Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
2

Intel LGA 2066 för Skylake-X har samma kylarmontering som sockel LGA 2011-3

Det vankas ny sockel till Intels Skylake-X med upp till tolv kärnor och Kaby Lake-X. Den som planerar uppgradera slipper dock köpa ny kylare, det bekräftar Noctua. Läs mer

11

Nintendo tillkännager New 2DS XL

I ett något oväntat drag tillkännager Nintendo spelkonsolen New 2DS XL, en kraftfullare uppdaterad version av fyra år gamla 2DS med ny design. Läs mer

29

Acer avtäcker Predator X27 med 4K UHD i 144 Hz, Nvidia G-Sync och HDR

Taiwanesiska Acer går "all-in" med skärmen Predator X27, som utöver 4K-upplösning och 144 Hz fylls till brädden med andra funktioner som Nvidia G-Sync och HDR. Läs mer

46

Teknikdemo visar Project Scorpios potential i 4K UHD och 1080p

Nya bilder visar hur Microsofts kommande konsol ska förbättra den grafiska upplevelsen i både 4K- och 1080p, med bland annat större texturer och supersampling-teknik. Läs mer

4

Fulkultur om Marvel i film och TV-serier

Fulkultur återvänder till att prata om Marvel och deras superhjältar, men denna gång flyttas fokus från serietidningar till vita duken. Läs mer

18

Kom på din egen shoppingfest och vinn bärbar speldator från CDON

CDON drar åter igång sin shoppingfest Green Friday, där de utlovar erbjudanden i nivå med Black Friday. För att fira tävlar återförsäljaren ut en bärbar speldator värd 15 490 kronor. Läs mer

21

Nintendo sålde 2,7 miljoner Switch-enheter under första månaden

Spelkonsoltillverkaren Nintendo presenterar sin första kvartalsrapport för år 2017, av vilken det framgår att företaget sålt totalt 2,74 miljoner Switch-enheter under mars månad. Läs mer

42

Call of Duty: WWII avtäckt

Trenden trogen tillkännager Activision den senaste delen i spelserien Call of Duty, vilken blir den första på många år som utspelar sig under andra världskriget. Läs mer

161

EU: "Olagligt att titta på piratströmmar"

En ny dom från EU-domstolen slår fast att det är olagligt att ta del av innehåll via piratströmmar. Detta då det anses bryta mot upphovsrättslagen. Läs mer

80

Testpilot: MSI Geforce GTX 1080 Ti Gaming X

Testpiloten Kalle "Flamso" Nilsson sätter MSI:s Geforce GTX 1080 Ti Gaming X på prov, ett kort som utlovar både bättre kylning och överklockningspotential än Founders Edition. Läs mer

94

Tio procent av Windows 10-användarna har uppdaterat till Creators Update

Två veckor efter lanseringen av Creators Update för Windows 10 har en tiondel av användarna uppdaterat till denna, där en stor del utgörs av Microsofts Surface Pro och Surface Book. Läs mer

16

Nvidia släpper drivrutin för Warhammer 40 000: Dawn of War 3

I och med lanseringen av Warhammer 40 000: Dawn of War 3 passar Nvidia på att släppa en ny drivrutin, vilken lägger till stöd för speltiteln samt tre nyligen lanserade VR-spel. Läs mer