Gå til innhold

Lagrer 10.000 studenters passord i klartekst

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Olav48

Olav48

Skrevet
Skrevet

Å lagre passord i klartekst, er så utilgivelig at hoder burde rulle. Og å i det hele tatt nevne GDPR som årsak til at det nå blir tatt tak i, er forstummende. Når det virkelig kan svi for dem selv, da blir brukerne ivaretatt. Da er det vel over til MD5 nå da :p

  • Liker 7
Lenke til kommentar
XIFXEGLO

XIFXEGLO

Skrevet
Skrevet

Hvordan skjer dette?

 

Inkompetanse?

 

Lureri?

 

Fra artikkelen virker det som at de har satt ut dette til en ekstern aktør, men jeg nekter å tro at en som får betalt for å programmere nettsider ikke har kjennskap til de åpenbare svakhetene med å lagre passord i klartekst.

 

Så da står vi igjen med lureri: Innlogging programmeres på enkleste måte, på boksavelig talt 10 minutter, mens man fakturerer for en mer passelig arbeidsmengde; noen dager, kanskje mer. Sluttkunden har ingen kompedanse til å vurdere om arkitekturen holder mål, så derfor slipper man unna med det, og ler hele veien til banken.  

  • Liker 2
Lenke til kommentar
Emancipate

Emancipate

Skrevet
Skrevet (endret)

Selv om utsendelse av passord i klartekst sikkerhetsmessig ikke holder mål, så betyr vel ikke det nødvendigvis at passordene også er lagret i klartekst?

Nå gikk det helt rundt for meg.

 

Hvis de ikke er lagret i klartekst, må de være kryptert, og for å få sendt passordet, må det dekrypteres, dvs. at nøkkelen er i kontakt med passordet.

 

Mao, klarer de å bryte seg inn og ta de krypterte passordene, klarer de nok også å ta nøkkelen - eller endre på alle sine epost-adresser, så de kan få mailet passordet til seg selv. Så dette er jevngodtdårlig med klartekst.

Endret av Emancipate
  • Liker 2
Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Selv om utsendelse av passord i klartekst sikkerhetsmessig ikke holder mål, så betyr vel ikke det nødvendigvis at passordene også er lagret i klartekst?

Er passordene kryptert i databasen, så skal man i utgangspunktet ikke finne frem til passordet i klartekst.

  • Liker 1
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

Selv om utsendelse av passord i klartekst sikkerhetsmessig ikke holder mål, så betyr vel ikke det nødvendigvis at passordene også er lagret i klartekst?

Nå gikk det helt rundt for meg.

 

Hvis de ikke er lagret i klartekst, må de være kryptert, og for å få sendt passordet, må det dekrypteres, dvs. at nøkkelen er i kontakt med passordet.

 

Mao, klarer de å bryte seg inn og ta de krypterte passordene, klarer de nok også å ta nøkkelen - eller endre på alle sine epost-adresser, så de kan få mailet passordet til seg selv. Så dette er jevngodtdårlig med klartekst.

Og realiteten er jo at kan man sende passordene i epost så er de lagret i klartekst. Man bruker jo ikke kryptering på passord, men enveis hashing og salting. Kryptering er ikke regnet som trygt akkurat pga det du peker på - nøkkel på avveie. Enveis hashing + salt + nøkkelstrekking (f.eks PBKDF2) - ja da er man på vei!

 

Personlig mener jeg ANSA bør kaste leverandøren ut døra når den surrer med slikt.

Lenke til kommentar
HK76

HK76

Skrevet
Skrevet

Selv om utsendelse av passord i klartekst sikkerhetsmessig ikke holder mål, så betyr vel ikke det nødvendigvis at passordene også er lagret i klartekst?

 

Jo. For hvis ikke passordene var lagret i klartekst, ville ikke løsningen kunne hente frem passordet og sende det på epost.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...