[Lumax]

IDG - Intrång på Spray.se - lösenord låg ute i klartext

[Erik Stenman]

Det var väl på tiden. Har mailat dem några gånger om deras usla "glömt bort lösenord"-funktion men inte fått något svar. Det har gått att få ut lösenord från användare som registrerade sig för cirka ett år sedan genom den utan att veta något om dem. Ska inte gå in närmare hur man gör men helt ofattbart att de lagrar lösenord i klartext.

[RickardP]

Efter alla tragedier med lösenord och grejer, vad är det för kryptering man ska sattsa på?

Några förslag?

Har inget stor site själv ännu men har planer ;-)

[htiawe]

MD5 + salt brukar väl rekommenderas.
Det diskuterades väl ungefär när Proinet hackades, har jag för mig.

[gsoc]

sha256 och salt brukar räcka...

[KarlRoos]

Jag tänker implementera något liknande den här

Kod:

$salt0 = 'K"J8iewu89re7")=4890¤2304ioeuf98dufi4yu58rtysadifh489ytisd';
$salt1 = 'kdajrkehr8747623w4uijhds125ÖÄÖÅ|<>1228djvhdtshc**^^¨¨14kd9';
$salt2 = 'ok9s8dj!!¤%&==#)¤(83940+909Xlkxlkl-lö8)(KJ!)u3ih(!Y"#uyw83';
$salt3 = 'oakdoU"(9u3897)=#8294789¤YU89324y84789<se<893y483749<8syue';
$salt4 = 'I!OU#(/¤"6¤"/")%¤("=%"?!%&)!#(%)#8493i<jd<9234ijf593ufidh5';
$salt5 = '--._:-:-:Pdlkwke§294i9)"3013o32irofkjl<sfk?++0<><kljwkr535';
$salt6 = '&!"/"y4udhsjadhJDMNsxnmnmNXiwiu93419i49odiolwdko  1i3o23';
$salt7 = '!)("/¤("/RISjdskcm,scm="64968598e390rio<kfl<jf9ir90i594ire';
$salt8 = '½!"½!2§13klfjSKfjkjtej9fdjvin4köl0(/(#7539589%=3958989siuf';
$salt9 = 'OKS9ri294u8)=(935+0+osdsokd035i0isoadfosjf0324OJSIhriS=?=)';

$pass = sha1(sha1(sha1(md5(sha1(sha1(sha1(md5(sha1(md5($salt0 . $pass) . $salt1 . $pass) . $salt2 . $pass) . $salt3 . $pass) . $salt4 . $pass) . $salt5 . $pass) . $salt6 . $pass) . $salt7 . $pass) . $salt8 . $pass) . $salt9 . $pass);

då lär man ligga på den säkra sidan...

[Timofey]

KarlRoos, detta är väl ändå lite onödigt... kommer att belasta servern en del

Edit: Tänk hur många operationer som kommer behöva göras varje gång någon loggar in

[KarlRoos]

Citat:

Originally posted by alltinggratis@Apr 20 2008, 20:00
KarlRoos, detta är väl ändå lite onödigt... kommer att belasta servern en del
Edit: Tänk hur många operationer som kommer behöva göras varje gång någon loggar in

Yep, jag vet.
Men hellre ligga på en totalt överdriven säker sida och sova gott om natten.

[Julian]

varför lär dom sig inte? ...suck

[Timofey]

Undrar vad "Vuxna Förbannade Hackare" tjänar på det hela?