Gå til innhold

Advarsel: PS.no, Netshop, Amentio m.fl. lagrer passord i klartekst! OPPDATERT: Rapportert lekkasje


Anbefalte innlegg

Hadde glemt innloggingsdetaljene til min Dustin Home konto, så valgte å få sendt dem til min email. Regnet selvfølgelig med at jeg ville få generert et nytt passord, men til min store forferdelse ble mitt gamle passord sendt i klartekst tilbake. Dette er en stor sikkerhetsrisiko, og enhver person som har lært om sikkerhet man absolutt ikke skal lagre passord i klartekst!

Anbefaler dere til å bytte til et passord som dere ikke bruker andre steder (man skal egentlig ha forskjellige passord alle steder, men alle vet at ikke alle gjør dette), eller få kontoen slettet hvis dere ikke handler der lenger.

PS: Lagde en ny tråd siden dette er såpass alvorlig, i den andre tråden blir det nok borte i støyen.

Edit: PS.no gjør også dette.

Edit2: Amentio, og alle andre Webmercs gjør også dette. Komplett.no er safe (har testet, ble litt bekymret..)

Edit3: Og der var Netshop og lagt til.. Testet mpx.no også, de var trygge (eies jo av Komplett..)

Edit4: Dustin krypterer nå passordene sine.

Trygge butikker
Komplett.no
MPX.no
Dustinhome.no

 

Edit5: Og da skjedde det.. Brukere rapporterer om at de har funnet passord de kun har brukt hos Amentio i en dump. Se dette innlegget: https://www.diskusjon.no/index.php?showtopic=1218525&p=21969990

Endret av eisa01
Lenke til kommentar
Videoannonse
Annonse

Hvis du kjenner til flere nettbutikker som gjør dette, så hadde det vært fint om du listet de opp så folk kunne blitt advart. Dette er rett og slett uaktsom oppførsel om f.eks. en utro tjener skulle stikke av med kundedatabasen.

 

Sendte en mail til [email protected] om problemet, ba også om at kontoen min ble slettet.

Lenke til kommentar

Takk! Kjøpte noe fra dem i 2005.

 

PS.no har forøvrig ikke helt bra rutiner, fikk før jul en gang spam fra dem, siden de som sendte ut emailen sendte til alle kundene. Markedsavdelingen hadde visst litt for vide tilgangsrettigheter i databasen..

 

I tillegg så bruker de fortsatt N-Safe merking, selv om den ordningen er lagt ned. De to andre ordningene de har under "Kvalitet & Sikkerhet" klarer jeg ikke se hva er, nesten som på suspekte netthandler...

 

Får forhåpentligvis slettet kontoen min der.

Endret av eisa01
Lenke til kommentar

Dette gjelder da ganske så mange nettbutikker, da de fleste baserer seg på samme pakken. Gjelder også ganske så mange mailinglister osv.

Oppdaget nå at dette gjaldt min konto hos Amentio, så det betyr at alle som bruker Webmercs også har dette problemet...

 

Jaja, da blir det Komplett for meg framover. Tydeligvis ikke lett å i minste fall bruke en hash-funksjon for å få et minimum av sikkerhet når det gjelder passordet.

Lenke til kommentar

Legg inn internett som usikkert :D

 

Bra svar.

 

Personlig gir jeg blanke, har alltid regnet selve innlogginga på nettbutikker som usikker - ikke minst fordi jeg har sett oppsettet av løsningene. Og det bryr jeg meg katta om så lenge ikke betalingsløsningen er det samme - noe de ikke er. Om passordet mitt til Dustin eller noen andre nettbutikker skulle komme på avveie er det relativt uproblematisk.

 

Dersom folk bruker passord samme passord på nettbutikker som plasser med relativt fortrolig info bør de skjerpe seg.

 

Ikke det at jeg mener man ikke skal "sikre" brukerkontoer bedre, men regn i utgangspunktet det meste som usikkert. Hashing er heller ikke sikkert om folk bruker passord på 5 - 7 tegn.

Lenke til kommentar

Makan til paranoia har jeg ikke sett på lenge.

 

Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke.

 

Storm i vannglass

Lenke til kommentar

Makan til paranoia har jeg ikke sett på lenge.

 

Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke.

 

Storm i vannglass

Det at passordet lagres i klartekst er ikke i seg selv ett problem, men er graverende av følgende årsaker:

- Grunnleggende sikkerhetsrutiner tilsier at passord ALDRI skal lagres i klartekst. Om utviklerene bak systemet ikke har fått med seg dette så er det lov å spørre om hva annet de ikke har fått med seg.

- Sikkerheten rundt e-post må anses å være på linje med postkort. Det du ikke vil skrive på et postkort og sende bør du heller ikke sende i en e-post. Her sendes passord på e-post.

- Enhver middels oppegående utvikler klarer å knote i sammen en funksjon/rutine i systemet som gjør at man ikke trenger å sende passord i klartekst. Eg stiller da spørsmålstegn til enten kunnskapen til personene bak eller hva annet er nedprioritert?

- Sikkerheten på produksjonsdatabasen er nok relativt høy, men det hjelper lite dersom backupen ikke blir behandlet som like sensitiv(siden alle passordene er lagret i klartekst).

- Utelukkende ALLE språk har i dag en enkel løsning for å hashe/kryptere et passord. Når sikkerheten økes såpass dramatisk bare ved å gjøre dette, hvor er fokuset til utviklerene egentlig?

Lenke til kommentar

Selv om du får det i klartekst i mail er det ingen tegn på at passordet er lagret i klartekst. I mine system krypterer jeg passordene men kan fortsatt få de ut i klartekst.

Mange finner genererte passord irritabelt, Wordpress er et eksempel på system som gjør det.

Lenke til kommentar

Makan til paranoia har jeg ikke sett på lenge.

 

Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke.

 

Storm i vannglass

 

He - he. Det var jo et opplyst og reflektert svar .... :no:

Lenke til kommentar

- Sikkerheten rundt e-post må anses å være på linje med postkort. Det du ikke vil skrive på et postkort og sende bør du heller ikke sende i en e-post. Her sendes passord på e-post.

OK nok at e-post ikke er det sikreste her i verden. Men hvordan foreslår du at man gjenoppretter tilgang på konto med glemt passord uten å bruke e-post?

Lenke til kommentar

Selv om du får det i klartekst i mail er det ingen tegn på at passordet er lagret i klartekst. I mine system krypterer jeg passordene men kan fortsatt få de ut i klartekst.

Mange finner genererte passord irritabelt, Wordpress er et eksempel på system som gjør det.

Hvis man krypterer passord men fortsatt får de ut i klartekst så er det fortsatt en feilet sikkerhetspolicy. Fordi man har aldri en 100% garanti mot at feil person får tak på koden, spesielt ikke hvis den ligger lagret på systemnivå.

 

Det som gjelder er å hashe passordet, slik at ingen kan gjenopprette den i klartekst. Men man kan fortsatt se om brukeren har tastet inn rett passord ved å hashe på nytt og sammenligne med hashen som er lagret i databasen.

Lenke til kommentar

OK nok at e-post ikke er det sikreste her i verden. Men hvordan foreslår du at man gjenoppretter tilgang på konto med glemt passord uten å bruke e-post?

Det mest brukte metoden er at man sender ut en link som gir en tidsbegrenset mulighet til å opprette nytt passord via en nettside.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...