Forum Övrigt Nyhetskommentarer Tråd Inlägg

Dustin i blåsväder för lösenord i klartext

1 2 3 4 5 6 7 8
Skriv svar
Permalänk
Medlem
Skrivet av anon4992:

Nej tydligen inte, webbdesignskursen jag gick missade att förklara hur man ser att en sida är kriminell. Återigen, vad är det på sidan som speglar deras, enligt dig, en kriminell verksamhet? "Kriminella sidor" brukar ju vara fyllda med popups, spam, felaktiga länkar, grova stavfel, stulna bilder, felaktiga logotyper och text med mera..

Gå till inlägget

Man behöver absolut inte gå en "Webbdesigns Kurs" för att se de dåliga och inte dåliga! Nja kriminell sida behöver ju INTE vara massa felaktiga länkar o skit, så absolut inte, de kan vara precis lagliga bilder, länkar m,m.

Visa signatur

AMD Ryzen 5 5600 | EVGA GeForce GTX 1070 8GB ACX 3.0 FTW | Fractal Design North Black TG | MSI MPG B550 Gaming Plus | Kingston Fury 32GB DDR4 3200MHz CL16 Beast | WD Black SN850X 1TB Gen 4 With Heatsink | EVGA SuperNOVA 750 G2 750W | Noctua NH-D15 | Windows 11 Pro

Redigera
Citera flera Citera
Permalänk
Medlem

Haha! Först blev jag sur och tänkte va fan nu måste jag logga in och byta lösenord. Till min förvåning var jag faktiskt inte kund hos dem. Trodde jag handlat nånting av dem någon gång under de senaste 15 åren som jag handlat datorkomponenter...men icke.

Visa signatur

http://mowned.com/sig/corb06.smart.jpg

Redigera
Citera flera Citera
Permalänk
Medlem

Tycker det här är helt barockt.
Om man inte har anpassat sig efter dagens idioter så får man fan göra det nu:
1. Ha ett lösenord för dina extremt viktiga tjänster, typ mailen.
2. Ha ett lösenord för tjänster som kan användas och vara negativt om de kommer i fel händer.
3. Ha ett lösenord för idioter tex Dustin.

Du har förlorat en kund, jag tänker aldrig beblanda mig med företag som inte sköter lösenordshanteringen korrekt.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SvalaSnubben:

Adobe hade krypterat sina lösenord åtminstonne. Det är iofs illa det med...

Gå till inlägget

Dåligt krypterade och med svaren på frågorna i klartext.

Visst, inte alls fullt så illa som i ren klartext som Dustin verkar ha, men långt ifrån godkänt.

Redigera
Citera flera Citera
Permalänk
Webhallen
Skrivet av SanyaIV:

Skulle vara underbart, tackar.

Gå till inlägget

Sorry för sent svar, glömde helt bort att jag skulel återkomma.

Vår IT avdelning lät hälsa "hash+salt" men att de inte ville gå in på mer exakta detaljer än så offentligt.

Visa signatur

Behöver du hjälp? 08-673 60 00 eller Mail/Chatt
Har du en fundering? Besök vår officiella forumdel
Discord, Instagram,Twitch

Redigera
Citera flera Citera
Permalänk
Inaktiv

Nu förlorade Dust In Home all min respekt, blir till att endast handla från Webhallen i fortsättningen.

Redigera
Citera flera Citera
Permalänk
Dustin

Dustin har nu infört en ny säkerhetslösning vid inloggning till vår webb. Den innebär att samtliga kunders lösenord kommer vara krypterade*. Vi har valt att påskynda övergången till den nya säkerhetslösningen då man på olika webforum har uttryckt oro kring lagringen av lösenord i vårt gamla system. Omläggningen görs en kund i taget och beräknas vara klar inom några dagar. Du kan själv kontrollera om ditt lösenord har blivit krypterat redan nu. Logga in på vår webb och gå till ”Mitt konto”. Ett låst hänglås innebär att lösenordet är krypterat. Om lösenordet inte redan är krypterat behöver du bara logga ut och därefter logga in igen. Då kommer lösenordet direkt att bli krypterat.

