Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
25

Test: Corsair Lapdog – tangentbord för vardagsrumsspelande

Amerikanska Corsair slår ett slag för spelande i vardagsrummet med Lapdog – en hållare för företagets mekaniska tangentbord särskilt utformad för soffgamers. Läs mer

30

AMD:s styrkrets X370 för sockel AM4 ger stöd för Crossfire och SLI

När AMD släpper den efterlängtade arkitekturen Zen får den sällskap av en ny styrkrets, som enligt nya uppgifter blir ensam om att ge stöd för Crossfire och SLI till sockel AM4. Läs mer

51

Apple kan använda grafikkort från Nvidia i kommande datorer

Listningar för tre nya jobbpositioner på Nvidias webbplats skvallrar om att företagets produkter kan dyka upp i kommande Mac-datorer från Apple. Läs mer

59

Nvidia Geforce GTX 1050 Ti och GTX 1050 lanseras i oktober

Efter 2,5 år på marknaden är Geforce GTX 750 Ti och GTX 750 på väg att fasas ut, till förmån för två nya instegsmodeller baserade på arkitekturen Pascal. Läs mer

41

Valve uppdaterar utseendet på Steam Store

En kommande uppdatering till Steam ska fräscha upp utseende på Store-sidan. Med större bilder och mer användaranpassning ska den bli mer överskådlig och lättnavigerad. Läs mer

31

Google visar Wifi-router och Chromecast med 4K-stöd den 4 oktober

Det blir inte enbart två nya telefoner under Googles evenemang i oktober. Nu talas det även om att bolaget släpper en router, Google Home och en Chromecast med 4K-stöd. Läs mer

53

Sid Meier's Civilization VI får systemkrav

Om mindre än en månad släpps Sid Meier's Civilization VI, som åter går tillbaka till spelets rötter. Inför lanseringen släpper Firaxis Games spelets systemkrav. Läs mer

127

Test: Asus Radeon RX 480 Dual OC 4 GB och Palit Geforce GTX 1060 Dual 3 GB

Det blåser upp till storm i mellanklassen, där SweClockers testlabb blir arena för en sann grafikkortsbatalj mellan lågminnesvarianterna av Geforce GTX 1060 och Radeon RX 480. Läs mer

65

Battlefield 2142 återupplivas av fans

I år fyller Battlefield 2142 tio år och i samband med detta passar en grupp hängivna fans på att ge spelet nytt liv i form av en gratisversion med fungerande servrar. Läs mer

19

Titanfall 2 får systemkrav

En av höstens stora förstapersonstitlar Titanfall 2 släpps nästa månad. Förutom konsol kommer även spelet till PC/Windows och utvecklarna meddelar nu kraven för plattformen. Läs mer

16

In Win släpper nätaggregaten Classic Series med 80 Plus Platinum

Med hög verkningsgrad i fokus sjösätter In Win två nya nätaggregat i Classic Series på 750 och 900 W, där båda är fullt modulära och levereras med 80 Plus Platinum-certifiering. Läs mer

55

Yahoo: "500 miljoner e-postkonton på vift efter dataintrång"

Internetgiganten Yahoo går nu ut med att hela 500 miljoner e-postkonton är på vift efter ett intrång, som beskrivs som ett av de största någonsin. Läs mer