eisa01 Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 (endret) Hadde glemt innloggingsdetaljene til min Dustin Home konto, så valgte å få sendt dem til min email. Regnet selvfølgelig med at jeg ville få generert et nytt passord, men til min store forferdelse ble mitt gamle passord sendt i klartekst tilbake. Dette er en stor sikkerhetsrisiko, og enhver person som har lært om sikkerhet man absolutt ikke skal lagre passord i klartekst!Anbefaler dere til å bytte til et passord som dere ikke bruker andre steder (man skal egentlig ha forskjellige passord alle steder, men alle vet at ikke alle gjør dette), eller få kontoen slettet hvis dere ikke handler der lenger.PS: Lagde en ny tråd siden dette er såpass alvorlig, i den andre tråden blir det nok borte i støyen.Edit: PS.no gjør også dette.Edit2: Amentio, og alle andre Webmercs gjør også dette. Komplett.no er safe (har testet, ble litt bekymret..)Edit3: Og der var Netshop og lagt til.. Testet mpx.no også, de var trygge (eies jo av Komplett..)Edit4: Dustin krypterer nå passordene sine.Trygge butikkerKomplett.noMPX.noDustinhome.no Edit5: Og da skjedde det.. Brukere rapporterer om at de har funnet passord de kun har brukt hos Amentio i en dump. Se dette innlegget: https://www.diskusjon.no/index.php?showtopic=1218525&p=21969990 Endret 13. september 2014 av eisa01 Lenke til kommentar
Tj-nome Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 Må vere enig der, men vill anbefale at du sende ein epost til Henrik [email protected] Sån han får bedsjed om dette. Lenke til kommentar
kpolberg Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 Dette gjelder da ganske så mange nettbutikker, da de fleste baserer seg på samme pakken. Gjelder også ganske så mange mailinglister osv. Lenke til kommentar
eisa01 Skrevet 5. april 2010 Forfatter Rapporter Del Skrevet 5. april 2010 Hvis du kjenner til flere nettbutikker som gjør dette, så hadde det vært fint om du listet de opp så folk kunne blitt advart. Dette er rett og slett uaktsom oppførsel om f.eks. en utro tjener skulle stikke av med kundedatabasen. Sendte en mail til [email protected] om problemet, ba også om at kontoen min ble slettet. Lenke til kommentar
nomore Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 Eller om en backup skulle komme på avveie? Skummelt. Lenke til kommentar
TaZ Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 PS.no Får brukernavn og samme passord på mail.. Ikke sendt mail til di om dette.. Lenke til kommentar
eisa01 Skrevet 5. april 2010 Forfatter Rapporter Del Skrevet 5. april 2010 (endret) Takk! Kjøpte noe fra dem i 2005. PS.no har forøvrig ikke helt bra rutiner, fikk før jul en gang spam fra dem, siden de som sendte ut emailen sendte til alle kundene. Markedsavdelingen hadde visst litt for vide tilgangsrettigheter i databasen.. I tillegg så bruker de fortsatt N-Safe merking, selv om den ordningen er lagt ned. De to andre ordningene de har under "Kvalitet & Sikkerhet" klarer jeg ikke se hva er, nesten som på suspekte netthandler... Får forhåpentligvis slettet kontoen min der. Endret 5. april 2010 av eisa01 Lenke til kommentar
eisa01 Skrevet 5. april 2010 Forfatter Rapporter Del Skrevet 5. april 2010 Dette gjelder da ganske så mange nettbutikker, da de fleste baserer seg på samme pakken. Gjelder også ganske så mange mailinglister osv. Oppdaget nå at dette gjaldt min konto hos Amentio, så det betyr at alle som bruker Webmercs også har dette problemet... Jaja, da blir det Komplett for meg framover. Tydeligvis ikke lett å i minste fall bruke en hash-funksjon for å få et minimum av sikkerhet når det gjelder passordet. Lenke til kommentar
DarkZhade Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 http://www.passwordfail.com/websites.aspx Lenke til kommentar
TaZ Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 Kan legge til www.multicom.no som usikker og. Lenke til kommentar
WiSLE Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 tjas og mas.. Legg inn telenor også da.. Lenke til kommentar
UrgeLoL Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 Legg inn internett som usikkert 1 Lenke til kommentar