*Teknisk fotnot: Lösenord kommer att hashas med algoritmen bcrypt med salt per kund. Det tidigare klartextlösenordet raderas.

Har ni några frågor är ni välkomna att kontakta mig direkt på passwordquestions-to-per@dustin.se

Med vänliga hälsningar,
Per Lengquist
IT Director, Dustin

Visa signatur

Frågor om ett enskilt ärende? Skicka PM med order- eller returnummer!

Med Vänliga Hälsningar
Dustin

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hanton:

Nu var ju min uppmaning riktad till nyhetsbevakningen, och inget jag krävde att "gemene man" redan skulle insett.

Däremot tyder alla utrop om bojkott från sweclockersanvändare på riktigt rutten säkerhetsinställning. Det innebär att ni antar att ett system som ni inte har någon insyn i annars skyddar era uppgifter tillfredställande. Sluta anta det. Vad ni känner till gör _ingen_ webbshop det. Att ett pr-utskick säger motsatsen ska inte styra era säkerhetsvanor.

Skickades från m.sweclockers.com

Gå till inlägget

Håller absolut med att folk bör bli mr skeptiska och tänka över sina lösenord. Men dock står jag helt fast vid att en stor webbutik i norden med ett av världens främsta it-kunskaper ska man förvänta sig bättre lösenordshantering. Det är inte nåt skräpigt forum vi snackar om, utan en butik som säler ust it-material.
Riktigt uselt av Dustin, och deras nan är för alltid svärtat hos mig och många andra. Kommer överväga starkt nästa gång att INTE handla där, just för att ta ställning och visa att det är inte ok.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dustin Home:

Dustin har nu infört en ny säkerhetslösning vid inloggning till vår webb. Den innebär att samtliga kunders lösenord kommer vara krypterade*. Vi har valt att påskynda övergången till den nya säkerhetslösningen då man på olika webforum har uttryckt oro kring lagringen av lösenord i vårt gamla system. Omläggningen görs en kund i taget och beräknas vara klar inom några dagar. Du kan själv kontrollera om ditt lösenord har blivit krypterat redan nu. Logga in på vår webb och gå till ”Mitt konto”. Ett låst hänglås innebär att lösenordet är krypterat. Om lösenordet inte redan är krypterat behöver du bara logga ut och därefter logga in igen. Då kommer lösenordet direkt att bli krypterat.

*Teknisk fotnot: Lösenord kommer att hashas med algoritmen bcrypt med salt per kund. Det tidigare klartextlösenordet raderas.

Har ni några frågor är ni välkomna att kontakta mig direkt på passwordquestions-to-per@dustin.se

Med vänliga hälsningar,
Per Lengquist
IT Director, Dustin

Gå till inlägget

Lite väl sent för det och lite väl genomskinligt val pga stor publicitet ang ert mycket mycket dåliga val att inte kryptera lösenord! Är det så ett företag behandlar sina kunder så kan företaget leta någon annan stans!

Är oerhört besviken. Kommer inte handla hos er mer. Dessutom så hoppas jag att personen som är ansvarig för just detta får sparken med omedelbar verkan!

Visa signatur

Futureproofing explained
Temp "sensorers" riktiga utseende!
^Är även anledningen till att inte alla program visar samma temperatur på samma hårdvara.
Ryzen 7800x3D | TUF GAMING B650-PLUS | Asus 4070 || 8700k | Aorus gaming k3 | XFX core 650 Bronze | 1070ti | Fractal Design XL R2 |

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dustin Home:

Dustin har nu infört en ny säkerhetslösning vid inloggning till vår webb. Den innebär att samtliga kunders lösenord kommer vara krypterade*. Vi har valt att påskynda övergången till den nya säkerhetslösningen då man på olika webforum har uttryckt oro kring lagringen av lösenord i vårt gamla system. Omläggningen görs en kund i taget och beräknas vara klar inom några dagar. Du kan själv kontrollera om ditt lösenord har blivit krypterat redan nu. Logga in på vår webb och gå till ”Mitt konto”. Ett låst hänglås innebär att lösenordet är krypterat. Om lösenordet inte redan är krypterat behöver du bara logga ut och därefter logga in igen. Då kommer lösenordet direkt att bli krypterat.

