[Kristoffer G]

Använder Adicate tjänsten förtillfället, alltså den tjänst som möjliggör timannonsering på bland annat aftonbladet, expressen, efterfesten, passagen och mycket mer. Glömsk som man är, hade jag slarvat bort mitt lösenord och använder därför deras "Glömt lösenordet" funktion. Till min förvåning kommer mitt original lösenord i inboxen.... detta betyder att dem lagrat mitt lösenord i klartext, alternativt någon lättare "hemma snickrad" hashfunktion...

Om jag inte misstar mig, var det inte ett väldans hallå gällande aftonbladets annonshackning? Varför har man inte ordnat detta? Eller tänker jag på fel annonshantering?

Hur som helst så är jag inte speciellt imponerad av adicates hantering av lösenord.

Det borde ha genererats ett nytt lösenord, ett temporärt sådant.

[Magnus_A]

Länk till en sida där nytt lösenord genereras är att föredra. Naturligtvis då på en säker server. Men handen på hjärtat, hur många lösenord kommer på drift genom bortkomna e-mail, (förutom Anakins då)?

Edit: Vad tycker du om Adicate? testade dem själv men tyckte att det var rätt dyrt.

[Kristoffer G]

Jag är väl mest orolig för om någon lyckas komma åt databasen eller om de använder någon filhistoria...

Tyckte systemet fungerar bra, men det är lite dyrt ja.

[JayEe]

Appropå lösenord i klartext. Tydligen så hade ju mecenat och csn-kortet som blev hackade i helgen sina lösenord helt ohashade i en databas. Jag tror att många site-ägare ignorerar lagringssäkerhet och helt litar på sin intrångssäkerhet iställen. Men när någon kommer förbi muren har de full access.
Något att tänka på kanske...

[Robert]

Citat:

Originally posted by Brazzan@Jan 29 2008, 18:27
Jag är väl mest orolig för om någon lyckas komma åt databasen eller om de använder någon filhistoria...

Tyckte systemet fungerar bra, men det är lite dyrt ja.

En anledning att du kan se dem i klartext på skärmen är kanske att de var krypterade, inte hashade? Kör dom däremot inte https så kan ju iofs någon ligga och sniffa när folk hämtar sin sida med passwordet...

[Kristoffer G]

Hoppas dem är krypterade i databasen i så fall. Dem kör med https vilket är positivt i alla fall.

Edit* Om dem kör ohashat/krypterat och försvarar sig genom ssl eller liknande så ger det inte mkt förtroende. Det ska vara säkerhet på alla lager så att säja.

[Robert]

Citat:

Originally posted by Brazzan@Jan 30 2008, 19:34
Hoppas dem är krypterade i databasen i så fall. Dem kör med https vilket är positivt i alla fall.

Edit* Om dem kör ohashat/krypterat och försvarar sig genom ssl eller liknande så ger det inte mkt förtroende. Det ska vara säkerhet på alla lager så att säja.

Ptja, folk skickar ju sina visakortsnummer via ssl så om man tycker det är mindre värt än sitt password så får det ju stå för var och en. Vad jag menar är att det är väldigt mycket cry wolf över det här.

Personligen slår jag hellre ett slag för krypterat snarare än hashat. Vilken metod vill ni ha era password i? En metod som har 1 rätt kombination eller en som har oändligt med kombinationer som är rätt?

(edit: stavfel)

[SimonP]

Citat:

Originally posted by Robert@Jan 31 2008, 16:20
Personligen slår jag hellre ett slag för krypterat snarare än hashat. Vilken metod vill ni ha era password i? En metod som har 1 rätt kombination eller en som har oändligt med kombinationer som är rätt?

(edit: stavfel)

Det finns inga anledningar till att spara lösenord i klartext eller i krypterad form, därför ska man alltid hasha dom istället.
Enda gången lösenord ska krypteras är om man har nån lösenordshanterare (t.ex Password Safe) lokalt på sin egna dator.

[Kristoffer G]

Håller med SimonP.

Jag vill inte att någon med vanliga men ska kunna se mitt lösenord, inte ens adicate. Det ska vara hashat och saltat. <-- punkt

Sen om någon lyckas få tag i databasen och knäcka det hashade lösenordet är det en annan sak.

[Robert]

Citat:

Originally posted by Brazzan@Jan 31 2008, 18:33
Håller med SimonP.

Jag vill inte att någon med vanliga men ska kunna se mitt lösenord, inte ens adicate. Det ska vara hashat och saltat. <-- punkt

Sen om någon lyckas få tag i databasen och knäcka det hashade lösenordet är det en annan sak.

jamen det är ju det som är frågan som varit på tapeten i media ett tag: att en hacker just får tag i databasen. Då var min ståndpunkt att hellre ha ett krypterat lösenord än en hash. Och det spelar alltså ingen roll om du saltar ditt password med hela nationalencyclopedin när det alltså finns oändligt antal andra strängar som producerar samma hash (för den hacker som vill ta sig in den "normala" vägen vill säga).

Men det går ju att undvika att personer (läs: administratörer) ser ditt password även då det är krypterat för det krävs ju nycklar och annat kraffs för att kryptera upp ett password, och dessa är lika "hemliga" (eller synliga) som ett saltvärde i källkoden för den som har kompetens att kolla där.