Gå til innhold

Advarsel: PS.no, Netshop, Amentio m.fl. lagrer passord i klartekst! OPPDATERT: Rapportert lekkasje


Anbefalte innlegg

OK nok at e-post ikke er det sikreste her i verden. Men hvordan foreslår du at man gjenoppretter tilgang på konto med glemt passord uten å bruke e-post?

Det mest brukte metoden er at man sender ut en link som gir en tidsbegrenset mulighet til å opprette nytt passord via en nettside.

Fortsatt langt fra optimalt sikkerhetsmessig. Men det er vel det beste man har i dag. Egentlig synd at man fortsatt ikke har klart å få på plass en tryggere måte å kommunisere via e-post i 2010. :(

Lenke til kommentar
Videoannonse
Annonse

Selv om du får det i klartekst i mail er det ingen tegn på at passordet er lagret i klartekst. I mine system krypterer jeg passordene men kan fortsatt få de ut i klartekst.

Mange finner genererte passord irritabelt, Wordpress er et eksempel på system som gjør det.

I så tilfelle kunne du spart deg CPU bruken med å kryptere og dekryptere passordene. I 99.9% av tilfellene har man overhode ikke behov for å hente ut passordet i klartekst igjen, dermed er det bare snakk om å "hashe" passordet etter beste evne for å unngå to like hasher eller at noen tar seg tid til å sammenligne hash'ene med en rainbow tabell.

Lenke til kommentar
Fortsatt langt fra optimalt sikkerhetsmessig. Men det er vel det beste man har i dag. Egentlig synd at man fortsatt ikke har klart å få på plass en tryggere måte å kommunisere via e-post i 2010. :(

En perfekt løsning er det ikke, men sikkerheten er høyere enn med å sende ut passordet i klartekst. Ideelt sett burde man kanskje se på en tofaktor-løsning for pålogging, men da opplever nok mange at brukervennligheten reduseres.

Lenke til kommentar

Jeg personlig mener det blir paranoia om man kutter ut butikker fordi man får passordet tilbake i klartekst når man forespør glemt passord.

Da kan du like gjerne kutte ut hele internett, sålenge betalingssystemene er sikre så er det finfint for meg.

 

~ Mortis

Lenke til kommentar

Bra folk rapporterer dette. Det ER alvorlig. Med tanke på hvor mange som kan se eposten din "underveis", og muligheten for å komme seg inn på andre epostkonto på andre måter, og ikke minst: Hvor UFATTELIG enkelt det er å IKKE gjøre denne tabben, er dette ALVORLIG slurv!

Lenke til kommentar

Ringte telenor ba dem slette mitt internett abb. Nei tør ikke være online mere siden de sender passord i klartekst.

 

 

Passordet velger du ikke selv, så det er ingen sikkerhetsrisiko... Du kan ikke skifte ditt ADSL/mail passord.

Lenke til kommentar

Makan til paranoia har jeg ikke sett på lenge.

 

Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke.

 

Storm i vannglass

Jeg vet ihvertfall at Amentio og Netshop ikke en gang er klar over at de lagrer passordet i klartekst. Når jeg tok kontakt med dem fikk jeg bare dumme svar tilbake som at passordet var lagret på min maskin i nettleseren.

Lenke til kommentar

Tror du selgerne i selskapene har anelse om noe som helt vedrørende teknisk implementering av butikkløsning. Det blir omtrent som å spørre jenta i kassa på KIWI om lagerstyringssystemet til butikken. Skal man spørre slike spørsmål, får man spørre rette vedkommende.

Lenke til kommentar

Har alltid brukt forskjellig passord på slike butikker. Har ikke akuratt vært ukjent at sikkerheten er elendig på slike steder, derfor glad for at betaling nå krever ID-brikke og personlig passord.

Derimot at det lagres reversibelt er skremmende, og det er ingen grunn til at det skal være slik.

Lenke til kommentar

Tror du selgerne i selskapene har anelse om noe som helt vedrørende teknisk implementering av butikkløsning. Det blir omtrent som å spørre jenta i kassa på KIWI om lagerstyringssystemet til butikken. Skal man spørre slike spørsmål, får man spørre rette vedkommende.

Hvis man ikke kan svare på spørsmålet, så får man videresende det til rette avdeling.

Lenke til kommentar

Personlig bruker jeg et masterpassord som varieres etter bestemte mønstre, dermed er jeg sikret mot at noen kan stjele en passord-hash og bruke det til å logge inn andre steder. Imidlertid skal jeg jo huske dette systemet også, og det vil selvfølgelig være mulig å gjette seg frem til hva som er det variable passordet, hva som er "sttammen", og skjønne systemet. Det får tross alt være måte på. Når noen idioter da går hen og lagrer passordet i klartekst, blir jeg selvfølgelig irritert. De gambler med min sikkerhet pga. grov slurv eller imponerende(i negativ forstand) inkompetanse.

 

Så må man heller ikke glemme at "folk flest" har ett eller to passord, og bruker disse overalt. Å lagre disse passordene uten å salte og hashe dem skikkelig er et grovt tillitsbrudd.

Lenke til kommentar
  • 2 uker senere...

Hei og hå!

Takk for tilbakemeldingene på dette emnet!

Vi var faktisk ikke klare over dette problemet, men har nå vært i kontakt med firmaet som leverer webløsningen til oss. De har tatt tak i dette og har allerede et nytt system under betatesting, og dette vil bli tatt med i neste oppdatering, vi håper at dette komme på plass iløpet av kun kort tid.

 

Mvh

Amentio Webshop

Lenke til kommentar

OK nok at e-post ikke er det sikreste her i verden. Men hvordan foreslår du at man gjenoppretter tilgang på konto med glemt passord uten å bruke e-post?

 

Det er synd at PGP (eller gpg) ikke er blitt mer utbredt. Tenk så greit hvis man bare kunne laste opp en public nøkkel når man registrerte seg, eller en link til der man hadde sin public key (f.eks. hos folkeregisteret) så kunne butikkene og andre kryptere e-post som de sendte til deg. Men da hadde du ikke trengt å få tilsendt passordet fordi du ville kunne logge deg på alle disse stedene bare du hadde din private nøkkel og slapp en drøss av passord.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...