[Nerix]

Citat:

Ursprungligen postat av ePay-SE

Det kommer bli lite mer klurigt att få tag på sitt lösenord, men säkerheten bör och ska vara i topp oavsett vad man får tillgång till och vad man inte får tillgång till - jag håller med dig 100%.

Klurigare att få tag i lösenordet? Detta ska aldrig gå, oavsett om man är kund, administratör eller hackare. Lösenorden ska hashas, inte sparas i klartext eller i krypterad form.

[Wojt]

Haha. Var nära att bli kund hos epay.

Men med formuleringar som "oskyldiga lösenord" och "klurigare att få tag på lösenordet" kommer jag se mig om efter en annan betalleverantör.

Kan man fortfarande inte GRUNDLÄGGANDE säkerhet, speciellt om man jobbar som en BETALLEVERANTÖR snart 2014 så borde man lägga ner direkt.

Det ska inte gå att få tag på lösenordet ÖVERHUVUDTAGET! Varken av epays personal, utomstående eller av en själv.

[pelmered]

Herregud vad illa. Det borde verkligen komma en lag som reglerar hur man hanterar lösenord och användaruppgifter och en fet vite för de som inte sköter det.

Citat:

Ursprungligen postat av ePay-SE

Först och främst kan jag meddela att vi håller på att programmera en ny version av betalningssystemet/admin gränssnittet, så du inte behöver fråga katten varje gång du ska logga in eller skapa ett nytt lösenord.
- Förmedlingen av lösenordet kommer även att ske på annan vis.

Det är en extremt klen ursäkt. Det här innebär att ni har hanterat lösenord på det här sättet i över 10 år utan att göra något åt det för än nu. Som betalningsleverantör finns det två saker som ska prioriteras före ALLT annat oavsett. Det är säkerhet och tillgänglighet/driftsäkerhet.

Är man seriös så finns det inte på kartan att hantera lösenord på det här sättet oavsett vad man tillhandahåller för typ av tjänst, och om är PSP är det många gånger värre.

Man kan ju inte undgå att ifrågasätta er kompetens när man ser sånt här och jag har förlorat allt förtroende för er. Jag kommer aldrig använda er eller rekommendera er till någon.

[Reconsider]

Tyckte trådstarten kändes tillräckligt pinsam, men det blir bara bättre

[Johnny Viking]

En rent tekniskt lagd kommentar gällande lösenordet som skickas via mail.

Är det inte bara så att systemet, efter ett godkänt lösenord matats in och validerats, skickar ett mail i samma veva som bekräftelse på att man lyckats skriva ett lösenord som accepterats?

Detta i sig måste ju inte betyda att lösenordet lagras i klartext någonstans.

Jag kan dock se varför det gjorts så här..., för att lösenordskravet är galet! Och att troligen minns inte kunden det lösenord som denne lyckats mata in som till slut godkänts.

Kunden skulle ju annars väldigt ofta behöva återställa sitt lösenord och gå igenom samma procedur varje gång man vill åt sina kunduppgifter.

Personligen, i ett av mina system, så låter jag inte ens kunden skriva ett lösenord utan dom får ett genererat sådant som även mailas ut till den registrerade mailen och sen lagras krypterat med bcrypt i databasen.

[pelmered]

Citat:

Ursprungligen postat av Johnny Viking

En rent tekniskt lagd kommentar gällande lösenordet som skickas via mail.

Är det inte bara så att systemet, efter ett godkänt lösenord matats in och validerats, skickar ett mail i samma veva som bekräftelse på att man lyckats skriva ett lösenord som accepterats?

Detta i sig måste ju inte betyda att lösenordet lagras i klartext någonstans.

Om du läser trådstarten igen så är det i en lösenordsåterställnigsförfrågan i efterhand som han får lösenordet i klarttext i sitt mail. Det betyder att det antingen lagras i klartext(mest troligt) eller att de använder en tvåvägskyptering.

Citat:

Ursprungligen postat av Johnny Viking

Personligen, i ett av mina system, så låter jag inte ens kunden skriva ett lösenord utan dom får ett genererat sådant som även mailas ut till den registrerade mailen och sen lagras krypterat med bcrypt i databasen.

Jag ogillar verkligen när mina lösenord skickas via mail vilket är helt okrypterat över internet och lagras i klartext på flera ställen(både utgående mailserver och mottagande mailserver) på vägen så jag tycker inte att det här är en bra lösning. Om jag får ett autogenererat lösenord måste jag direkt gå in och ändra det.
Det är en mycket bättre lösning än många andra, men personligen gillar jag det inte.

[Johnny Viking]

Oj jag lyckades missa det. Tack för infon. Då är det förjävligt iaf som betalningstjänst där högst åtråvärd information lagras.