Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
9

LG visar 32-tumsskärm med Nvidia G-Sync, 1440p och 165 Hz

Den senaste gamingskärmen från LG heter 32GK850G och är en av de första av sitt slag, med en storlek på 32 tum, 2 560 x 1 440 pixlars upplösning och 144 Hz. Läs mer

5

AMD släpper drivrutin för Agents of Mayhem och Quake Champions

Den senaste månaden har kantats av ett flertal spelsläpp, med bland annat Agents of Mayhem och Quake Champions. Nu släpper AMD en ny Radeon-drivrutin för de två speltitlarna. Läs mer

8

Shenmue III får en första teaser

Två år efter att Shenmue III:s Kickstarter-kampanj avslutats visar nu utvecklarna en tidig version av spelet i ett nytt videoklipp, där bland annat miljöer och huvudkaraktärer skymtas. Läs mer

37

Microsoft tillkännager Age of Empires IV

Cirka 12 år efter Age of Empires 3 tillkännager nu Microsoft en ny del i spelserien, vilken utvecklas av Company of Heroes-utvecklarna Relic Entertainment. Läs mer

52

Google lanserar Android 8.0 "Oreo"

I samband med Googles lansering av Android 8.0 får den nya storversionen kodnamn efter det populära dubbla chokladkexet med fyllning – Oreo. Läs mer

30

Forza Motorsport 7 får systemkrav och PC-specifika funktioner

Den 3 oktober är det dags för lanseringen av Forza 7, där utvecklarna utöver 700 bilar även utlovar en fullspäckad PC-version med 4K-stöd, bred kompatibilitet och stora inställningsmöjligheter. Läs mer

107

Intel bekräftar sex kärnor för "Coffee Lake" – kräver 300-seriens styrkretsar

I enlighet med tidigare rykten bekräftas nu modeller med sex kärnor i Intels åttonde generations Core-processorer för stationära datorer, där dessa kräver nya moderkort. Läs mer

26

Final Fantasy XV släpps för PC/Windows 2018

Under årets Gamescom-mässa tillkännager Square Enix att Final Fantasy XV släpps till PC nästa år, med en rad plattformsexklusiva funktioner som stöd för 4K-upplösning. Läs mer

47

Asus tillkännager ROG Strix RX Vega 64 och RX Vega 56

Som den första tillverkaren på marknaden tillkännager Asus en egen version av AMD Radeon RX Vega, vilken bestyckas med företagets ROG Strix-kylare. Läs mer

12

Tre vinner sluten vattenkylare från Be Quiet

För en tid sedan fick SweClockers medlemmar i uppdrag att ta fram en snärtig slogan för Be Quiets senaste vattenkylare Silent Loop 360 mm. Nu har juryn utsett tre vinnare. Läs mer

15

Microsoft lanserar Xbox Design Lab i Sverige

Efter att tidigare endast funnits tillgänglig på den amerikanska marknaden expanderas Xbox Design Lab till Sverige, tillsammans med ett flertal andra länder. Läs mer

43

HTC Vive prissänks – kostar nu 6 700 kronor

Kort efter att Oculus erbjudit Rift till ett kraftigt reducerat pris sänker nu även HTC priset på Vive, där denna nu kostar cirka 6 700 kronor. Läs mer