Gå til innhold

Hos Dustin ligger passordet ditt lagret i klartekst

Smedsrud

Av Smedsrud
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

XmasB

XmasB

Skrevet
Skrevet

 

Jo, Dustin har eit ansvar for å behandle kundene med eit snev av respekt. Dersom eg ikkje kan stole på at Dustin behandler passordet mitt på ein sikker måte, korleis kan eg då stole på å gi dei tilgang til mine betalingsdetaljer?

 

Det er sjølvsagt klart at ein burde ha eit unikt passord til alle tjenester, men det er på ingen måte realistisk dersom du skal ha sjangs til å huske passordet. Men det tryggaste hadde nok vært å ha eit komplisert epost passord og tullepassord over alt ellers slik at du baserer deg på å alltid bruke "glemt passord" funksjonaliteten.

 

Med et hav av verktøy tilgjengelig for å hjelpe med å "huske" passord er det ikke bare realistisk med unike passord, det er i høyeste grad sterkt anbefalt. Keepass er nevnt, et annet eksempel om man ønsker online er LastPass. Begge er meget gode.

 

Jeg har rundt 150 unike passord lagret på LastPass og trenger bare huske et passord for å komme inn på den. Har selvsagt skrudd på to-faktor autentisering i tilfelle noen skulle få tak i det passordet. :)

Har også backup av disse i Keepass lagret lokalt.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Gellyfusk

Gellyfusk

Skrevet
Skrevet

Å lagre passord i klartekst virker dessverre å være ekstremt vanlig. Jeg får ganske ofte passordet mitt i retur når jeg velger "glemt passord"-funksjoner på div. nettsider. Det er nok også mange nettsider som ikke sender passordet, men som likevel lagrer det i klartekst.

Lenke til kommentar
srbz

srbz

Skrevet
Skrevet

Det at passordet kan sendes på epost betyr at det var lagret i klartekst

Nuvel, ikke nødvendigvis. Ved bruk av dekrypterbare krypteringsalgoritmer som RSA m.fl. er det mulig (for andre enn deg) å finne passordet om man har de rette nøklene.

 

KeePass, som er nevnt i tråden et par ganger allerede, har åpenbart et behov for å kunne dekryptere passord som ligger lagret kryptert for å kunne vise dette til brukeren, men for de aller, aller fleste innloggingstjenester er det ikke strengt nødvendig å kunne finne tilbake til passordet i klartekst, og er således en unødvendig risiko. Den eneste styrken ved passordbasert innlogging er nettopp det at man kan basere sikkerheten på irreversible krypterings-/hash-algoritmer.

 

Når vi først er inne på det skjønner jeg ikke hvordan Firefox som standard kan finne på å foreslå å lage passord overalt der man logger seg inn, i klartekst med mindre man selv setter et "master password", uten at folk tilsynelatende reagerer nevneverdig på dette? Ikke at "master password" er så forferdelig trygt det heller...

Lenke til kommentar
Gellyfusk

Gellyfusk

Skrevet
Skrevet

 

Det at passordet kan sendes på epost betyr at det var lagret i klartekst

Nuvel, ikke nødvendigvis. Ved bruk av dekrypterbare krypteringsalgoritmer som RSA m.fl. er det mulig (for andre enn deg) å finne passordet om man har de rette nøklene.

Joda, men her er det snakk om nettsider som ikke har behov for å lagre krypterte passord. Det er ikke vanlig å lagre krypterte passord overhodet. Det er naivt å tro at tilfeldige forum som lagrer passordet ditt lagrer det kryptert. Enten så lagrer de en hash, eller så lagrer de det i klartekst.

Lenke til kommentar
Emancipate

Emancipate

Skrevet
Skrevet

For det første prøvde jeg å gjøre forklaringen så enkel som mulig. Men hvis websiden skal ha tilgang til å sende deg passordet i klartekst (og det er kryptert) må websiden ha tilgang til nøkkelen. Denne må da lagres i en database som websiden har tilgang til. Den samme websiden som altså er hacket til å gi ut passordene. Sikkert? Nei.

Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

Joda, men her er det snakk om nettsider som ikke har behov for å lagre krypterte passord. Det er ikke vanlig å lagre krypterte passord overhodet. Det er naivt å tro at tilfeldige forum som lagrer passordet ditt lagrer det kryptert. Enten så lagrer de en hash, eller så lagrer de det i klartekst.

 

Tror mange lagrer det kryptert jeg. Det er jo åpenbart at mange tror det er det sikreste, inkludert forfattere av saker som denne. I virkeligheten er det bare knapt sikrere enn klartekst.

Lenke til kommentar
Occi

Occi

Skrevet
Skrevet (endret)

Joda, men her er det snakk om nettsider som ikke har behov for å lagre krypterte passord. Det er ikke vanlig å lagre krypterte passord overhodet. Det er naivt å tro at tilfeldige forum som lagrer passordet ditt lagrer det kryptert. Enten så lagrer de en hash, eller så lagrer de det i klartekst.

Det er ingen grunn til å ikke kryptere passord (hash), og jo, det er vanlig å lagre hashede passord. "Tilfeldige forums" bruker gjerne ferdiglaget forumsoftware hvor passordlagringen allerede er ordentlig med hash.

 

Det finnes ingen sider som ikke har noen grunn til å hashe passord, fordi passord bør alltid være hashed. Prøver man å påstå noe annet tør jeg påstå at man ikke forstår hvor risikabelt det er. Ingen som påstår at det derimot ikke skjer, men det er aldri en god idé.

Endret av Occi
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Det er ingen grunn til å ikke kryptere passord (hash), og jo, det er vanlig å lagre hashede passord. "Tilfeldige forums" bruker gjerne ferdiglaget forumsoftware hvor passordlagringen allerede er ordentlig med hash.

Begrepsforvirring;

 

Det er mulig det bare er meg, men jeg tenker ikke på en hash på samme måte som "lagret kryptert" eller "kryptering". En hash (SHA/MD5 etc) er en-veis kalkulasjon, en sjekksum. Lagres en hash vil kan ikke noen kunne "de-kryptere" innholdet/sjekksummen slik at det ser passordet. Hvilket vil si at heller ikke nettstedets egne folk kan lese passordet.

(joda, jeg vet om regnbue tabeller, men det er utenfor poenget)

 

Nå folk sier "lagret kryptert" forstår jeg det som om AES/RC4/etc. er benyttet. Det vil si at nettstedet selv kan trylle frem passordet i klartekst. For krypterte passord kan dekrypteres, du trenger bare nøkkelen.

Endret av Slettet-Pqy3rC
Lenke til kommentar
AdNauseam

AdNauseam

Skrevet
Skrevet

Har de gått fra vett og forstand?! Utrolig skuffende...

 

Der falt respekten for dustin med en gang.

 

 

Sjølv om eg sjølv bruker fleire passord og er påpasselig med sikkerheita så er det begrensa kor mange passord eg klarer å ha kontroll over.

 

Anfefaler deg å lage et passordsystem med passord som er bygget opp àv forskjellige deler og variabler basert på alvorlighet, type tjeneste og noe som endrer seg basert på tjenestenavnet. Laget meg et slik system selv, enkelt å huske når du vet oppskriften. Kan enkelt lage et nytt passord på 20 tegn, som er helt unikt. Litt av passordet er globalt likt, men også unike deler for å forhindre at slike skandaler kompromisserer det.
Lenke til kommentar
Occi

Occi

Skrevet
Skrevet

Begrepsforvirring;

 

Det er mulig det bare er meg, men jeg tenker ikke på en hash på samme måte som "lagret kryptert" eller "kryptering". En hash (SHA/MD5 etc) er en-veis kalkulasjon, en sjekksum. Lagres en hash vil kan ikke noen kunne "de-kryptere" innholdet/sjekksummen slik at det ser passordet. Hvilket vil si at heller ikke nettstedets egne folk kan lese passordet.

(joda, jeg vet om regnbue tabeller, men det er utenfor poenget)

 

Nå folk sier "lagret kryptert" forstår jeg det som om AES/RC4/etc. er benyttet. Det vil si at nettstedet selv kan trylle frem passordet i klartekst. For krypterte passord kan dekrypteres, du trenger bare nøkkelen.

Beklager, det var kanskje litt uklart sånn sett. Jeg mente kun hash (som i at det er enveis).

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...