CDON og lett tilgjengelig passord!

[VikinGz]

Registerte meg på cdon, vell å merke at jeg ikke trodde jeg hadde registert meg før. Jeg prøvde da alle mine epostadresser og så om jeg hadde det, men fikk besjed om at nei de ekisterte ikke i kunde databasen. Så regga meg med den jeg bruker daglig, passord, prøvde fødselsnr men fikk besjed at det var regga fra før av.

Etter noen dager spør jeg de om de kan finne ut hvorfor det, og de ber om fødselsnr mitt. Så finner de en konto tidligere på samme epost adresse samt at de faktisk sender meg passordet på mail. Da tenkte jeg SHIT!

Nå vet han passordet mitt til stort sjett alt på nette, samt at jobben kan få snusen på det viss de sjekker eposten!

 

Kan de ha slike åpne databaser? så de faktisk bare enkelt og greit kan hente ut passordet?

Jeg vet netshop ikke kan det, fikk ikke passordet tilsendt fra de. Fordi de ikke kunne hente det ut.

Dette er bekymringsfult

[Rookie_NO]

Vel, det er vel lov å bruke litt sunn fornuft også. Aldri stol på at en leverandør behandler dine kundedata slik datatilsynet har foreskrevet. I dette tilfellet er det en utenlandsk forhandler, nok en grunn til å ikke stole på databehandlingen deres.

 

Jeg ville uansett ikke bekymret meg for hacking/fraud selv om de ikke sikrer passordene bedre, hvis noen bestemmer seg for å "hacke" akkurat deg så finner de den infoen de trenger uansett...

[Saiko]

Det å ha passord lagret i klartekst er i det minste en uting, og jeg vil anta de fleste utviklere med et minimum mellom ørene er klar over dette og ikke gjør dette.

 

Personlig mener jeg at man aldri skal kunne få tilsendt sitt tidligere passord (ved bruk av "Jeg har glemt passord"-lenker). Man skal få tilsendt en mail der man bekrefter at man har bedt om nytt passord og få generert et nytt et fra systemets side. Dette er heller ikke idiotsikkert, men gir i allefall et minimum av sikkerhet for brukeren.

[VikinGz]

Jeg sendte med en anne epost adresse og skrev bare at jeg ikke fikk brukt det når jeg regga meg og at personnr mitt var det xxxxxxxx også fikk jeg svar med epost og passord tilbake O.o

Så her er det ennda mere å hente på å "låne seg" ett visakort og annen identifikasjon som har personnr skrevet på!

[pertm]

Høres ikke bra ut og en del folk har sannsynligvis lagt inn hele personummert der også. Det er vel neppe bedre sikkret enn passordet, men det er lagt mere man kan gjøre til ugang med den enn med et passord. Jeg så etter og så at jeg bare hadde lagt inn fødselsnummer på min konto hos cdon. Enig i å sende passord i klartekst er en uting som en ikke burde gjøre, men det er håpløst å vite det før man trenger det.

[VikinGz]

Høres ikke bra ut og en del folk har sannsynligvis lagt inn hele personummert der også. Det er vel neppe bedre sikkret enn passordet, men det er lagt mere man kan gjøre til ugang med den enn med et passord. Jeg så etter og så at jeg bare hadde lagt inn fødselsnummer på min konto hos cdon. Enig i å sende passord i klartekst er en uting som en ikke burde gjøre, men det er håpløst å vite det før man trenger det.

8249295[/snapback]

Netshop fikk ikke selv lest ut av databasen, og det er posetivt. Vill ikke at hele kundeserice bare kan gå inn, her var ett vanskelig passord. Prøver msn... hmm ikke der, hva med å handle noen nye maskiner på komplett da.. bare for å skape problemer

Ja det fins slike folk!

[Ninjahamster]

Hm, veldig merkelig. Trodde alle hadde et automatisk passordsystem hvor ingen menneskelige sjeler kunne gå inn å hente passord, men at disse blir dekryptert og sendt ut til kunde på forespørsel... heldigvis bruker jeg mer "useriøse" passord på nettbutikker hvor kun adresse og slikt er lagret.

[Saiko]

Hm, veldig merkelig. Trodde alle hadde et automatisk passordsystem hvor ingen menneskelige sjeler kunne gå inn å hente passord, men at disse blir dekryptert og sendt ut til kunde på forespørsel... heldigvis bruker jeg mer "useriøse" passord på nettbutikker hvor kun adresse og slikt er lagret.

8255849[/snapback]

Litt av poenget med krypterte passord er at "ingen" skal kunne dekryptere dem. Hvis noen kunne få tak i databasen butikken bruker og det er mulig å dekryptere passord er man jo like langt, da kunne man like godt lagret dem i klartekst.

