Dustin i blåsväder för lösenord i klartext

Grundkursen i webbprogrammering jag läste för något år sedan på Liu så var det "starkt rekommenderat" att spara lösenord med md5. Så det är ganska otroligt att ett stort företag som har investerat stora pengar i ett affärssystem inte krypterar lösenorden. Men den stora frågan är:

De affärssystem som företaget levererade innan och efter den tidpunkt de levererade systemet till Dustin, lagrar dessa lösenorden också i klartext och i sådana fall vilka företag är berörda.

Ett affärssystem är inte något som byts ut titt som tett, det är något som ett företag har kvar och bygger på tills den punkt det inte går längre i de bra fallen. Andra kör med fulhack och är beroende av specifika programmerare som gjorde dessa fulhack. (Företedda student inom Systemvetenskap).

Det kan alltså finnas många andra företag som gör samma sak med lösenorden då de har köpt sina system av samma leverantör.

Tur att man använder Lastpass med ett 20+ tecken långt slumpmässigt lösenord varje gång jag skaffar ett konto på nätet. (Hotmail klarar bara 16 tecken =/.)

håller med dig helt hållet - vem skulle inte göra det?
men jag tror inte detta beror på lathet, utan snarare att de har bestämt sig för att ha så för att personalen ska ha tillgång till lösenorden (vilket de givetvis inte ska ha)

Visserligen, däremot är det en fördel för de som använder lite tyngre lösenord då det är väldigt lätt att använda brute force på de svagare, särskilt om man har ett hyggligt grafikkort. Dessutom var SHA-512 ett dåligt exempel då även det är på tok för klent för det syftet. SHA-2048 är väl att föredra om man inte har någon bättre algoritm på lager Jag gillar personligen de som kräver rätt mycket minne (några megabyte) och de som kräver så många iterationer så ett test tar några millisekunder oavsett hårdvara.

Problemet är ju att du alltid får rätt om du gissar rätt.

Av Dustins svar att döma så låter det som de har ett hemmasnickrat affärssystem. Alltså troligtvis inget annat företag som har samma system.

Tänk på att den artikeln är ganska utdaterad och alltså innehåller saker som inte stämmer idag Han föreslår exempelvis SHA-256.

Webhallen skrev i alla fall tidigare idag i sin forumdel att de krypterar sina lösenord. På vilket sätt vet jag inte, men det är väl bättre än inget trots allt.

Vi får hoppas på det. Det är dock vanligt att beställaren av ett affärssystem gör anpassningar till sin verksamhet. Så det kan vara ett standardsystem i grunden som sedan är grovt anpassat.

Visserligen, personalen hade ju inte kunnat läsa lösenorden av misstag men det är väl ungefär så säkert det är...

Till att börja med så finns det inget som heter SHA-2048. Sen så, som jag skrev, så spelar det ingen större roll vilken av SHA-2-algoritmerna du använder då de alla har ungefär samma prestanda (http://en.wikipedia.org/wiki/SHA-2#Comparison_of_SHA_function...). Angående resten så är det precis vad som står i artikeln jag länkade, dvs. att använda t.ex. bcrypt- eller PBKDF2-baserade algoritmer.

Som jag skrev på dustins forum del här: #14127979

Att spara lösenord i klartext är ganska oroande.
Då är frågan sparar Visa kort nr etc.. i klartext också?
Och sparas det så era arbetare/support kan läsa detta i klar text också?
Ganska oroande isf, om någon av era arbetare skulle få för sig att skriva ner lite Visa kort nr och annat, sedan sälja på nätet eller dela.

En sida som använder sig av sådan här dålig säkerhet, ger mig ingen trygg e-handel och någon jag inte kommer att handla hos, vet flera av mina vänner som tycker samma.
Otur precis vid julhandeln, ni lär ju förlora en del kunder där

Bytte mitt lösenord och ringde och bad dem inaktivera kontot efter det. Tyvärr blir man ju av med garantin om man ber dem radera alla ens uppgifter i systemet.

Lösenordet ändrat nu, check! Btw nu börjar man ju undra om sweclockers kör med öppna kort? ^^