Dustin snur: Nå sikrer de passordene dine likevel

[Smedsrud]

Og du kan selv sjekke om de har kryptert ditt allerede.

Dustin snur: Nå sikrer de passordene dine likevel

[Gjest Slettet-x7D6du0Hjb]

Helt idiotisk at dem ikke gjør det før nå.

[airetam]

Det var kjapt!

Har lyst å si "Bra jobba, Dustin!", men det her skulle ikke vært nødvendig til å begynne med.

[Skeetzoid]

Samme prinsippet som at veivesenet ikke utbedrer en vei/veikryss før så og så mange ulykker har skjedd, antar jeg

[Thomas J.L]

Sendte de mail jeg, ville at de skulle kjenne til min missnøye med å ha passordet i klartekst. Bra de snur, for det er en av de sidene jeg handler mest på.

[Gjest Slettet-jDflNq]

Det tok de så kort tid å fikse det og så hadde de ikke gjort det før, latterlig!

[Aeyoun]

Flinke journalistene.

[Jerr86]

woow, fatter ikke at ALLE hasher, det skulle vært en lovbestemt greie nesten. Helt utrolig.. Bra de tar fatt i det i alle fall...

[efikkan]

Det finnes ingen unnskyldning for oppførselen til Dustin, det er rett og slett totalt uholdbart. Enhver aktør som håndterer sensitiv informasjon av etter annet slag har et ansvar for å gjøre tjenesten sikker. Hvis de ikke aksepterer dette så bør de legge ned driften.

 

 

Om du er registrert hos Dustin, kan Lengquist fortelle at passordet ditt i løpet av en ukes tid vil være kryptert, og at passordet som nå ligger i selskapets systemer vil bli slettet.

Dette er skummelt fordi det viser at både artikkelforfatter og Dustin ikke har innsikt i hva de driver med. Et passord skal ikke krypteres, det skal kryptografisk hashes. En person som har forstått den viktige forskjellen på dette vil ikke blande disse begrepene. Hele hensikten med en kryptografisk hash er at den ikke skal kunne reverseres, slik at dersom noen får tak i den så skal ingen komme frem til passordet uten å prøve alle mulige passord, og entropi skal sørge for at dette tar nok tid til at risikoen for misbruk er minimal.

 

Bcrypt er en hashealgoritme som har fordelen med at den som administrerer systemet kan enkelt "oppgradere" antall iterasjoner over tid med å justere en verdi (ved neste innlogging), men dette krever naturligvis at systemet designes for det.

 

-----

 

Nå tar jeg det som selvsagt at diskusjon.no og andre tjenester i tek-nettverket har hashet passord med unike salt (hvis ikke bør noe gjøres med driftsavdelingen), men det er faktisk én annen alvorlig ting som diskusjon.no og de fleste andre sider synder mot, nemlig kryptert forbindelse ved overføring av passord, registrering eller annen sensitiv data. Selv om dette øker lasten på serveren så er dette noe som absolutt må gjøres, i det aller minste ved innlogging og registrering.

[efikkan]

woow, fatter ikke at ALLE hasher, det skulle vært en lovbestemt greie nesten. Helt utrolig.. Bra de tar fatt i det i alle fall...

Det er ganske absurd egentlig, vi har et enormt statlig byråkrati og bruker til og med mye penger på noe så tullete som et "cyberforsvar". Men et enkelt regelverk som krever at alle som har noen form for personinformasjon følger oppdaterte rutiner for dette klarer vi ikke å få til? Mye av problemet ligger i at selv Difi (Direktoratet for forvaltning og IKT) selv ikke har peiling på sikkerhet.

[mikaragua]

 

 

samtidig har vi gode rutiner på hvilke ansatte som får tilgang til kundenes data, og de må også underskrive en taushetserklæring, sier Lengquist.

Takk og lov, dette setter nok en effektiv stopper for utro tjenere!!

[GubbenNoa]

Det gjorde Netshop tidligere også, hva de gjør nå vet jeg ikke men tror Multicase ikke klarer annet en klartekst.

For å si det slikt så har mange svindlere blitt oppdaget ved at IT-ansvarlig kopierte ut passordet på "handlekonto" og brukte dette på "mailkonto" til misstenkt svindler. Som regel brukes samme passord!

[Milmo]

Lagring av passord er alltid risky, men trodde salted hash var standard blant de fleste online sjappene.

Endret 27. november 2013 av Milmo

[Lakus]

"De tror bildet av en hengelås faktisk beviser at vi har kryptert infoen deres. Hahahaha"

 

?

[G]

Veldig fint av redaksjonen å skrive om denne saken. Takk.

[dabear]

Haha, tviler på at de har fikset det skikkelig. Sikker passordlagring er latterlig vanskelig. Å i det heletatt lagre passord er noe man unngår til en hver pris, hvis man har muligheten.

Når de ikke selv har gjort noe med situasjonen på så lenge, så tviler jeg veldig sterkt på at har greid å følge alle sikkerhetsregler og gjort det rett på første forsøk.

Endret 27. november 2013 av dabear

[GreenRay]

Bra det ble gjort, MEN det er for sent. Dette skulle ikke en gang vært nødvendig. Passord skal bli kryptert med en gang man lager en konto!

[Dan-Levi]

Og der tenker jeg som så om Dustin. Det er en selvfølge at alle nettbutikker ikke lagrer passorder i klartekst!

[Stifi]

"De tror bildet av en hengelås faktisk beviser at vi har kryptert infoen deres. Hahahaha"

 

?

 

It's a trap. Obviously.

[tiddylicious]

Jeg sendte inn en mail til Dustin for å gi dem min historie samt en forespørsel på å få slettet mine data hos dem. Jeg har vært utsatt for ID tyveri over en lang periode, og jeg finner det så utrolig provoserende å lese at forkastelse av kunders personvern har vært et "strategisk valg" hos Dustin.

 

Jeg kan ikke være kunde hos noen som tar så slett på personvern, ikke når jeg har blitt utsatt for det jeg har. Det ødelegger utrolig mye av min livskvalitet siden misbruket er jevnlig og jeg øyner nesten ikke håp om at det skal endre seg, da det virker som hele verden (inkludert politiet) gir fullstendig f*** i personvern og ikke forstår hvordan / tenker på hvor mye det kan ødelegge i livet.

 

Jeg stiller meg meget undrende til en IT-sjef som lar noe slikt skje på sin vakt. Det store spørsmålet jeg undrer på nå er hvilke andre ting som har måttet vike, siden hashing av passord kanskje er det første kapittelet i boka.

 

Eller er jeg bare opprørt og drar reaksjonen litt for langt / urimelig?