Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
31

Microsoft bekräftar spelläge i Windows 10 Creators Update

Uppgifterna om ett spelläge i Windows 10 bekräftas nu av Microsoft i ett nytt blogginlägg. Funktionen lanseras i och med Creators Update och ska fungera med samtliga speltitlar. Läs mer

65

Windows 10-uppdatering introducerar problem för användare med flera skärmar

Under förra veckan släppte Microsoft en mindre uppdatering för Windows 10, vilken skapat problem för användare som spelar med flera skärmar via Nvidia Surround eller AMD Eyefinity. Läs mer

14

Analysfirman IDC förutspår stabilisering på PC-marknaden framöver

Trots en fortsatt minskad försäljning på datormarknaden överlag spås den nu stabiliseras, med ökad försäljning för både Dell, HP och Lenovo det senaste året. Läs mer

88

Nintendo Switch lanseras utan spelbundlar

I början av mars anländer spelkonsolen Nintendo Switch och inledningsvis släpps den helt utan några spelbundlar, något som motiveras med att speljätten vill hålla ned priset. Läs mer

69

Philips BDM4037UW är välvd 40-tumsskärm för skrivbordet

Skärmmakaren Philips lanserar sin tredje generations skärm i 40-tumsklassen, som förutom att bli en välvd historia går tillbaka till att använda VA-panel. Läs mer

27

Tre medlemmar vinner kaffe från Lindvalls

Lindvalls ringar in det nya året med att belöna tre medlemmar med varsin årsförbrukning kaffe, som de kan avnjuta för att uppnå sina perfekta kaffestunder. Läs mer

48

Razers stulna prototyp Project Valerie dyker upp för försäljning

Den försvunna prototypdatorn Project Valerie hittar ut på kinesiska webbplatsen Taobao, där den lagts upp för försäljning för omkring 200 000 svenska kronor. Läs mer

54

Nintendo bekräftar 6,2-tumsskärm och 32 GB lagringsminne för Switch

I samband med avslöjandet av släppdatum och pris för Switch går Nintendo ut med ytterligare hårdvarudetaljer, bland annat att batteritiden i nästa Zelda endast räcker omkring tre timmar. Läs mer

121

Nintendo Switch lanseras den 3 mars – kostar strax över 3 000 kronor

Under en direktsänd tillställning avslöjar Nintendo fler detaljer om spelkonsolen Switch, som släpps tidigt i mars och där över 80 speltitlar är under utveckling. Läs mer

122

Valve-anställd: "Half-Life 3 kommer aldrig att släppas"

Enligt en anonym anställd på Valve kommer fansen aldrig få se en tredje del i spelserien Half-Life, något som bland annat beror på hur företaget arbetar med spelutveckling. Läs mer

68

Cooler Master tillkännager nätaggregat för 11 000 kronor

Masterwatt Maker MIJ är ett nätaggregat från Cooler Master av det mer exklusiva slaget, med endast japanska komponenter, 80 Plus Titanium samt en prislapp på 11 000 kronor. Läs mer

36

HTC tillkännager U Ultra – smart telefon med dubbla skärmar

De två kommande mobiltelefonerna från HTC får namnen U Ultra och U Play, där den förstnämnda utrustas med en extra skärm på enhetens framsida. Läs mer