[Ingo]

25 000 svenskars inloggningsuppgifter har läckt ut, efter ett hack mot svenska webbshopen Digitalboxen.com. Nu uppmanas alla som haft med webbshopen att göra att se över samtliga sina lösenord.

Läs mer: http://www.idg.se/2.1085/1.524368/we...ningar-pa-vift

[jayzee]

Det var ingen stor databas, 5MB dump.
Smart att ha lösen i klartext *tummen upp*!

[Captain Thailand]

Hej,

Oprofessionellt, minst sagt.

Personligen har jag ett lösenord för slasksidor /sorry uttrycket) och andra individuella för de jag anser vara viktiga, dvs Google, Facebook, webbhotell, bank, företag etc.

Använder man samma lösen riskerar man förstås diverse tråkigheter om motsvarande inträffar. För mig hände det på en bloggportal för en tid sedan, men det var således ingen fara på taket, eftersom jag har olika lösen.

[Jim_Westergren]

Hur man kan spara lösen i klartext år 2013 är helt ofattbart och borde vara olagligt.
Jag rekommenderar PHPs password_hash() som är mycket smidigt, enkelt och bra vilket jag själv använder: http://www.php.net/manual/en/function.password-hash.php
Den använder blowfish och du har salt inbyggt. Jag använder 12 som kostnad och blockering av IP en timme vid 3 fel för att motverka brute force.

Alternativ om en gammal version av PHP används på servern:

$blowfish_salt = bin2hex(openssl_random_pseudo_bytes(22));
$hash = crypt($_POST['password'], "$2y$10$".$blowfish_salt);

// Vid inloggning
if (crypt($_POST['password'], $hash) == $hash) {
//Verified
}

[iostream]

Citat:

Ursprungligen postat av Jim_Westergren

Alternativ om en gammal version av PHP används på servern:

Eller ett färdigt kompatibilitetslager, https://github.com/ircmaxell/password_compat

[Jim_Westergren]

Citat:

Ursprungligen postat av iostream

Eller ett färdigt kompatibilitetslager, https://github.com/ircmaxell/password_compat

Jo, det rekommenderas. Dock finns det enligt mig en hel del onödigt i de där 200+ raderna. 3 rader räcker.

[tartareandesire]

Citat:

Ursprungligen postat av Jim_Westergren

Hur man kan spara lösen i klartext år 2013 är helt ofattbart och borde vara olagligt.

Förstår inte riktigt att folk tycker det är ofattbart när det händer gång på gång (bara att söka efter liknande diskussioner på det här forumet så hittar man ett antal)... Det här är knappast första eller sista gången, det finns åtskilliga system där det fortfarande lagras lösenord i klartext, de flesta äldre men också en del nyare. Man måste ALLTID använda sina lösenord utifrån antagandet att någon kan få tag i dessa.

Att det ska vara olagligt är väl också helt orimligt? Det skulle i så fall vara ifall du har tecknat ett avtal med aktören om hur dina lösenord och personuppgifter ska lagras.

Naturligtvis håller jag med dig om att inga lösenord ska sparas i klartext idag men det innebär inte att alla gör på det viset och jag anser inte heller att man ska kunna tvinga någon att göra detta såvida inget tydligt avtal har ingåtts. Det känns som en tämligen extrem åtgärd sett i ett större perspektiv men det är lätt att bli hemmablind.

[Anders Larsson]

Citat:

Ursprungligen postat av tartareandesire

Att det ska vara olagligt är väl också helt orimligt? Det skulle i så fall vara ifall du har tecknat ett avtal med aktören om hur dina lösenord och personuppgifter ska lagras.

Faktum är att det delvis är olagligt redan idag, så orimligt är det ju uppenbarligen inte.

Om du registrerar personuppgifter, vilket är alla typer av uppgifter som kan härledas till en enskild person, så måste du följa PuL. I PuL tar även upp säkerhetsaspekter på lagringen och hanteringen.

Nog kan man antas ha varit både vårdslös och försumlig om man inte krypterar känslig information eller om man har väldigt enkla säkerhetshål i sina system.

[tartareandesire]

Citat:

Ursprungligen postat av Anders Larsson

Faktum är att det delvis är olagligt redan idag, så orimligt är det ju uppenbarligen inte.

Om du registrerar personuppgifter, vilket är alla typer av uppgifter som kan härledas till en enskild person, så måste du följa PuL. I PuL tar även upp säkerhetsaspekter på lagringen och hanteringen.

Nog kan man antas ha varit både vårdslös och försumlig om man inte krypterar känslig information eller om man har väldigt enkla säkerhetshål i sina system.

Jag är ganska kritisk till stora delar av PuL också. Jag anser att man bör satsa alla resurser på att istället komma åt allvarligare, illegal användning av personuppgifter istället för att skapa en massa otydliga lagar kring lagringen som inte ens myndigheterna klarar av att tolka.