Forum Övrigt Nyhetskommentarer Tråd Inlägg

Dustin i blåsväder för lösenord i klartext

1 2 3 4 5 6 7 8
Skriv svar
Permalänk
Medlem

Intressant....En av de största webbutikerna i norden skiter i att åtgärda okrypterade lösenord. Det tar för lång tid och kan påverka kvaliteten negativt säger ni. Vet ni vad, Dustin, jag ska tala om en sak för er.

NI HAR HAFT FLERA ÅR PÅ ER ATT FIXA DETTA!

Ren lathet och nonchalans att inte fixat detta sedan länge. Ni kan omöjligt varit omedvetna om detta!
För den delen tror jag inte det är så komplicerat att åtgärda som ni hävdar...Men vad vet jag, är ju trots allt bara systemutvecklare

Jo just det Dustin, det finns flera butiker att välja på nästa gång jag ska handla något. Förmodligen med bättre säkerhet än ni har...

Redigera
Citera flera Citera
Permalänk
Medlem

Pinsamt Dustin, pinsamt...

En del har i tråden kritiserat SHA-familjen och i princip sagt att den är värdelös. Kände att det blev lite wall of text av mitt motargument. Det kan vara jobbigt för vissa att läsa, så dolde det i spoiler-tags. Läs inte om du inte orkar. Sammanfattnignsvis säger jag att det såvitt jag vet inte finns någon som hittat någon allvarlig säkerhetsbrist med SHA-2, säkerhetsbristen ligger i människorna. För folk som använder riktigt svårgissade lösenord är SHA-2 bra. Eftersom folk inte gör det kanske man inte ska använda SHA-2 rakt av, men att upprepa SHA-2 en jäkla massa gånger ser jag inget problem med.

För SHA-1 stämmer det, SHA-1 är helt utdaterad. SHA-2 däremot skulle jag inte vara lika snabb att kritisera (SHA-3 är inte färdigstandardiserat än och bör inte användas). De problem som finns med SHA-2 är dels det allmäna problemet som finns med alla hash-funktioner: lyckas man gissa rätt lösenord kommer man direkt se att det är rätt. Det vill säga om man har snott databasen med hashade (och eventuellt saltade) lösenord och testar ett lösenord som har det hash-värde som ligger i databasen har man knäckt lösenordet. Det som folk som argumenterar mot SHA-2 säger gör det till en sämre hashfunktion än andra är att det går snabbt att beräkna den. Idag (eller ja, ECRYPT II Yearly Report on Algorithms and Keysizes (2011-2012)) rekommenderas 128 bitars säkerhet (ungefär 30 år), eller 256 bitar om man vill vara riktigt säker ("foreseeable future"). Så i teorin är ju SHA-2 (alla varianter är mer än 128 bitar) bra. Problemet ligger i att användare gillar att ha "password" som lösenord. Jag vet inte om någon gjort en analys av entropin hos de lösenord som folk faktiskt väljer, men det är nog betydligt lägre än 100 bitar i alla fall. Det man gör då är att lägga till artificiell entropi genom att göra långsammare algoritmer än SHA-2 (eller bara köra SHA-2 en jäkla massa gånger).

Dold text

Skrivet av Majora:

Tur att man inte köper från dustin så ofta, men i fortsättningen lär det inte hända något mer alls. Har tagit bort bokmärket för sidan men som tur är använder jag autogenererade lösenord och låter sedan firefox ta hand om det, sedan ha allt synkat mot deras servrar med ett riktigt starkt lösenord jag har nerskrivet någonstans. Detta efter att ha begått misstaget att ha samma lösenord flera ställen en gång i tiden.
Det är lite sjukt att dustin inte väljer att ordna detta så snart som möjligt. Vi har en kund som köper in i princip allt från dustin. Jag undrar hur reaktionen blir för det här.

Gå till inlägget

Låter Firefox ta hand om det? Sist jag kollade är det en baggis att ta fram lösenord som Firefox "tar hand om" genom att bara gå in i inställningar och sedan vidare någonstans. Alltså ungefär lika säkert som att sätta post-it-lappar på skärmen. Det kan hända att det inte är så här längre, eller att man även kan spara lösenorden på något säkrare sätt. Men lagring av lösenord någon annanstans än i din hjärna är jag anti mot. Det motarbetar liksom lite grann poängen med att ha olika lösenord om man kan komma åt alla med ett lösenord...

Skrivet av SvalaSnubben:

Jag hoppas Webhallen menar att de hashar och inte krypterar sina lösenord. Har du krypterat så har du även nyckel någonstans. Och får du tag i den har du allas lösenord i klartext. Adobe gjorde det med sina 130 miljoner konton och får ta en hel del skit för det. Hash vill vi ha! Hash!

Edit: Det jag EGENTLIGEN ville ha sagt är att hashning och kryptering inte är samma sak. Inget företag med respekt för sina kunder ska kryptera lösenord.

Gå till inlägget

Helt rätt, förutom möjligtvis det där med Adobe. Det är inte bara att de krypterade som de gjorde dåligt. De lagrade även hints i klartext och jag antar att många har rätt uppenbara hints för sina lösenord. Eftersom de använde blockkryptering kommer även alla lösenord som börjar med samma tecken (vet ej hur många) ha samma början på den krypterade texten om jag förstått det rätt. Men det blir ju ett fint korsord i alla fall.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Korkskruv:

Spelar ingen roll hur Dustin väljer att spara sina lösenord, det påverkar ändå inte säkerheten. Återställningslösenorden skickas ändå helt i klartext direkt över internet!

Gå till inlägget

Det gör även Inet, CDON och Netonnet så det är inget unikt.