*Teknisk fotnot: Lösenord kommer att hashas med algoritmen bcrypt med salt per kund. Det tidigare klartextlösenordet raderas.

Har ni några frågor är ni välkomna att kontakta mig direkt på passwordquestions-to-per@dustin.se

Med vänliga hälsningar,
Per Lengquist
IT Director, Dustin

Gå till inlägget

Men vänta nu!
Ni har alltså på bara ett par dagar åtgärdat det som er vd uttryckte var alldeles för komplicerat att göra inom rimlig tid?
Det betyder då att antingen har NI valt att ljuga offentligt, antagligen för att tona ner "petitessen" med lösenord, eller så är ni helt inkompetenta?

Tyvärr, skadan är redan skedd, och att ni förmodligen även ljugit förbättrar inte situationen direkt. Är förövrigt verksam inom it som systemutvecklare, så jag har hela tiden vetat att det inte är så otroligt komplicerat som ni vill påskina...

Som sagt, finns många butiker att välja på nästa gång.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Webhallen:

Sorry för sent svar, glömde helt bort att jag skulel återkomma.

Vår IT avdelning lät hälsa "hash+salt" men att de inte ville gå in på mer exakta detaljer än så offentligt.

Gå till inlägget

Nice, tackar.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Dustin Home:

Dustin har nu infört en ny säkerhetslösning vid inloggning till vår webb. Den innebär att samtliga kunders lösenord kommer vara krypterade*. Vi har valt att påskynda övergången till den nya säkerhetslösningen då man på olika webforum har uttryckt oro kring lagringen av lösenord i vårt gamla system. Omläggningen görs en kund i taget och beräknas vara klar inom några dagar. Du kan själv kontrollera om ditt lösenord har blivit krypterat redan nu. Logga in på vår webb och gå till ”Mitt konto”. Ett låst hänglås innebär att lösenordet är krypterat. Om lösenordet inte redan är krypterat behöver du bara logga ut och därefter logga in igen. Då kommer lösenordet direkt att bli krypterat.

*Teknisk fotnot: Lösenord kommer att hashas med algoritmen bcrypt med salt per kund. Det tidigare klartextlösenordet raderas.

Har ni några frågor är ni välkomna att kontakta mig direkt på passwordquestions-to-per@dustin.se

Med vänliga hälsningar,
Per Lengquist
IT Director, Dustin

Gå till inlägget

Bra och snabbt jobbat Per m.fl. Nu kommer jag gladeligen återigen skapa ett nytt konto hos er.

Visa signatur

|| SWECLOCKERS.COM ||
|| Självutnämnd Silverstone FT02-riddare ||
|| Silverstone FT02B-WRI "Limited Edition" No. 0743 & 0640 ||
|| Sweclockers officiella FT02-tråd ||

Redigera
Citera flera Citera
Permalänk
Medlem

Så snabbt gick det att fixa det "problemet" när media blåste upp skiten.
Det är en schysst attityd, lös allvarliga säkerhetsproblem när allmänheten får reda på det.

Att det gick så pass snabbt får mig att undra varför ni har låtit något så snabbfixat ligga orört så pass länge?
Riktigt jävla dåligt.
Jag har som alla andra bytt lösenord och kommer INTE handla av er.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av AnnoyingIB:

Du har väl övertalat mig då. Hade för mig att man kunde välja iterationer med SHA256 också, men blandade ihop det med PBKDF2 och Hmac

Gå till inlägget
Skrivet av anon81912:

Ah! Jag skrev också lite dumheter. SHA-256 är en del av SHA-2, som inehåller SHA-224, SHA-256, SHA-384 och SHA-512. Den egentliga efterträdaren är väl SHA-3 som är helt annorlunda algoritm. (Men det är väl ok då SHA står för Secure Hasing Algorithm)

Gå till inlägget

Fast SHA-256 med ett bra saltvärde som är unikt för varje konto är tillräckligt bra. Det finns bättre lösningar, men man kan alltid göra det jobbigare som t.ex. att dela upp lösenordet på flera servrar osv.

