[coredev]

Citat:

Ursprungligen postat av tartareandesire

Det står i artikeln att lösenorden är krypterade.

Att de är krypterade gör tyvärr inte saken mycket bättre. Dels kan man med en stor mängd krypterad information (listan med lösenord) ihop med en ordlista (en lista på de vanligaste svenska lösenorden, t.ex. "sommar", "mamma", etc) för flera symmetriska krypton få fram den ursprungliga nyckeln. Dels så kan man få tag i nyckeln på annat sätt, i värsta fall lagras den i en stored procedure i databasen.

Citat:

Ursprungligen postat av oskarh

Var skulle man annars spara lösenorden?

Citat:

Ursprungligen postat av Danski

Om man inte har någon openID, bankgiro eller liknande lösning så är det väl ändå tvunget att ha lösenorden sparade i databasen? Tror trådskaparen missuppfattat att det var sparat i klartext, eller? Familjeliv har haft användarnas lösenord sparat som en hash.

Man skall icke spara dem alls i någon form som går att härleda till det ursprungliga lösenordet. En hash är alltså OK men att ha det krypterat är ej OK. Att spara lösenord i databasen i en form som går att härleda till det ursprungliga lösenordet år 2012 är helt klart skamligt.

Att det i detta fallet skulle handla om en hash var ny information för mig. I Aftonbladets artikel står det tydligt att lösenorden var "krypterade", men å andra sidan är väl AB inte känd för att vara direkt tillförlitliga. Frågan är dock varför VD:n går ut och rekommenderar att alla byter lösenord om de var ordentligt hashade.