Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
133

Media Markt förnekar beslut om reträtt

Det är snabba turer i frågan runt huruvida Media Markt planerar att lämna den svenska marknaden. I ett meddelande förnekar företagets lokala VD att ett beslut är fattat. Läs mer

2

MSI lanserar Mini ITX-grafikkort i Aero-serien

MSI tar sikte på kompakta byggen med Aero-serien, som huserar Geforce GTX 1050, GTX 1050 Ti, GTX 1060 och GTX 1070 i krympta utföranden. Läs mer

133

Media Markt överger Sverige

Hemelektronikkedjan Media Markt lämnar den svenska marknaden och överför samtliga varuhus till norska Expert, som planerar svensk comeback under annat varumärke. Läs mer

11

Testpilot: Asustor AS3102T – NAS-enhet för vardagsrummet

En ny NAS från Asus lagringsvarumärke erbjuder allt från HDMI till 4K UHD-stöd och USB 3.0. Testpiloten Alvar "TheMadPanda" Berglind tar en närmare titt på Asustor AS3102T. Läs mer

31

Fredagspanelen 129: AMD Ryzen får prislapp och Bredbandsbolaget blockerar Pirate Bay

AMD Ryzen får svenska prislappar, läckta prestandasiffror och lanseringsdatum, vilket givetvis måste avhandlas av Jonas och Jacob i senaste avsnittet av Fredagspanelen. Läs mer

315

AMD Ryzen 5 1600X i prestandatest – jämförs mot Intel Core i5-7600K

Efter flera läckor om AMD:s åttakärniga Ryzen-processorer hittar prestandatest ut för en variant med sex kärnor, som jämförs mot Intels Core i5-7600K i samma prisklass. Läs mer

0

Fulkultur pratar fandom

I veckans avsnitt av Fulkultur pratar gänget om skaparna de älskar att följa genom både uppgång och fall. I vanlig ordning avhandlas allt ifrån filmer och spel till böcker och musik. Läs mer

16

Tom Clancy's Ghost Recon: Wildlands får systemkrav

Inom kort påbörjas den öppna betaperioden för Ghost Recon: Wildlands. Inför detta går nu Ubisoft ut med de officiella systemkraven för speltiteln. Läs mer

13

Bethesda tillkännager systemkrav för Prey

Omstarten av spelserien Prey lanseras först framåt sommaren, men redan nu går utgivaren Bethesda ut med systemkraven för PC/Windows. Läs mer

32

Nintendo: "Produktion av NES Classic Edition fortsätter"

Storsäljaren och ständiga bristvaran NES Classic Edition har inte produktionsstoppats och försäljningen fortsätter. Det framgår i ett uttalande från Nintendos europeiska division. Läs mer

36

Test: Corsair K95 RGB Platinum

Amerikanska Corsair gör ett återbesök i testlabbet med senaste tangentbordet K95 RGB Platinum, där makroknappar, uppdaterat handlovsstöd och kabelkanaler står på menyn. Läs mer

11

Tävla och vinn ljudprodukter från Blue signerade Ninjas in Pyjamas

För den som inte nöjer sig med vanligt headset tävlar Blue ut två exklusiva paket huserande mikrofon och påkostade hörlurar, som dessutom signerats av Ninjas in Pyjamas. Läs mer