[Danski]

Om man inte har någon openID, bankgiro eller liknande lösning så är det väl ändå tvunget att ha lösenorden sparade i databasen? Tror trådskaparen missuppfattat att det var sparat i klartext, eller?

Familjeliv har haft användarnas lösenord sparat som en hash. Vilken hash berättas inte, delvis antagligen för att inte underlätta något för angriparna. Enligt uttalandet är det i vart fall inte i klartext eller MD5. Sen om det är MD5+salt, SHA(1,2,3), bcrypt etc. berättas inte.

För att berömma något så tyckte jag att familjeliv.se var snabba på att upptäcka ett problemet, felsöka direkt och omedelbart gå ut och informera om angreppet till användarna. Kan tyckas självklart men många små sajter liksom stora företag drar sig för att berätta angrepp på grund av att man skäms för hålet och är rädd för att förlora användare/intäkter.

[Erik Stenman]

Man skulle väl iofs kunna spara hasharna på disk i stället för i databasen. Men det känns ju inte så vettigt.