WN - Säkerheten hos Sedo & Escrow

WN (https://www.wn.se/forum/index.php)

- Allmänt (https://www.wn.se/forum/forumdisplay.php?f=2)

- - Säkerheten hos Sedo & Escrow (https://www.wn.se/forum/showthread.php?t=1064849)

wildcard

2015-05-18 22:10

Säkerheten hos Sedo & Escrow

Jag har velat registrera mig på ovan nämnda företags webbplatser, men har ändrat mig då registreringen misslyckats pga för långt lösenord!

Sedo: max 16 tecken
Escrow: max 12 tecken

Detta är för mig helt ologiskt och jag kan inte se någon annan anledning till detta än att det skulle vara för att man lagrar lösenorden i klartext.

Det får i alla fall mig att fundera över deras säkerhetstänk. Jag frågade Sedo om detta för några månader sedan. De skulle återkomma i frågan, vilket de inte gjorde. Escrow frågade jag i kväll så jag får väl ge dom lite tid att svara.

Är det fler som reagerat på detta eller vet hur det ligger till?

Captain Thailand

2015-05-19 04:36

Hej,

Jag har också reflekterat över Escrows längdbegränsade lösenord. Visst, man borde ju vara ganska säker om man blandar gemener och versaler med siffror huller om buller, men ändå känns det som en fullständigt onödig begränsning.

jayzee

2015-05-19 10:47

Det finns värre :) På en välkänd svensk finansinstitution måste man ha ett lösenord mellan 6 till 7 tecken på accesskorten (passerkort samt dator).

Captain Thailand

2015-05-19 11:20

Citat:

Ursprungligen postat av jayzee (Inlägg 20509713)

Det finns värre :) På en välkänd svensk finansinstitution måste man ha ett lösenord mellan 6 till 7 tecken på accesskorten (passerkort samt dator).

En säkerhetschef som gillar utmaningar. ;)

Det borde ju verkligen uppmuntra folk att använda familjemedlemmar eller husdjur som lösen.

tartareandesire

2015-05-19 11:42

Citat:

Ursprungligen postat av wildcard (Inlägg 20509700)

Det var väl ändå en minst lika ologisk slutsats? :) Tillåter du obegränsad längd på lösenord så ökar du risken för kollisioner. Det går exakt ALLTID att välja en säkrare lösning, det enda som spelar någon roll i praktiken är att säkerheten ligger på en rimlig nivå.

Nerix

2015-05-19 12:05

Citat:

Ursprungligen postat av tartareandesire (Inlägg 20509716)

Som om de vore anledningen till att dom har en begränsning. Finns en (realistisk) chans för kollisioner så har fel hashalgorithm används.

tartareandesire

2015-05-19 12:10

Citat:

Ursprungligen postat av Nerix (Inlägg 20509718)

Som om de vore anledningen till att dom har en begränsning. Finns en (realistisk) chans för kollisioner så har fel hashalgorithm används.

Visst, det är högst sannolikt inte anledningen men jag menade snarare att det är precis lika ologiskt att dra slutsatsen att lösenorden sparas i klartext enbart på grund av begränsningen. Och man kan hasha "fem miljarder" tecken långa strängar om man vill det men man får ju dra gränsen någonstans oavsett vilken lösning man väljer.

wildcard

2015-05-19 18:50

Citat:

Ursprungligen postat av tartareandesire (Inlägg 20509716)

Det är klart att man måste dra gränsen någonstans, men man begränsar knappast längden på ett lösenord till ynka 12 tecken för att det på något sätt skulle ÖKA säkerheten, tex genom minskad risk för kollisioner.

tartareandesire

2015-05-19 20:09

Citat:

Ursprungligen postat av wildcard (Inlägg 20509737)

Nej, och det höll jag just med om i inlägget ovanför :)

KristianE

2015-05-19 23:48

Microsoft begränsar lösenorden i Office365 till 16 tecken såvida du inte använder AD-synk - då funkar längre. Jag tror inte Microsoft lagrar lösenorden okrypterade i sitt AD.

Alla tider är GMT +2. Klockan är nu 05:59.