internet-cookies worden opgeslagen, géén idee hoe die dingen gecodeerd worden, en hoe je ze dus weer kunt encoderen.

Stuur dan een email naar een admin van die website..

[ekki]

Waarschijnlijk worden ze encrypted opgeslagen (MD5).

[Screaming Slave]

nee. md5 is one-way.

[ekki]

hmm, misschien dan anders encrypted.

[Screaming Slave]

dat denk ik ook, herinner me overigens wel dat msn messenger, ook van microsoft dus, tot versie 4 je wachtwoorden in plain text opsloeg in het register

[Dr Evil]

Waarschijnlijk heb je toen je je hebt aangemeld ook een e-mail ontvangen met een bevestiging van je lidmaatschap.
Daar staat o.a. in je gebruikersnaam en wachtwoord.
Waarschijnlijk heb je die e-mail nog wel dus kijk daar eerst maar eens na
Ben je zo 'slim' geweest om die e-mail weg te gooien dan weet ik het ook niet meer

[KoffieKoek]

Zoals ik al eerder zei.... gewoon ff contact opnemen met die desbetreffende webmaster ofzo. Ooit wel eens van het woord 'communicatie' gehoord??

[Enlightenment]

Citaat:

Screaming Slave schreef op 26-11-2003 @ 01:22:
nee. md5 is one-way.

Dus? Vaak wordt het eigenlijke password niet verstuurd, alleen de checksum ervan. Het voordeel daarvan is dat voor het wijzigen van je profiel je wel het echte wachtwoord moet intypen, en die wordt dan dus niet opgeslagen en is niet middels de MD5 checksum te achterhalen.

De schade van een cracker die met je account gaat kloten blijft zo dus beperkt.

[Screaming Slave]

Citaat:

Enlightenment schreef op 27-11-2003 @ 11:35:
Dus?

als je een browser je wachtwoorden laat opslaan, moet deze ze wel weer terug kunnen krijgen op de een of andere manier, dat kan dus alleen met een 2-way algo. het doet er verder niet toe wat er server-side met dat password gebeurt.

maargoed, ik zal wel gek zijn

[Enlightenment]

Lees nu eerst m'n verhaal. Dan snap je waarom zoiets niet perse two-way hoeft te zijn. Zijn zat websites/applicaties die niet het password sturen maar de checksum ervan. En zo hoort het ook.

[Screaming Slave]

dat snap ik echt wel, maar daar weet IE toch niks van dus leuk verhaal, maar zoals ik al zei niet van toepassing afaict. als er maar een site is die geen md5'd password stuurt, gaat je theorie al niet meer op. en die zijn er zat?

[Enlightenment]

Met cookies heeft de browser er niets over te weten, serverside wordt dat geprocessed. Maar je hebt gelijk dat als het een login submit form is, je browser het moet ondersteunen mocht dat encrypted verzonden worden. Ik weet ook niet of MSIE dat kan oid.

Bij goede sites is het zo dat je een keer inlogt met je echte password en er dan een cookie geschreven wordt met een checksum/sessie key. Die sessie key biedt gecombineerd met hetzelfde IP recht op de sessie waaronder je inlogde. Dat is natuurlijk heel veilig.

[Screaming Slave]

ik heb het even nagezocht, zowel IE en je geliefde Mozilla (en Firebird dus ook) gebruiken dus 2-way algoritmes, logisch ook natuurlijk.

op internet zijn namelijk tooltjes te vinden om passwords die IE heeft opgeslagen te achterhalen (wat niet mogelijk is bij een 1-way algo natuurlijk). en bij mozilla kun je zelfs d8 ik een versleutelingspassword instellen, wat onzin is mocht het een 1-way algoritme betreffen, dus als het nu niet duidelijk is dat het niet 1-way algoritmen zijn, dan weet ik het niet meer :b

maargoed, ik snap verder het id wel van md5 passwords, zo kan bijvoorbeeld Jon ook niet achterhalen wat het password van de mensjes hier op het forum is.

Citaat:

Enlightenment schreef op 27-11-2003 @ 12:07:
Met cookies heeft de browser er niets over te weten, serverside wordt dat geprocessed. Maar je hebt gelijk dat als het een login submit form is, je browser het moet ondersteunen mocht dat encrypted verzonden worden. Ik weet ook niet of MSIE dat kan oid..

Misschien begrijp ik je fout,
maar zeg je nu dat een cookie niet door de browser word opgeslagen op de PC?

[Enlightenment]

Citaat:

Screaming Slave schreef op 27-11-2003 @ 12:11:
ik heb het even nagezocht, zowel IE en je geliefde Mozilla (en Firebird dus ook) gebruiken dus 2-way algoritmes, logisch ook natuurlijk.

Voor password-forms moet dat idd ja. Maar voor cookie-authenticatie niet, zoals op mijn site en b.v. Tweakers.net.

Citaat:

op internet zijn namelijk tooltjes te vinden om passwords die IE heeft opgeslagen te achterhalen (wat niet mogelijk is bij een 1-way algo natuurlijk).

Dat is ook mogelijk voor 1-way hashes. Alleen is dat niet te berekenen, dat moet gebruteforced worden. En gezien de lengte van MD5 kan dat behoorlijk veel energie (als in: moeite) kosten.

Citaat:

en bij mozilla kun je zelfs d8 ik een versleutelingspassword instellen, wat onzin is mocht het een 1-way algoritme betreffen

De zin hiervan is dat de passwords niet uit te lezen zijn zonder de master password. Je zou het zo kunnen instellen dat je eerst je master password moet invullen bij het opstarten. Wel zo fijn als je b.v. internet bankieren and the likes gebruikt.

Citaat:

maargoed, ik snap verder het id wel van md5 passwords, zo kan bijvoorbeeld Jon ook niet achterhalen wat het password van de mensjes hier op het forum is.

Nouja Jon kan het natuurlijk wel via een omweg, maar iemand die toegang tot de database verschaft, heeft niet meteen toegang tot alle passworden nee.

[Gimme more beer]

Citaat:

********** schreef op 27-11-2003 @ 12:12:
Misschien begrijp ik je fout,
maar zeg je nu dat een cookie niet door de browser word opgeslagen op de PC?

De browser opzich toch niet? Die direct dat toch alleen maar?

[Enlightenment]

Citaat:

********** schreef op 27-11-2003 @ 12:12:
Misschien begrijp ik je fout,
maar zeg je nu dat een cookie niet door de browser word opgeslagen op de PC?

Je begrijpt me idd verkeerd, maar dat komt omdat ik onduidelijk ben.

Ik bedoelde dat de browser helemaal geen weet heeft van de inhoud/functie van hetgene wat in de cookie staat, die info wordt RAW geparsed met elke HTTP request. Zodoende kan het een MD5 van de password of een session key bevatten. Dat wordt serverside afgehandeld, en de teruggezonden content is afhankelijk van het feit of je toegang hebt gekregen, etc. PHP sessions dus.

[Screaming Slave]

het leuke van een 1-way algo is dat je het oorspronkelijke niet terug kan krijgen (achterhalen). bij een checksum kunnen oneindig veel verschillende oorspronkelijke strings horen. ach ja. nevermind.