[SimonP]

Citat:

Ursprungligen postat av rhdf

Om man som programmerare förutsätter att användare gör "rätt" eller precis som man tänkt, så är man en dålig programmerare

Om man kodar någonting där det skall vara användare inblandat så måste man tyvärr utgå från att användare är idioter och sen försöka hantera det.

Japp, håller med om detta.

Saker man bör ha:
-lösenordspolicy för att undvika alltför svaga lösenord
-hashning och saltning av lösenord
-spärr som träder in vid för många felaktiga inloggningsförsök
-filter/kontroll av inkommande data

Om man som programmerare gjort ovanstående så är det inte mkt mer man kan göra, resten hänger på användaren själv samt på serveradministratören.

[klein]

Hacket emot gratisbio har nog orsakat en del relations störningar, förhoppningvis blir det en väckaklocka för många. Om man läser den här tråden på Flashback ( https://www.flashback.org/t1696950p217 ) , så har man busat runt en hel del på folk facebook konto, en del flashbackare har trollat riktigt duktig på folk facebook. ( Någon trollade på facebook att hon var gradvid... )

Sedan lär antalet spam öka till dessa 300k epost adresser i framtiden, för dem som vill skicka reklam så är detta hack en guldgruva.

Citat:

Ursprungligen postat av SimonP

Japp, håller med om detta.

Saker man bör ha:
-lösenordspolicy för att undvika alltför svaga lösenord
-hashning och saltning av lösenord
-spärr som träder in vid för många felaktiga inloggningsförsök
-filter/kontroll av inkommande data

Om man som programmerare gjort ovanstående så är det inte mkt mer man kan göra, resten hänger på användaren själv samt på serveradministratören.

[Erik Stenman]

Är det några andra som råkat ut för att någon/några försökt logga in på era olika affiliatekonton för olika nätverk. För mig själv så fanns inga korrekta lösenord med i någon släppt dump men eftersom jag fått mail med en återställningslänk för lösenordet till tradedoubler känns det som om någon sitter och kör dumparna mot diverse sidor.

[BarateaU]

Citat:

Ursprungligen postat av Erik Stenman

Är det några andra som råkat ut för att någon/några försökt logga in på era olika affiliatekonton för olika nätverk. För mig själv så fanns inga korrekta lösenord med i någon släppt dump men eftersom jag fått mail med en återställningslänk för lösenordet till tradedoubler känns det som om någon sitter och kör dumparna mot diverse sidor.

Jopp samma här, men kan lika gärna vara TD system som muppar.

[eliasson]

Citat:

Ursprungligen postat av Gustav

Men ca nio timmar tar det med min Core i5 2500 att knäcka mitt eget lösenord med den mjukvara som jag använder (dvs den mjukvara som jag laddade ner för ändamålet, knacka lösenord är ingenting jag normalt ägnar mig åt). Mitt lösenord var zsv95JnX, dvs inga specialtecken.

Jag kan mindre än noll om kryptering. Så nio timmar tog det för mig som inte kan ett smack om lösenord. För en hacker skulle det förmodligen gå betydligt fortare.

Prova att använda din GPU så skall du allt få se på resultat.

[BjörnJ]

Citat:

Ursprungligen postat av SimonP

Saltet bör läggas efter lösenordet för att försvåra bruteforce

Kan du utveckla det där?

[BjörnJ]

Citat:

Ursprungligen postat av Davve

Det är idioter som håller på med olagliga intrång som är boven, inte den som blir drabbad. Eller ni kanske menar att om ni glömmer att låsa dörren hemma så är det ok att komma in?

Det är givetvis fel att gå in även om det är olåst, men om man glömmer låsa dörren är det inte ok att det innanför dörren finns en nyckelknippa med uppmärkta nycklar till de 100 000 närmaste grannarna...

Dessutom är det ofta många dörrar att låsa. Är alla verkligen låsta ordentligt?

Som Gustav skrev är det flera som har ansvar. Det var fel att göra intrång och kopiera databasen. Det var fel att lösenorden inte var skyddade ordentligt. Det är fel av användare att ha för enkla lösenord eller samma lösenord på flera ställen.

Som utvecklare, utgå från att någon kan komma över databasen.
Som utvecklare, utgå från att många användare kommer att göra fel om de får chansen.
Som användare, utgå från att någon kommer att komma över något/några av dina lösenord.

[AnOnYmUs]

Kan ju tillägga att det bör stå "INTE till din e-post" vid Lösenords-formuläret. Tycker många sajter saknar det här.

[tartareandesire]

Citat:

Ursprungligen postat av BjörnJ

Kan du utveckla det där?

Han har tidigare redogjort för detta i den här tråden:

http://www.wn.se/t30777.html