Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
2

Vinnande datorpaket blir MSI Carbon PC hos återförsäljaren Webhallen

Hundratals bidrag och en omröstning senare. Nu har ett datorpaket utsetts till vinnande bidrag och kommer säljas hos Webhallen som "MSI Carbon PC 2016" genom hela december. Läs mer

5

Cooler Master lanserar Mastercase Maker 5t

Cooler Master hoppar på årets hetaste trend på chassimarknaden, där det nya flaggskeppet Mastercase Maker 5t bestyckas med sidopaneler av härdat glas och avancerade ljusfunktioner. Läs mer

37

Rösta om SweClockers jullogga 2016!

Nio juliga bidrag har gått till final i SweClockers årliga julpyntartävling. Nu lämnar juryn över till läsarna, som får i uppgift att avgöra vilken logotyp som ska pryda sajten över jul! Läs mer

2

Nvidia släpper drivrutin för Oculus Touch lanseringstitlar

Oculus rörelsekontroll Touch har nyligen lanserats med tillhörande speltitlar. I samband med detta släpper Nvidia en ny drivrutin med optimeringar för dessa. Läs mer

Tävla om Seasonic Prime 850 W Titanium i lucka sex av Geeks Julkalender

  • idag 12:00

Effektivitet i absolut toppklass från Seasonic till ett värde om närmare 3 000 kronor gömmer sig bakom senaste luckan i Geeks Julkalender! Läs mer

31

Orsaken till problemen med Samsung Galaxy Note 7 upptäckt

Samsung har ännu inte gett någon officiell förklaring till varför Galaxy Note 7 exploderar, men enligt två ingenjörer som plockat isär telefonen beror det på fel i enhetens utformning. Läs mer

24

Testpilot: MSI Z170A Gaming M7

MSI satsar på mängder av finesser och lätta överklockningsfunktioner med sitt moderkort Z170A Gaming M7. Testpiloten David Rönnlund sätter tänderna i modellen och ser vad den går för. Läs mer

26

Nvidia förbereder Geforce GTX 1060 3 GB med grafikkretsen GP104

Defekta grafikkretsar som inte håller måttet för Geforce GTX 1080 och GTX 1070 ska användas till 3 GB-varianten av GTX 1060. Det här framgår av en ny ID-slinga i Nvidias senaste drivrutiner. Läs mer

30

Seagate lanserar portabla hårddiskar under varumärket Maxtor

Efter att för ett antal år sedan lagt ned varumärket Maxtor återupplivas det nu av Seagate. Maxtor tar över Seagates budgetsegment av portabla hårddiskar efter Samsung. Läs mer

21

HTML5 blir standard i Google Chrome

Google är ett av många företag som börjat överge Flash för att övergå till HTML5 och nu blir den sistnämnda standard i företagets webbläsare Chrome. Läs mer

14

AVOID av "timpelay"

På finalen av Cooler Master Casemod Championship på Dreamhack Winter 2016 kom det farliga bygget Avoid på en hedervärd fjärdeplats. Spana in bygget i SweClockers galleri! Läs mer

27

Direkt från Kappa Bar med Geeks Gaming

Spelsällskapet Geeks Gaming intar Kappa Bar för häng och god mat. Givetvis direktsänds hela kvällen, och gänget uppdaterar löpande med bilder. Läs mer