[iostream]

Nyligen skapade jag ett konto hos Epay, och var tvungen att byta från temp-lösenordet när jag loggade in (bra!). Katten assisterade mig som vanligt genom att trampa runt lite på tangentbordet för att skapa ett säkert lösenord.

Citat:

Your password must be max. be 20 characters long!

Eh, det är riktigt dåligt, men okej, I'll go with it -- kissen, kom tillbaka en stund.

Citat:

Character "}" is not allowed in the password!
Character "{" is not allowed in the password!
Character "[" is not allowed in the password!
Character "]" is not allowed in the password!
Character "<" is not allowed in the password!
Character ">" is not allowed in the password!
Character "%" is not allowed in the password!
Character " " is not allowed in the password!
Character """ is not allowed in the password!
Character "\" is not allowed in the password!
Character "#" is not allowed in the password!

Va, vad är det för artificiell begränsning? Försöker de undvika SQL-injektioner eller något liknande som de har hört sagor om att man måste skydda sig mot, men inte fått undervisningen om hur man faktiskt gör?

Ja ja, låt oss hålla oss till endast alfanumeriskt då.

Citat:

Your password does not contain any special characters! Enter one or more special characters ";,:.-_*!@$¤()=?+/" in your password.

Vad i helvete, man måste ange ett specialtecken, men det går bara med *vissa* tecken‽

Slutligen lyckades jag mata in ett lösenord som accepterades. Med alla dessa onödiga begränsningar undrar man naturligtvis hur lösenordet behandlas i systemet -- varför kan man endast ha en viss längd och vissa tecken när det ändå ska gå igenom en bunt kryptografiskt säkra algoritmer?

Vad är ett bättre sätt att testa säkerheten än att skicka en lösenordsåterställnigsförfrågan? Ett långt och knepigt ord, men inte i närheten av hur knepigt det är med grundläggande datorsäkerhet, tydligen.

Citat:

Hi

You requested your login to the payment system. You can login with the following information:

Username: <username>
Password: <my previous password>

Link: https://ssl.ditonlinebetalingssystem.dk/admin/

Kind regards
ePay

Som jag misstänkte, lösenordet jag tidigare matade in kommer tillbaka i klartext i mailet...

Inte nog med det, det finns en URL man kan GET-anropa för att automagiskt och direkt bli inloggad i administrationspanelen med full åtkomst, med formatet:

Kod:

https://ssl.ditonlinebetalingssystem.dk/admin/checklogin.asp?all=1&lid=<user ID>&seckey=<secret MD5 key>

Detta är alltså en betaltjänstleverantör som inte kan grundläggande datorsäkerhet (eller hur man tillhandahåller en webbsida; många länkar är brutna och annat halvt trasigt).

Jag är inte expert på området, men bör inte kompetens krävas av PCI-certifieringen?

TL;DR: Epay.se har ingen aning vad de sysslar med och lagrar lösenord i klartext och har magiska URLer för direkt inloggning.