Hos Dustin ligger passordet ditt lagret i klartekst

[Unlimited LTD]

 

Jeg derimot, vil anbefale deg å behandle dette passordet som fullstendig kompromittert. Alle kontoene du evt. har samme passord på, bør du innom og bytte passord på (til et unikt et), så fort som overhodet mulig.

 

Slenger meg på Leftie.

Nå kjenner jeg ikke hvordan Dustin opererer, men jeg kjenner til flere sider der ikke bare siste passord blir lagret, men alle passord du har brukt (evt. bare det nest siste, eller tre-fire siste), for å forsikre seg om at du ikke benytter deg av samme passord to eller flere ganger.

 

Så i verste fall så kan alle passord du har brukt være lagret, og da etter alt å dømme, i klartekst.

Uansett så kan en liten luring ansatt i Dustin ha tatt en dump av databasen allerede, og da hjelper det lite å bytte.

 

Personlig begynner jeg å gå tom for passord nå :/

Tror jeg må gjennomgå passordrutinene mine igjen. Har HW en guide, eller noe? Gjerne noe som sync-er med Dropbox, og virker automatisk på Chrome.

[Gjest Slettet-Pqy3rC]

 

Nå kjenner jeg ikke hvordan Dustin opererer, men jeg kjenner til flere sider der ikke bare siste passord blir lagret, men alle passord du har brukt (evt. bare det nest siste, eller tre-fire siste), for å forsikre seg om at du ikke benytter deg av samme passord to eller flere ganger.

De kunne ha fiksa det med en hash. Skjønner ikke hvorfor de skal lagre passordet, det gir ingen mening.

 

 

Tror jeg må gjennomgå passordrutinene mine igjen. Har HW en guide, eller noe? Gjerne noe som sync-er med Dropbox, og virker automatisk på Chrome.

KeePass

[Feh]

Helt utrolig at han i prinsippet klarer å si at de venter til neste år før de tar sikkerheten og personvernet vårt på alvor.

 

Å implementere hashing av passordet før det lagres i databasen, og hashing av de eksisterende passordene burde være en smal sak som utviklerne fikser på under en arbeidsdag.

[nomore]

Ja - dette er utrolig dårlig gjennomført av DustinHome. De burde vite langt bedre.

 

Dessverre er de ikke alene. Denne siden viser ei skummel lang liste over nettsider/løsninger som gjør det samme:

http://passwordfail.com/websites/

 

Listen inkluderer store navn som IDG.no, Lyse.no, Play.com, Endomondo.com, MittAnbud.no, QXL.no, RunKeeper og BillettService.no.

Alle burde vite bedre - alle gjør det allikevel.

 

Det er på tide at folk våkner opp. Det holder ikke lenger med ett langt, vanskelig og lett-å-glemme passord. Man er nødt til å ha unike passord.

[Zimon]

Blir garantert boikott her. Spørsmålet er hvordan man sletter brukeren sin...

 

Bør man slette brukerkontoen sin og dermed miste mulighet til ordrehistorikk? Jeg har ingen konto på Dustin, har vurdert dem flere ganger, men dette var en stor ripe i lakken deres!

 

Vil nok heller anbefale å logge seg inn, endre passordet til noe helt unik for den kontoen. Bør nok også som nevnt endre passord på andre steder man har brukt samme passordet på.

[EnvyAndroid]

Dustin sender deg passordet ditt i klartekst på epost når du resetter det...

 

Horribel praksis.

 

Og dette er ikke den eneste norske nettbutikken som gjør dette!

Jeg har funnet flere...

[MiniX]

Dette er jo en holdning man finner flere steder. Jeg konatktet doffin.no ang passord som kom i retur på mail og fikk dette svaret 08/08/2012:

 

 

 

All informasjon i vår database ligger bak en brannmur og passord sendes kun ut til den registrerte e-postadressen. Det lagres heller ikke spesielt sensitiv informasjon om en bruker på vår side. Vi kan ikke være ansvarlige for brukere som anvender det samme passordet på andre nettsider.

Med det sagt, vi er i en vurderingsfase for å endre rutiner rundt håndtering av passord. Din tilbakemelding vil bli tatt med i vurderingen.

[Kuza]

Tror jeg må gjennomgå passordrutinene mine igjen. Har HW en guide, eller noe? Gjerne noe som sync-er med Dropbox, og virker automatisk på Chrome.

 

Bruker KeePass og har database filen i Dropbox mappen, så da blir alt automatisk syncet. For automatisk inntasting av brukernavn og passord i Chrome, så trenger du en extension som heter "Url in title", etter den er installert, så kan du trykke en egen definert hotkey for å logge deg inn på alle sidene du bruker.

[Kenneth Solfjeld]

Når folk begynner å få 15-20 forskjellige nettkontoer å holde styr på passordene til, skal man ha veldig god hukommelse, eller ha et snev av autisme skal man klare å huske hvert unike passord. Jeg klarer ikke å huske passordene til alle stedene jeg frekventerer på nettet. Hvis det går en stund mellom hver gang jeg er inne på et av stedene, må jeg nesten uten unntak trykke på "glemt passord" knappen.. Min personlige mening er at passord i dagens form er utdatert, og man burde finne en annen løsning på kundesikkerheten. Kanskje de store aktørene kunne gå sammen å lage en slags portal ala MinID? Bare en tanke. Noe må gjøres. Verre er det likevel når kortinformasjon kommer på avveie som f.eks. hos Adobe. Jeg var en av de mange millioner berørte i den saken. Fikk beskjed om å sperre kortet og bestille nytt. Det gjorde jeg, men det er en belasting som man ikke burde være nødt til å gå igjennom.