Du kan även med SHA-256 göra processen långsammare genom en relativt enkel funktion som hashar om lösenordet ett visst antal gånger. Jag skrev en funktion för skojs skull för ca 2 år sedan som gör SHA-256 500 gånger långsammare.

Det jag hoppas är att Dustin ser detta som någonting som måste fixas. De skyllde på att systemet är så stort att det är svårt att implementera, men det är bullshit.

Visa signatur

System: CPU: AMD Ryzen 9 3900X, MB: Gigabyte X570 Aorus Elite, Minne: Corsair 32GB DDR4 3200MHz, GPU: Asus GeForce RTX 2080 Super ROG Strix Gaming OC

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av FredrikMH:

Du kan även med SHA-256 göra processen långsammare genom en relativt enkel funktion som hashar om lösenordet ett visst antal gånger. Jag skrev en funktion för skojs skull för ca 2 år sedan som gör SHA-256 500 gånger långsammare.

Gå till inlägget

Att hasha hashar hjälper inte så mycket då man snabbt får bra resultat med en Rainbow tabell. Dessutom så går en hyggligt snabb persondator med grafikkort igenom flera miljarder hashes per sekund, så 500 gånger långsammare är inte hela världen

Skrivet av FredrikMH:

Det jag hoppas är att Dustin ser detta som någonting som måste fixas. De skyllde på att systemet är så stort att det är svårt att implementera, men det är bullshit.

Gå till inlägget

Det är redan fixat: http://www.sweclockers.com/nyhet/17957-dustin-kovander-och-in...

Dessutom använder de bcryp, som med rätt parametrar är OTROLIGT starkt, det finns inte många företag i världen som använder så pass fin hashning

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av anon81912:

Att hasha hashar hjälper inte så mycket då man snabbt får bra resultat med en Rainbow tabell. Dessutom så går en hyggligt snabb persondator med grafikkort igenom flera miljarder hashes per sekund, så 500 gånger långsammare är inte hela världen

Gå till inlägget

Du modifierar hashen innan du hashar om den. Rainbow-tabeller måste skapas på nytt och är inget alternativ om man kör med saltvärden.

Hur snabbt grafikkort genererar hashar har jag tyvärr ingen koll på. Finns det statistik på det?

Visa signatur

System: CPU: AMD Ryzen 9 3900X, MB: Gigabyte X570 Aorus Elite, Minne: Corsair 32GB DDR4 3200MHz, GPU: Asus GeForce RTX 2080 Super ROG Strix Gaming OC

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Zeta Two:

Inte ens SHA-familjen duger egentligen längre även om det såklart är oändligt mycket bättre än klartext.
För en ordentlig genomgång av lösenordshashning se t.ex. denna artikel av Troy Hunt: http://www.troyhunt.com/2012/06/our-password-hashing-has-no-c...

För övrigt så är det ingen signifikant säkerhetsskillnad mellan t.ex. SHA-256 och SHA-512 eftersom det ändå är en preimage-attack i slutändan. Det spelar ingen roll om hashen av "SALT + MySecretPassw0rd" är 256 eller 512 bitar då angriparen kommer få rätt svar så fort denne gissar rätt oavsett.

Gå till inlägget

Vad menar du med att SHA-familjen inte duger längre? SHA-3 har ingen känd svaghet.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av FredrikMH:

Du modifierar hashen innan du hashar om den. Rainbow-tabeller måste skapas på nytt och är inget alternativ om man kör med saltvärden.

Hur snabbt grafikkort genererar hashar har jag tyvärr ingen koll på. Finns det statistik på det?

Gå till inlägget

Japp, hinkvis. Det är det som här hela poängen med bitcoins och dylika tjänster

Redigera
Citera flera Citera
Permalänk
Medlem

Seriöst Dustin, och speciellt när personalen kan se dem i systemet t.o.m.
Kommer titta både en och två gånger på andra butiker innan jag shoppar av er igen, även om ni är billigare.
Sedan har jag sedan länge tittat snett på er då jag inte gillar hur fult ni anger prissänkningar.

Redigera
Citera flera Citera
Permalänk
Avstängd

Sweclockers blir allt mer som Aftonbladet. Sad panda.

Visa signatur
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ryuk00:

Sweclockers blir allt mer som Aftonbladet. Sad panda.

Gå till inlägget

Att lagra lösenord i klartext är helt absurt att man fortfarande gör.
Se detta för att förstå lite mer: http://www.youtube.com/watch?v=8ZtInClXe1Q

Tycker inte det är konstigt att en datornördssida tar upp detta som en stor grej.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Macke_BMRSweden:

Man behöver absolut inte gå en "Webbdesigns Kurs" för att se de dåliga och inte dåliga! Nja kriminell sida behöver ju INTE vara massa felaktiga länkar o skit, så absolut inte, de kan vara precis lagliga bilder, länkar m,m.

Gå till inlägget

Haha, vad pratar du om egentligen!?

Visa signatur

Fractal Meshify C | Phantek AMP 1000W PSU | AMD 5800X3D | Noctua NH-U14S | 32GB RAM | AMD Radeon 7900 XTX | Pro-Ject Pre Box Digital S2 | Beyerdynamics DT 900 Pro X | LG 27GP850 / Zowie XL2546k | Sony A90J
[/color]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Pan.Pan:

Lite väl sent för det och lite väl genomskinligt val pga stor publicitet ang ert mycket mycket dåliga val att inte kryptera lösenord! Är det så ett företag behandlar sina kunder så kan företaget leta någon annan stans!

Är oerhört besviken. Kommer inte handla hos er mer. Dessutom så hoppas jag att personen som är ansvarig för just detta får sparken med omedelbar verkan!

Gå till inlägget
Skrivet av PippiRull:

Men vänta nu!
Ni har alltså på bara ett par dagar åtgärdat det som er vd uttryckte var alldeles för komplicerat att göra inom rimlig tid?
Det betyder då att antingen har NI valt att ljuga offentligt, antagligen för att tona ner "petitessen" med lösenord, eller så är ni helt inkompetenta?

Tyvärr, skadan är redan skedd, och att ni förmodligen även ljugit förbättrar inte situationen direkt. Är förövrigt verksam inom it som systemutvecklare, så jag har hela tiden vetat att det inte är så otroligt komplicerat som ni vill påskina...

Som sagt, finns många butiker att välja på nästa gång.

Gå till inlägget

Chilla killar (eller tjejer, vad vet jag?)... Dustin Home lyssnar på kritiken och åtgärdar problemet. Även om det såklart var dumt av dem att spara lösenorden i klartext så är det nu fixat, vilket jag inte ser hur man kan klaga på. Deras VD ansvarar inte för det här, så det är rimligt att tro att han inte vet hur svårt det är att åtgärda. Visst var det dumt att då säga att det var för komplicerat, men nu är ju allt fixat så en fortsatt bojkott känns rätt meningslös.

Skrivet av Tilax:

Vad menar du med att SHA-familjen inte duger längre? SHA-3 har ingen känd svaghet.

Gå till inlägget

SHA-3 är inte färdigstandardiserat än, så vi vet inte hur det kommer se ut och därmed inte heller vilka eventuella svagheter som finns. Enligt min föreläsare i datasäkerhet har NSA varit inne och pillat i det ursprungliga förslaget och ändrat till något som verkar ha lägre säkerhet. Historiskt sett har tydligen NSA ställt krav på kryptering som ingen förstod när de kom men som på senare år visat sig faktiskt höjde säkerheten rejält, så det kan handla om samma sak nu eller så försvagar de SHA-3 för att de själva ska kunna knäcka det lättare. JAg tycker i alla fall det känns olämpligt att uttala sig alltför säkert om SHA-3 innan det är standardiserat.

Redigera
Citera flera Citera
Permalänk
Medlem

Handlar inte speciellt ofta där, men de få gånger jag köpt har varit postförskott

Visa signatur

Coca Cola missbrukare Förbjuden dryck för mig pga diabetes
AMD älskare
Katt älskare

Redigera
Citera flera Citera
Permalänk
Medlem

Jag upptäckte detta på Dustin Expo 2012 för 1 och ett halvt år sedan när jag skulle köpa högtalare på mässgolvet. Eftersom jag vid det laget hade flyttat så bad jag dem att ändra mina adressuppgifter. Det som hände var att personen öppnade upp min profil (i editeringsläge) på en skärm som kunde ses av vem som helst som gick förbi. Där syntes även mitt lösenord i klartext.

Fick en liten chock, och visste inte hur jag skulle reagera. Mailade och klagade direkt efteråt, fick svaret:

Citat:

Hej Tomas!

Vi är tacksamma för all återkoppling och feedback från våra kunder!

Jag har tagit det här vidare till vår säkerhetsansvariga då det är han som hanterar sådana problem. Just denna fråga kring lösenordet är något som diskuteras redan och de försöker hitta en bättre lösning på det. I dagsläget så håller vi på utveckla en ny webbplattform där lösenordet ska hanteras annorlunda än det görs idag.

Om du vill så kan jag alltid gå in och avaktivera ditt konto så att du kan skapa ett annat där du även kan ändra ditt lösenord. Återkom i så fall till mig så kan jag fixa resten!

Notera att detta svar fick jag 2012-04-04! Jag undrar när de kommer bli klara med detta... Nu har de åtminstone fått ett och ett halvt år på sig.

Jag ångrar lite att jag inte skrev till tidningar redan då.

Edit: Ok, jag kanske bör läsa nyhetsflödet först... Nåja.

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Kilroy:

Att lagra lösenord i klartext är helt absurt att man fortfarande gör.
Se detta för att förstå lite mer: http://www.youtube.com/watch?v=8ZtInClXe1Q

Tycker inte det är konstigt att en datornördssida tar upp detta som en stor grej.

Gå till inlägget

Problemet är att folk är för naiva som tror att allt sköts med "best practise". T.ex. så finns det ju hemsidor som lagrar dina VISA-kort-data, så för att minimera eventuella förluster då någon får tag i den datan så bör man inte ha VISA-kortet kopplat till sparkontot.

Visa signatur
Redigera
Citera flera Citera
Permalänk
Medlem

Hallon.se går steget längre. Tecknar du ett andra abbonemang (loggar in med befintligt konto) så mailar de lösenordet i klartext i bekräftelsemailet. Samma lösenord som du dessutom just bevisat att du kommer ihåg

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Edmund:

Hallon.se går steget längre. Tecknar du ett andra abbonemang (loggar in med befintligt konto) så mailar de lösenordet i klartext i bekräftelsemailet. Samma lösenord som du dessutom just bevisat att du kommer ihåg

Gå till inlägget

Kontakta dem och klaga, det är inte okej. Reagerar de inte så kontakta media. Jag skulle kunna göra det själv, men då jag inte är kund hos Hallon.se känns det bättre om någon som faktiskt är kund klagar.

Redigera
Citera flera Citera
Permalänk
Medlem

Möjligtvis redan någon som skrivit här men....

Komplett var inte sena att svara...

Visa signatur

Citera så svarar jag!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ryuk00:

Problemet är att folk är för naiva som tror att allt sköts med "best practise". T.ex. så finns det ju hemsidor som lagrar dina VISA-kort-data, så för att minimera eventuella förluster då någon får tag i den datan så bör man inte ha VISA-kortet kopplat till sparkontot.

Gå till inlägget

...ok?
Varför är det någonting negativt i att Sweclockers rapporterar om att det sköts dåligt när dom får reda på det?

Redigera
Citera flera Citera
1 2 3 4 5 6 7 8
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara