Gå til innhold

Webkafeen


Anbefalte innlegg

Videoannonse
Annonse

Nettby hasher ikke passord?

 

Selv er jeg ikke en ivrig bruker av Nettby, men jeg har en brukerkonto der. På grunn av min inaktivitet og Nettbys ønske om aktive brukere fikk jeg i dag en mail fra de. I denne mailen står det blant annet; "Har du glemt oss?".. I tillegg til dette opplyser de meg om brukernavnet mitt og mitt passord. Altså passordet mitt, helt ukryptert/uhashet.

 

Hva mener dere om dette?

 

Jeg er selv skeptisk til dette og min tillit til Nettby har derfor sunket kraftig. Hvis jeg hadde brukt samme passord på mailen kontoen ble registrert på, ville de i teorien hatt fri tilgang til den.

 

Les hele mailen her (med sensurert passord):

post-94455-1219576122_thumb.png

Endret av stiweb
Lenke til kommentar

Det mest alvorlige er at det sendes i en epost for å minne brukeren på at han har en konto.

 

Passord i klartekst hender det man må sende når bruker ber eksplisitt om det. Men da er det klart bedre med en løsning som regenerer passordet, noe de fleste løsninger med hash basert lagring av passord må, fordi de ikke vet hvilket som ligger i basen og således må generer et tilfeldig.

 

OpenID er en meget bra løsning, selv om den også kan medføre behov for å sende passord i epost i spesielle tilfeller. Største fordelen er at man klarer seg med en identitet og et passord, som således er svært enkelt å huske på tvers av nettsteder.

Lenke til kommentar
Det mest alvorlige er at det sendes i en epost for å minne brukeren på at han har en konto.

Helt enig. Når jeg ikke logger inn eller er innom siden, betyr jo det at jeg ikke en interessert i å delta på siden. Jeg vil påstå at det var et tåplig forsøk på å få meg til å bli en aktiv bruker. I dette tilfellet avslørte mailen at de har passordet mitt lagret i klartekst, noe som etter min mening er uakseptabelt.

 

Passord i klartekst hender det man må sende når bruker ber eksplisitt om det. Men da er det klart bedre med en løsning som regenerer passordet.

Det er slik det bør være. Altså, når en bruker har glemt passordet, bør et nytt passord genereres og sendes på mail. Når brukeren logger inn, bør brukeren bli bedt om å bytte passord.

Lenke til kommentar
OpenID er en meget bra løsning, selv om den også kan medføre behov for å sende passord i epost i spesielle tilfeller. Største fordelen er at man klarer seg med en identitet og et passord, som således er svært enkelt å huske på tvers av nettsteder.

Jepp, og så er det betryggende at passordet kun er lagret ett sted, og at det er opp til meg som bruker å velge hvilken tilbyder jeg ønsker å stole på.

Endret av Geofrank
Lenke til kommentar
Enkelt å bruke -- men når noen lurer seg inn på OpenID-kontoen, har de plutselig tilgang til alt.

 

Nå er vel sannsynligheten for at noen klarer det, langt mindre enn at de klarer å cracke innlogginga på bankkontoen din.

 

Derfor vil OpenId være langt bedre enn de tildels halvgode løsninger som mange nettsteder har. I tillegg er det faktisk slik at de fleste brukere bruker et begrenset utvalg av brukernavn og passord. Denne kombinasjonen gjør brukere ofte langt mer utsatt enn de tror. Derfor er OpenID er langt bedre løsning. Det er faktisk klare indikasjoner på at både Microsoft Live, Google og Yahoo vil går over til bruk av OpenID etterhvert.

 

De som deltar i OpenID er jo også tungvektere innen authentisering og sikkerhet (f.eks VeriSign). Og i tillegg er det faktisk en helt åpen plattform.

Lenke til kommentar
Akkurat det samme vil skjedd om du hadde samme passord all steder, men nå er sjansen mindre for at det skal lekke ut :)

Hvordan? Man har jo ikke et likt brukernavn flere steder.

 

Fordi svært mange nettsteder bruker konsekvent epost som brukernavn (litt håpløst med å bruke 20 - 30 ulike eposter), og fordi svært mange velger å bruke samme brukernavn på flere plasser. Personlig har jeg vel en ca 40 - 50 "kontoer" rundt omkring. Hadde ikke fungert om jeg ikke hadde valgt relativt få brukernavn.

Lenke til kommentar
Akkurat det samme vil skjedd om du hadde samme passord all steder, men nå er sjansen mindre for at det skal lekke ut :)

Hvordan? Man har jo ikke et likt brukernavn flere steder.

 

Fordi svært mange nettsteder bruker konsekvent epost som brukernavn (litt håpløst med å bruke 20 - 30 ulike eposter)

 

De aller fleste leverandører av e-post i dag støtter såkalt "tagging" av e-post. F. eks, [email protected] kan tagges med [email protected] og så sorteres / filtreres deretter :-) Bruker denne metoden hele tiden selv.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...