[Jim_Westergren]

Hur man kan spara lösen i klartext år 2013 är helt ofattbart och borde vara olagligt.
Jag rekommenderar PHPs password_hash() som är mycket smidigt, enkelt och bra vilket jag själv använder: http://www.php.net/manual/en/function.password-hash.php
Den använder blowfish och du har salt inbyggt. Jag använder 12 som kostnad och blockering av IP en timme vid 3 fel för att motverka brute force.

Alternativ om en gammal version av PHP används på servern:

$blowfish_salt = bin2hex(openssl_random_pseudo_bytes(22));
$hash = crypt($_POST['password'], "$2y$10$".$blowfish_salt);

// Vid inloggning
if (crypt($_POST['password'], $hash) == $hash) {
//Verified
}

[iostream]

Citat:

Ursprungligen postat av Jim_Westergren

Alternativ om en gammal version av PHP används på servern:

Eller ett färdigt kompatibilitetslager, https://github.com/ircmaxell/password_compat

[Jim_Westergren]

Citat:

Ursprungligen postat av iostream

Eller ett färdigt kompatibilitetslager, https://github.com/ircmaxell/password_compat

Jo, det rekommenderas. Dock finns det enligt mig en hel del onödigt i de där 200+ raderna. 3 rader räcker.

[tartareandesire]

Citat:

Ursprungligen postat av Jim_Westergren

Hur man kan spara lösen i klartext år 2013 är helt ofattbart och borde vara olagligt.

Förstår inte riktigt att folk tycker det är ofattbart när det händer gång på gång (bara att söka efter liknande diskussioner på det här forumet så hittar man ett antal)... Det här är knappast första eller sista gången, det finns åtskilliga system där det fortfarande lagras lösenord i klartext, de flesta äldre men också en del nyare. Man måste ALLTID använda sina lösenord utifrån antagandet att någon kan få tag i dessa.

Att det ska vara olagligt är väl också helt orimligt? Det skulle i så fall vara ifall du har tecknat ett avtal med aktören om hur dina lösenord och personuppgifter ska lagras.

Naturligtvis håller jag med dig om att inga lösenord ska sparas i klartext idag men det innebär inte att alla gör på det viset och jag anser inte heller att man ska kunna tvinga någon att göra detta såvida inget tydligt avtal har ingåtts. Det känns som en tämligen extrem åtgärd sett i ett större perspektiv men det är lätt att bli hemmablind.

[Anders Larsson]

Citat:

Ursprungligen postat av tartareandesire

Att det ska vara olagligt är väl också helt orimligt? Det skulle i så fall vara ifall du har tecknat ett avtal med aktören om hur dina lösenord och personuppgifter ska lagras.

Faktum är att det delvis är olagligt redan idag, så orimligt är det ju uppenbarligen inte.

Om du registrerar personuppgifter, vilket är alla typer av uppgifter som kan härledas till en enskild person, så måste du följa PuL. I PuL tar även upp säkerhetsaspekter på lagringen och hanteringen.

Nog kan man antas ha varit både vårdslös och försumlig om man inte krypterar känslig information eller om man har väldigt enkla säkerhetshål i sina system.

[tartareandesire]

Citat:

Ursprungligen postat av Anders Larsson

Faktum är att det delvis är olagligt redan idag, så orimligt är det ju uppenbarligen inte.

Om du registrerar personuppgifter, vilket är alla typer av uppgifter som kan härledas till en enskild person, så måste du följa PuL. I PuL tar även upp säkerhetsaspekter på lagringen och hanteringen.

Nog kan man antas ha varit både vårdslös och försumlig om man inte krypterar känslig information eller om man har väldigt enkla säkerhetshål i sina system.

Jag är ganska kritisk till stora delar av PuL också. Jag anser att man bör satsa alla resurser på att istället komma åt allvarligare, illegal användning av personuppgifter istället för att skapa en massa otydliga lagar kring lagringen som inte ens myndigheterna klarar av att tolka.