[Magnusha]

Hvor stor er sannsynligheten for at de har lagret det gamle passordet også etter du har byttet?

[Gjest Slettet-qfohT7]

I lys av dette, kan noen forklare meg grunnen til at de tjenester som sender deg passordet på epost når man trykker "recover passord" i stedet for en reset link er usikker? (Husker å ha lest grunnen en gang..)

 

Hva slags lag med sikkerhet er det man mangler når man kan klare å finne tilbake til passordet? (hvis vi ser bort i fra muligheten at det er lagret i klartekst)

[EnvyAndroid]

Jeg har over hundre kontoer til alt mulig, så jeg er må bruke keepass. Det fungerer utmerket, og du har selv full kontroll over passordfilen

[Emancipate]

Men hvorfor kan de ansatte se passordet? De ansatte burde ikke kunne se hashen engang.

Endret 27. november 2013 av Tåkelur

[Boil In Bag]

Men hvorfor kan de ansatte seg passordet? De ansatte burde ikke kunne se hashen engang.

Det er også noe jeg stusser på. Ansatte har ingen grunn til å kunne måtte se passordet eller hashen. Heller ytterst få i IT avdelingen bør ha tilgang til kundedatabasen som inneholder sensitiv informasjon.

[aleksanderro]

Blir garantert boikott her. Spørsmålet er hvordan man sletter brukeren sin...

 

Ganske skremmende dette her, så finner du ut av det så må du si ifra til meg hvordan du gjorde det.

[Kuza]

I lys av dette, kan noen forklare meg grunnen til at de tjenester som sender deg passordet på epost når man trykker "recover passord" i stedet for en reset link er usikker? (Husker å ha lest grunnen en gang..)

 

Hva slags lag med sikkerhet er det man mangler når man kan klare å finne tilbake til passordet? (hvis vi ser bort i fra muligheten at det er lagret i klartekst)

 

Hvis du får tilsendt passordet ditt når du bruker "forgot password", så vil det si at passordet ditt er lagret i klar tekst.

 

Hvis de lagrer passordet ditt som en hash, så er det ikke mulig for dem å vite hva passordet ditt er, og altså umulig for dem å sende deg passordet ditt i mail.

[Aetius]

Hm, jeg fant en interessant tråd fra 2010 der det påstås at Dustin krypterer sine passord.

[Emancipate]

I lys av dette, kan noen forklare meg grunnen til at de tjenester som sender deg passordet på epost når man trykker "recover passord" i stedet for en reset link er usikker? (Husker å ha lest grunnen en gang..)

 

Hva slags lag med sikkerhet er det man mangler når man kan klare å finne tilbake til passordet? (hvis vi ser bort i fra muligheten at det er lagret i klartekst)

Det at passordet kan sendes på epost betyr at det var lagret i klartekst, noe som er en sikkerhetsrisiko.

 

Login-funksjonen blir dermed:

hvis passord som er skrevet inn = passord som er lagret i databasen: login ok

hvis ikke: login fail

 

Normalt skal passordet lagres som en hash. Dette er som en enveis-kryptering, der passordet kjøres igjennom en funksjon og blir til en hash, men hashen kan ikke brukes til å finne tilbake til passordet.

 

Login-funksjonen blir dermed:

hvis hashen til passordet som ble skrevet inn = hashen som er lagret i databasen: login ok

hvis ikke: login fail.

 

La oss si at Ali Baba (ansatt eller hacker) får tilgang til databasen med hasher eller klartekst.

 

Hvis Ali har passordet i klartekst ("dolokk") kan han logge seg inn ved å skrive inn brukernavn og passordet. Han da kan f.eks. bestille varer i ditt navn eller prøve passordet på andre sider der du kanskje er registrert, f.eks. eposten din.

 

Login-funksjonen:

sjekk om dolokk (skrevet inn) = dolokk (fra databsen): ja. login ok!

 

---

 

Om passordet hadde vært lagret som en m5-hash (http://www.miraclesalad.com/webtools/md5.php) hadde den sett sånn ut: 428c7a9ffb3c02dad57858bf90f87bab

 

Hvis Ali har hashen ("428c7a9ffb3c02dad57858bf90f87bab") kan han ikke logge seg inn. Fordi når han skriver hashen i passordfeltet tar login-funksjonen og sammenligner hashen til hashen med hashen i databasen. Dette gir en login fail. Se:

 

sjekk om hashen til 428c7a9ffb3c02dad57858bf90f87bab (skrevet inn) = 428c7a9ffb3c02dad57858bf90f87bab (fra databasen). nei. login fail.

 

Fordi hashen til 428c7a9ffb3c02dad57858bf90f87bab er nemlig 6237ad907bc82851faae4a9b4714a65f, noe som ikke ligger lagret i databasen.

 

Selve login-mekanismen blir dermed sikrere om man bruker en hash, fordi selv om folk får tak i hashen (ved å hacke databasen) kan de ikke logge seg inn. Dette er hovedpoenget med å lagre passordet som en hash.

 

En annen sak er at eposter ikke er kryptert, så når passordet sendes til deg på epost kan et "slemt" epost-kontor meldingen sendes igjennom på vei til deg lese passordet. Og folk som har tilgang til trådløsnettverket ditt.

[kvakse]

Sjølv om eg sjølv bruker fleire passord og er påpasselig med sikkerheita så er det begrensa kor mange passord eg klarer å ha kontroll over.

 

Keepass! Legg keepass-filen i en dropbox-mappe, så har du passordene dine tilgjengelig overalt. Jeg har ca 500 unike passord, men husker bare ett av dem.

[Kenneth Solfjeld]

Må prøves.