[daniel_]

Som Sveriges största Webmaster forum tycker jag det är på sin tid att vi tar upp diskussionen om förvaring av lösenord och säkra webbplatser. Inte minst med tanke på den senaste tiden hack mot Sveriges största webbplatser.

Det jag syftar på är inte enskilda kodsnuttar för enskilda individer utan snarare generella tips och idéer som kan göra det säkrare för användare och webmasters.

Som säkert många räknat ut finns det en stor skara som tycker detta med hacking är enormt roligt och spännande. Inte minst bland vissa medlemmar på WN. Detta beteende uppmuntrar till fler attacker vilket är väldigt olyckligt. En ren spontan tanke är att folk som uppmuntras kommer testa sin knepp på mindre välbesökta webbplatser för att se om det fungerar. Därför tror jag egentligen inte någon webmaster går säker när det gäller hacking.

Vi som webmasters har ett visst ansvar då det är vi som kan bestämma hur pass säkert ett lösenord blir. Är det på tiden att man reglerar lösenord för användare?

Vad kan vi som webmasters göra för att minimera skada för enskilda användare och oss själva?

[gsoc]

Jag har en usb disk där det ligger en fil som är en partition som är krypterad med AES-Twofish-Serpent, och i den ligger det en KeePass fil, där jag sparar lösenord till allt, och den genererar alltid längre än 20 tecken...

Det kan väll anses lite överdrivet kanske...

(Tar självklart backup på filen lite då och då)

[SimonP]

Lite snabba tips:

-Administratörer & Moderatorer behöver lära sig använda bättre lösenord
-Spara aldrig lösenord i klartext, använd alltid envägsfunktioner som t.ex MD5/SHA1 + en slumpmässig salt, där salten är olika för varje användare.
-Sessioner bör vara IP-kontrollerade, ifall en ny IP-adress plötsligt använder ett befintligt sessionsid skall användaren tvingas logga in igen, för Administratörs-konton är detta mkt viktigt.
-Uppdatera alltid webmiljön med dom senaste säkerhetspatcharna

Sen finns det naturligtvis en massa annat som man också bör tänka på, men ovanstående hade förhindrat flera av dom attacker som varit.

När man skyddar datorer, hemsidor etc. tycker jag att man bör utgå ifrån värsta scenariot, dvs att attackeraren har stulit hela datorn/databasen, sen börja jobba därifrån.

[Magnus_A]

Bra ide! Om vi hjälps åt blir det den nyttigaste tråden på länge!

Mina 25 öre:
Olika mysql-användare för drift respektive administration med olika rättigheter.
Var extremt noga med att tvätta formulär-input. Bort med alla tecken som inte har där att göra.
Se över alla include-satser så att inget inputtat material kan dyka upp där.

[htiawe]

* Gör det som ett krav vid registreringen att kräva sex tecken med minst två siffror.
* Vid förfrågan om glömt lösenord så ska man inte få sitt gamla lösenord skickat till mailadressen utan man ska först få svara på en fråga såsom var man föddes eller vad husdjuret heter.
* Admins och supportpersonal måste skärpa sig och kräva en rejäl motprestation innan man ger ut persondetaljer, det ska inte räcka med ett samtal till supporten med "eeeh, jag pajjade datan på fyllan" för att få ut lösenordet till mailkonton/spelkonton/osv

[stakes]

Har en lösenordspolicy mot mina användare och utförlig information
om att använda bra och UNIKA lösenord. Även en liten indikator
som kontrollerar vid skapande av lösenord om det är ett "svagt" eller
"starkt" lösenord. Detta i kombination med sha256 + salt och peppar får
mig iallfall att sova något bättre om nätterna :P

[guran]

Det uppkommer alltid ett litet problem med saltet eller algoritm. Det gäller ju att förvara algoritm säker. Kan någon hacka hela min webbplats och databas, ja då lär ju även algoritm bli grädden på kakan.

Har ni någon bra lösning på det?

[Kristoffer G]

Så som jag ser på det så är sha1+salt eller liknande aldrig en fullständig lösning, utan mer ett störande moment och tidsåtång för en hackare. Förhoppningsvis hinner man upptäcka intrånget och byta ut alla lösenord och funktionen för skapandet av lösenorden innan dem lyckats få ut något i klartext.

Kombinera det med lite hårdare krav på lösenorden som användare anger (minst 1 stor bokstav och en siffra/specialtecken) så har du en "relativt" säker miljö.

[SimonP]

Nja, säkerheten ska inte bygga på att algoritmen hålls hemlig.
Bara att hasha och salta tillräckligt, upprepa gärna proceduren många gånger, så blir det väldigt svårt att få fram lösenorden, även om man har tillgång till algoritmen.

Världens, i mitt tycke, bästa säkerhetssystem, OpenPGP, hashar varje lösenord, upp tilll 65536 gånger.

[Adam]

En sha1 hash av lösenordet+salt (unikt ännu bättre) räcker långt. Testar man sedan användarnas lösenord vid registreringen med exempelvis libcrack och ger tillbaka detta till användaren brukar de välja säkrare lösenord.

Ännu bättre är om man kollar användarens lösenord mot någon lista av ord som 'hejsan', '123456' osv. Vidare är det smart att kolla så att användarens lösenord inte är exempelvis användarens telefonnummer.

Den värsta utgången av ett hack som jag ser det är att medlemsdatabasen slinker ut. En deface eller liknande går alltid att reparera. Medlemsdatabasen slinker ofta ut tack vare RFI/LFI/SQL Injection osv - håller man koll på vad man inkluderar och kör med magic_quotes_gpc är man ganska säker.

Att hålla servern uppdaterad och inte köra en massa onödiga tjänster är ett annat bra knep men de flesta attacker med den värsta utgången sker på andra sätt. Så mer krut på bra kodning helt enkelt.

Att hasha lösenord 65000 gånger tycker jag låter ganska onödigt. Om användaren väljer ett lösenord som inte finns i någon vanlig ordlista och om man använder en bra hash som sha1 på ett bra salt så tar det helt enkelt för lång tid för de som hänger på FB .

MVH