Märkte att binero lagarar lösenord okrypterat i sin databas när det gäller kundwebben där man har alla sina domäner. Är det så klokt med tanke på vad som har hänt tidigare med flera andra siter som blivit hackade?

Du menar där lösenorden varit krypterade men det ändå inte har hjälpt?

Om du berättar för dem kanske du får en gratis domän som present.

Är det såhära webhotell ser på saken? Skrämmande!

MVH

Ja det tycker jag också är skrämmande!

Det handlar ju om att i tidigare fall har de endast varit krypterade, inte saltade. Hade dem varit saltade med så hade nog vi inte suttit i den här båten just nu.

Jag som övervägde att byta till Binero, nu är jag inte lika säker...

Har påpekad detta för dem redan....

Inte så kul när lösenord skickas till min e-post i samband med beställning.

Att de alltid skickar med användarnamn och lösen i mailen är inte bra, borde åtgärdas rätt omgående.

Inte bra, användarlösenord ska aldrig sparas i klartext, konstigt att det fortfarande år 2008 ens existerar...

Min poäng var väl mer om att systemet inte är tillräckligt säkert så går det att få fram salt och dekryptera ändå. Alltså att det inte är säkert bara för att det är krypterat; även om det givetvis ökar säkerheten.

Det är bättre om det är krypterat, om Binero (eller någon annan) blir hackade och det är krypterat + salt så ger det administratörer och användare en tidsram att agera för att minimera skadan. Om alla lösenord står i klartext så är det betydligt jobbigare.

Även jag skulle gärna se att Binero krypterade våra lösenord, när man tänker efter så är det ganska svagt att inte göra det.

Binero vet kanske något som vi inte vet. Hade varit jätte intressant om någon representant från dem kunde delta i diskussionen.

Skickas ut varje gång jag beställer en domän.

Nu kan man ju inte dekryptera en hash eftersom den är envägsfunktion.
Saltet är inte ens hemligt utan försvårar en eventuell bruteforce-attack. Man ska aldrig lita på security by obscurity.

Nu hänger jag inte med längre. Har ofta hört att md5 är en envägsfunktions-hash som man inte kan dekryptera.
Många Linux iso filer man laddar ner använder såna hashar för att kontrollera att ingen har mixtrat med filen.
Men om man kollar på alla dem senaste communities-hacken med allt snack om rainbow tables och
http://www.md5decrypter.com/
Då verkar det som att md5 är helt värdelös år 2008. Har jag blandat ihop saker och ting?

Md5 har varit ganska värdelöst ganska länge som jag har förståt det. Däremot så ser jag samma poäng som htiawe, att man köper tid om man åtminstone har någon form av kryptering istället för ingen alls.

För att göra en regnbågstabell till md5 tar det väl i runda slängar 1*10^24 år.
Sen ska du lagra cirka 5*10^30 GB data också vilket kan vara ett problem om du inte sitter på en armada datorer.

Stor reservation för räknefel.

http://www.md5decrypter.com/ innehåller lite drygt en halv miljon hash-värden och det är ju en ganska liten del av alla möjliga...

ic, så situationen är sådan. Då kan man gott och väl köpa lite tid till sig själv med md5 på småsaker :)

MD5 tillsammans med salt funkar ok som lösenordshash, SHA1, RIPE-160 eller SHA256 etc. är att föredra om man får välja.

Som signaturalgoritm på e-mail och filer ska man inte använda MD5, eftersom det finns kollisionsattacker, dvs att det går att förfalska dokument som ger samma hashsumma som orginal dokumentet.

Eller så MD5:ar man två gånger så minskar sannolikheten att lösenordet är arkiverat. Sen kan ju en och samma MD5-värde iof representera flera olika lösenord.

Loopia hade åtminstone för inte så länge sedan lösenorden utläsbara i klartext när man surfade runt i kundzonen, vilket även det bör indikera att de lagrar grejerna i klartext eller enkelt återställbart format.
Inte så j-vla bra om man har någon bakom ryggen när man jobbar.

Du ska tjejen på framsidan =)

Absolut. Även om många lösenord är krypterade hos oss så finns det några som inte är det. Det känner vi till sedan tidigare och vi har även arbetat en tid för att säkra upp vår lösenordshantering. Redan nästa vecka kommer ni se resultat av detta.

En välsaltad md5 hash tar lång tid att bruteforca fram så länge man inte använder sig utav kluster. Att de senaste sidorna vars databaser blivit spoilade inte ens använt sig utav något salt gör ju ingen direkt glad :) Sen så är väl per definition md5 inte en krypteringsmetod i och med att den inte kan dekrypteras?

Förstår inte vad som är problemet med att salta sina lösenord?
Jag, personligen, använder en salt på ~50 tecken och deras lösenord, och jag går verkligen inte "in" för min säkerhet då det ofta handlar om småsidor.

Kunskap?

Sant, men man tycker att en webbmaster som driver dessa stora sidor som varit omtalade under de senaste dagarna bör sitta på denna kunskap, då de faktiskt jobbar/driver en seriös verksamhet och ingen Kalle Anka lekstuga.

Rätta mig om jag har fel.

JonathanS: Hur har det gått med era förändringar?

Det är nog inte otroligt att de besitter kunskapen....

Hålle med Eliasson, har man en stor site så bör ju någon form av säkerhetstänkande dyka upp. När detta händer så är väl ändå lagring av lösenord en grundläggande del i ett säkerhetstänk?

http://www.binero.se/blogg/?p=129

Vilken tur alla lösenord ska "pölsas" och saltas :)

källa: http://www.binero.se/blogg/?p=129

Pölsas :) Den har jag aldrig hört innan