Bolson Skrevet 5. april 2010 Rapporter Del Skrevet 5. april 2010 Legg inn internett som usikkert Bra svar. Personlig gir jeg blanke, har alltid regnet selve innlogginga på nettbutikker som usikker - ikke minst fordi jeg har sett oppsettet av løsningene. Og det bryr jeg meg katta om så lenge ikke betalingsløsningen er det samme - noe de ikke er. Om passordet mitt til Dustin eller noen andre nettbutikker skulle komme på avveie er det relativt uproblematisk. Dersom folk bruker passord samme passord på nettbutikker som plasser med relativt fortrolig info bør de skjerpe seg. Ikke det at jeg mener man ikke skal "sikre" brukerkontoer bedre, men regn i utgangspunktet det meste som usikkert. Hashing er heller ikke sikkert om folk bruker passord på 5 - 7 tegn. Lenke til kommentar
Rusher Skrevet 6. april 2010 Rapporter Del Skrevet 6. april 2010 Makan til paranoia har jeg ikke sett på lenge. Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke. Storm i vannglass Lenke til kommentar
nomore Skrevet 6. april 2010 Rapporter Del Skrevet 6. april 2010 Makan til paranoia har jeg ikke sett på lenge. Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke. Storm i vannglass Det at passordet lagres i klartekst er ikke i seg selv ett problem, men er graverende av følgende årsaker: - Grunnleggende sikkerhetsrutiner tilsier at passord ALDRI skal lagres i klartekst. Om utviklerene bak systemet ikke har fått med seg dette så er det lov å spørre om hva annet de ikke har fått med seg. - Sikkerheten rundt e-post må anses å være på linje med postkort. Det du ikke vil skrive på et postkort og sende bør du heller ikke sende i en e-post. Her sendes passord på e-post. - Enhver middels oppegående utvikler klarer å knote i sammen en funksjon/rutine i systemet som gjør at man ikke trenger å sende passord i klartekst. Eg stiller da spørsmålstegn til enten kunnskapen til personene bak eller hva annet er nedprioritert? - Sikkerheten på produksjonsdatabasen er nok relativt høy, men det hjelper lite dersom backupen ikke blir behandlet som like sensitiv(siden alle passordene er lagret i klartekst). - Utelukkende ALLE språk har i dag en enkel løsning for å hashe/kryptere et passord. Når sikkerheten økes såpass dramatisk bare ved å gjøre dette, hvor er fokuset til utviklerene egentlig? Lenke til kommentar
Avean Skrevet 6. april 2010 Rapporter Del Skrevet 6. april 2010 Selv om du får det i klartekst i mail er det ingen tegn på at passordet er lagret i klartekst. I mine system krypterer jeg passordene men kan fortsatt få de ut i klartekst. Mange finner genererte passord irritabelt, Wordpress er et eksempel på system som gjør det. Lenke til kommentar
adder1972 Skrevet 6. april 2010 Rapporter Del Skrevet 6. april 2010 Makan til paranoia har jeg ikke sett på lenge. Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke. Storm i vannglass He - he. Det var jo et opplyst og reflektert svar .... Lenke til kommentar
A-Jay Skrevet 6. april 2010 Rapporter Del Skrevet 6. april 2010 - Sikkerheten rundt e-post må anses å være på linje med postkort. Det du ikke vil skrive på et postkort og sende bør du heller ikke sende i en e-post. Her sendes passord på e-post. OK nok at e-post ikke er det sikreste her i verden. Men hvordan foreslår du at man gjenoppretter tilgang på konto med glemt passord uten å bruke e-post? Lenke til kommentar
A-Jay Skrevet 6. april 2010 Rapporter Del Skrevet 6. april 2010 Selv om du får det i klartekst i mail er det ingen tegn på at passordet er lagret i klartekst. I mine system krypterer jeg passordene men kan fortsatt få de ut i klartekst. Mange finner genererte passord irritabelt, Wordpress er et eksempel på system som gjør det. Hvis man krypterer passord men fortsatt får de ut i klartekst så er det fortsatt en feilet sikkerhetspolicy. Fordi man har aldri en 100% garanti mot at feil person får tak på koden, spesielt ikke hvis den ligger lagret på systemnivå. Det som gjelder er å hashe passordet, slik at ingen kan gjenopprette den i klartekst. Men man kan fortsatt se om brukeren har tastet inn rett passord ved å hashe på nytt og sammenligne med hashen som er lagret i databasen. Lenke til kommentar
nomore Skrevet 6. april 2010 Rapporter Del Skrevet 6. april 2010 OK nok at e-post ikke er det sikreste her i verden. Men hvordan foreslår du at man gjenoppretter tilgang på konto med glemt passord uten å bruke e-post? Det mest brukte metoden er at man sender ut en link som gir en tidsbegrenset mulighet til å opprette nytt passord via en nettside. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå