Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
1

Fler bilder från Casemod Championship 2017 på Dreamhack Summer 2017

En av de stora hårdvaruhändelserna under Dreamhack Summer 2017 var Casemod Championship, där såväl den svenska eliten som nya stjärnskott gjorde upp. Nu bjuder Geeks Gaming på en bildkavalkad från mästerskapen! Läs mer

8

Valve berättar mer om sina nya handkontroller för SteamVR

Nya handkontroller för SteamVR har nu börjat skickas ut till spelutvecklare. Dessa kallas för Knuckles och möjliggör mer naturliga rörelser i spel tack vare tryckkänsliga ytor. Läs mer

11

Imagination Technologies lägger upp sin verksamhet för försäljning

Efter att Apple bestämt sig för att övergå till egen tillverkning av grafikprocessorer för Iphone och Ipad säljer nu Imagination sin verksamhet, där ett flertal intressenter redan lagt bud på denna. Läs mer

2

Fulkultur om tidsresande mördarrobotar

Denna veckas avsnitt av Fulkultur bjuder på en djupdykning i de två första Terminator-filmerna, där James Cameron målar upp en dystopisk framtid med självmedveten artificiell intelligens. Läs mer

0

Alla teknik- och frågepaneler med SweClockers från Dreamhack Summer 2017

Årets upplaga av datorfestivalen Dreamhack Summer må ha tagit slut i början av veckan men lämnar dock efter sig en diger skara hårdvarurelaterade paneler som livesändes från scenen. Läs mer

22

Zenimax vill säljstoppa Oculus Rift

Ett antal månader efter domen mot Oculus fortsätter nu rättstvisten mellan dem och Zenimax. Detta då Zenimax vill blockera all försäljning av Oculus VR-headset Rift. Läs mer

48

AMD förbereder B2-stepping för AMD Ryzen "Summit Ridge"

Inom kort sjösätter AMD en ny våg av Ryzen-processorer, där smärre buggfixar och vad som tros bli förbättrad minneskompatibilitet står i centrum Läs mer

14

Fler bilder från Dreamhack Summer 2017

Under Dreamhack Summer 2017 fick SweClockers redaktion uppbackning av de glada spelnördarna i Geeks Gaming, som med kamerorna i högsta hugg bevakade världens största LAN-festival. Läs mer

11

Testpilot: Cryorig H7 Quad Lumi

Testpiloten David Kvist testar Cryorig H7 Quad Lumi, vilken utlovar extremt god kompatibilitet och god kylförmåga med ett litet avtryck och RGB-belysning. Läs mer

7

Toshiba har hittat en köpare för sin minnesverksamhet

Toshiba har nu hittat en köpare för sin minnesverksamhet, där det vinnande budet för denna uppges hamna på minst 157 miljarder kronor. Läs mer

22

Microsoft svarar på Kasperskys anmälan om konkurrensbrott

Efter att Kaspersky lämnat in en anmälan om konkurrensbrott mot Microsoft till EU svarar nu företaget och erkänner att de avaktiverat annan mjukvara, men att det gjorts av kompatibilitetsskäl. Läs mer

29

Samsung Galaxy Note 8 lanseras i augusti

Trots debaclet kring Galaxy Note 7 arbetar Samsung på en ny modell i Galaxy Note-serien, vilken utrustas med 6,2-tumsskärm och väntas lanseras i augusti i år. Läs mer