[nosnaj]

Givetvis ska man inte ha luckor i sin säkerhet, men det är ju än mindre ok att utnyttja dessa. Bättre man påpekar ägaren och låter dom fixa det innan större skada sker.

[coredev]

Citat:

Ursprungligen postat av tartareandesire

Det står i artikeln att lösenorden är krypterade.

Att de är krypterade gör tyvärr inte saken mycket bättre. Dels kan man med en stor mängd krypterad information (listan med lösenord) ihop med en ordlista (en lista på de vanligaste svenska lösenorden, t.ex. "sommar", "mamma", etc) för flera symmetriska krypton få fram den ursprungliga nyckeln. Dels så kan man få tag i nyckeln på annat sätt, i värsta fall lagras den i en stored procedure i databasen.

Citat:

Ursprungligen postat av oskarh

Var skulle man annars spara lösenorden?

Citat:

Ursprungligen postat av Danski

Om man inte har någon openID, bankgiro eller liknande lösning så är det väl ändå tvunget att ha lösenorden sparade i databasen? Tror trådskaparen missuppfattat att det var sparat i klartext, eller? Familjeliv har haft användarnas lösenord sparat som en hash.

Man skall icke spara dem alls i någon form som går att härleda till det ursprungliga lösenordet. En hash är alltså OK men att ha det krypterat är ej OK. Att spara lösenord i databasen i en form som går att härleda till det ursprungliga lösenordet år 2012 är helt klart skamligt.

Att det i detta fallet skulle handla om en hash var ny information för mig. I Aftonbladets artikel står det tydligt att lösenorden var "krypterade", men å andra sidan är väl AB inte känd för att vara direkt tillförlitliga. Frågan är dock varför VD:n går ut och rekommenderar att alla byter lösenord om de var ordentligt hashade.

[rhdf]

Citat:

Ursprungligen postat av coredev

Frågan är dock varför VD:n går ut och rekommenderar att alla byter lösenord om de var ordentligt hashade.

Gissningsvis för att de vet att de kanske bara hade lösenorden hashade med MD5 utan salt
Eller så är det något skumt sätt att lugna sina användare.
Lite som "Joo det brinner inne hos din granne, det är ingen fara men du gör nog bäst i att gå ut på gatan en stund"

[tartareandesire]

Citat:

Ursprungligen postat av coredev

Att det i detta fallet skulle handla om en hash var ny information för mig. I Aftonbladets artikel står det tydligt att lösenorden var "krypterade", men å andra sidan är väl AB inte känd för att vara direkt tillförlitliga. Frågan är dock varför VD:n går ut och rekommenderar att alla byter lösenord om de var ordentligt hashade.

Jag utgår från att krypterade här innebär just hashade lösenord. Något annat vore betydligt mindre sannolikt.

[rikardottosson]

Man ska faktiskt inte behöva drabbas av SQL injections längre. Alla serverspråk har någon form av tools för att jobba mot databasen. Om man upptäcker att man helt plötsligt sitter och bygger SQL-frågor för hand bör man nypa sig själv i armen, ställa ifrån sig pipan och göra på något annat sätt. Du kan _åtminstone_ göra parametriserade frågor i de fall där du använder handjagad SQL.

-- EDIT to add:
Att hasha räcker inte, alltså du måste hasha flera flera gånger. H4xx0rs idag har ju tillgång till rainbow tables med färdiga hashar av jättestora listor av vanliga passwords, så självklart, reversibla krypteringar => no no. Enkla hashningar, med ack så många bittar => också no no. Hasha många många gånger=> mja, ok, men ingen garanti.