 

De fleste jeg kjenner som administrerer (nett-)systemer som inneholder passord lagrer dem i f.eks. MD5-kryptering+salt. Dette er ikke feilfritt, men fortsatt ganske vanskelig å dekryptere/kræsje. Det er vanlig at man får et nytt passord som systemet har generert og ikke sitt gamle passord tilsendt når man trykker "I forgot my password" el.l.

[Ninjahamster]

Det jeg mente var om du etterspørr passord via en nettside ved å skrive inn e-mailen din må det jo dekrypteres før det kan skrives inn i mailen din og sendes til deg. Dette gjøres jo selvfølgelig ikke av personer, men en datamaskin.

[pertm]

Jeg var litt skuffet nå når jeg nettopp registrerte meg på et forum og fikk en mail tilbake om at det var godkjent med passord i klartekst. Jeg bruker flere passord og har et jeg standard bruker på slike ting som jeg er usikker på sikker de har lagret/behandler passordet og andre passord for steder jeg er mer sikker på.

[VikinGz]

Det jeg mente var om du etterspørr passord via en nettside ved å skrive inn e-mailen din må det jo dekrypteres før det kan skrives inn i mailen din og sendes til deg. Dette gjøres jo selvfølgelig ikke av personer, men en datamaskin.

8256044[/snapback]

Ja, det er vell en ganske så vanlig funksjon at den bli dekryptert og sendt til brukeren. Noe som virker mye bedre enn at kundeserice går inn basen og henter passordet og sender det på mail

[Herr Brun]

Det jeg mente var om du etterspørr passord via en nettside ved å skrive inn e-mailen din må det jo dekrypteres før det kan skrives inn i mailen din og sendes til deg. Dette gjøres jo selvfølgelig ikke av personer, men en datamaskin.

8256044[/snapback]

Ja, det er vell en ganske så vanlig funksjon at den bli dekryptert og sendt til brukeren. Noe som virker mye bedre enn at kundeserice går inn basen og henter passordet og sender det på mail

8256411[/snapback]

Hvis det kan dekrypteres av datamaskinene til bedriften er det ikke bedre enn om du kan få det ved å kontakte kundeservice.

Det eneste riktige er å lagre det ordentlig kryptert (null tilgang fra noen) i databasen. Når du ber om å få det tilsendt, får du en mail hvor det bes om bekreftelse. Bekrefter du, får du tilsendt ett NYTT passord i klartekst som du må skifte første gang du logger inn

[Ninjahamster]

Jeg vil si det er bedre at en datamaskin dekrypterer og sender ut enn at mennesker håndterer dette. En datamaskin kan ikke fysisk spre ut passordet til andre, det kan mennesker. Men ja, jeg er enig med deg i at det eneste riktige mtp. høy sikkerhet er at det lages et helt nytt passord når man ber om passord.

[_dundun_]

Det viktige poenget her er at man aldri skal lagre passord på en måte som er lesbar for noen noensinne, menneske, maskin eller program. Dette gjøres av alle seriøse utviklere, et tegn på at dette er gjort på en side man benytter er at man i stedet for å få tilsendt sitt gamle passord når man sier man har glemt det får et nytt og tilfeldig generert passord. Så får man heller bytte til et kjent passord i ettertid hvis man ønsker det.

[Stream]

Det er faktisk et problem for utviklere at en del kunder insisterer på at passordene skal lagres i klartekst i deres system.

[VikinGz]

Jeg driver nå å bytter passord over alt på nette... dette blir litt av en jobb. Også det som var så perfekt passord. Brukt i alle de år...

[Saiko]

Det er faktisk et problem for utviklere at en del kunder insisterer på at passordene skal lagres i klartekst i deres system.

8256775[/snapback]

Forsåvidt et argument for å lagre passord i klartekst, men da bør man også presisere ovenfor kunden at utvikleren/firmaet ikke er ansvarlig for evt. misbruk av kontoen som følge av at uvedkommende har hacket databasen.

 

Personlig lager jeg systemer der passordet krypteres og det genereres et nytt hvis noen har glemt det gamle. Det er ikke verre enn at brukeren kan endre passordet til noe "mer leselig" enn det systemgenererte "67@Bb=3X>~"* når den har logget seg inn igjen.

 

*Dette er naturligvis bare et tøysepassord jeg fant på nå.

[VikinGz]

tror jeg sender inn en klage på de om dette!

[VikinGz]

Sendte inn en liten mail angående dette og fikk dette til svar:

 

Hei,

 

 

 

Jeg forstår ikke helt hva som er bekymringen med det? Vi er 2 stykker som jobber på den Norske kundeservicen. Så de skulle finne ut med engang hvis vi skulle misbruke noen passord. Dessuten så er vi seriöse og skulle alrig finne på tanken engang.

[pertm]

Det høres ikke bra ut nei, det er jo hva de gjør man er redd for, selv om det er også en fare som kan slå hard ut mot cdon hvis de skulle gjøre noe eller noen skulle klare å bryte seg inn på systemet de har.