Och Webhallen levererar det nya lösenordet över HTTP när man klickar på återställningslänken i mailet.

Komplett har ett krav (oroväckande) på max 16 tecken i lösenordet.

Redigera
Citera flera Citera
Permalänk
Musikälskare

Hur kan detta fortfarande hända?...

Visa signatur

❀ Monitor: ASUS Swift 27" @ 1440p/165Hz ❀ CPU: Ryzen 7700X ❀ Cooling: Corsair H170i ELITE 420mm ❀ GPU: MSI 3080 Ti SUPRIM X ❀ Memory: Corsair 32GB 6000Mhz DDR5 Dominator ❀ Motherboard: ASUS Crosshair X670E Hero ❀ M.2: Samsung 980 Pro ❀ PSU: Corsair HX1200 ❀ Chassi: Corsair 7000X ❀ Time Spy: 19 340

📷 Mina fotografier
🎧 Vad lyssnar du på just nu?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mazzer:

Det gör även Inet, CDON och Netonnet så det är inget unikt.

Och Webhallen levererar det nya lösenordet över HTTP när man klickar på återställningslänken i mailet.

Komplett har ett krav (oroväckande) på max 16 tecken i lösenordet.

Gå till inlägget

Det är ett av problemen med lösenord. Om man inte tvingar användaren till att byta lösenord så kommer de troligtvis inte att göra det självmant. Brev som skickas ut till användaren bör göras obrukbara så fort så möjligt. Ska man skicka lösenord så ska det i princip endast fungera en gång.

Redigera
Citera flera Citera
Permalänk
Medlem

Well, nu kommer jag inte att handla av Dustin längre. Att ignorera, eller iallafall tona ner, ett så här stort problem är totalt oacceptabelt.
Synd, för i övrigt är de bra.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6 | tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 2070 8GB + 1 TB NV2 & 512GB SN730

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Bakgrund:

Nu undrar man ju hur t.ex cdon's och webhallens system ser ut.

Gå till inlägget

Det är bara att köra "Glömt lösenord" får du ditt lösenord i mail så är det klartext, får du ett nytt slumpgenerat så är det krypterat för då kan dom inte se ditt lösenord.

Redigera
Citera flera Citera
Permalänk
Medlem

detta i kombination med deras värdelösa nyhetsbrev med pixlade priser gör att det är tveksamt om jag någonsin kommer handla där igen...

Visa signatur

Asus WS X299 SAGE/10G | i9-10980XE | 6700XT | Samsung G9 | Dark Power Pro P8 900W | Define R5 Limited Gold | WD Black SN750 1TB NVMe | 8x Micron M500 960GB RAID 0

Asus Rampage IV | Xeon E5 1680 V2 | 64GB 1866MHz | GTX 980 Ti | NEC MultiSync FE2111SB (CRT) | Fractal Edison 750W | Define R2 | Liteon 512GB NVMe | 4x Micron M500 960GB RAID 0

Redigera
Citera flera Citera
Permalänk
Avstängd

Oavsett om lösenord hashas, saltas, peppras, grillas eller kokas så är lösenordet den svagaste länken, 16 tecken tar lång tid att knäcka med bruteforce, 8 tecken går blixtsnabbt.

Redigera
Citera flera Citera
Permalänk
Medlem

Bland det dummast jag har varit med om på länge..fy fan vad SÄMST! Sidor som har med IT att göra borde ha koll på sånt här. Sänker deras varumärke som fan.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av anon81912:

Att man kan ta fram lösenordet på nolltid

Gå till inlägget

Nämn en algoritm som är så mycket bättre än SHA256 då. Det viktigaste är att undvika MD*, SHA1 och att salta varje lösenord med ett unikt salt.

Visa signatur

C>++

Redigera
Citera flera Citera
Permalänk
Medlem

Jag trodde aldrig att en etablerad butik hade det så illa. Gör mig fundersam över om jag kommer beställa där igen.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Macke_BMRSweden:

Jag ha aldrig gillat den sidan, man få ju ingen bild av personligheten av Dustin genom sidan. För att designen på den sidan ser ut som en värsta kriminell sida.

Gå till inlägget

Vad pratar du om egentligen? Sidan ser ut som alla andra sidor, jämför med inet eller cdon eller whatevs och förklara för oss varför dustin är mer kriminell?
Givetvis har dom klantat sig rejält, men dom är inte kriminella. Sluta skriva en massa strunt.

Skrivet av DarkOoze:

Relevant video som nyligen dök upp bland mina prenumerationer:
http://www.youtube.com/watch?v=8ZtInClXe1Q

Kör själv med Keepass, väldigt behändigt då man börjar komma igång med det.
Några rekommenderade plugins:
chromeipass, Fyller i lösenord automatiskt i Chrome
passifox samma till firefox.
keeagent, Pageant emulering för SSH-nycklar.

Gå till inlägget

Kollade också på det klippet innan, kändes lärorikt, men ställer mig samtidigt frågan om hur smart det är att spara alla lösen på ett ställe med ett program som Keepass?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av AnnoyingIB:

Nämn en algoritm som är så mycket bättre än SHA256 då. Det viktigaste är att undvika MD*, SHA1 och att salta varje lösenord med ett unikt salt.

Gå till inlägget

bcrypt

Det är särskilt neat då man kan tvinga ett visst antal iterationer och sätta många andra parametrar, vilket i princip kan innebära att även det snabbaste datorerna inte kan prova måna lösenord per sekund. SHA-256 löser ett hyggligt grafikkort väldigt snabbt. Däremot kan det ju innebär att det tar några millisekunder längre att logga in på datorn

Redigera
Citera flera Citera
Permalänk
Medlem

Bara att tacka Dustin att dom inte värnar om sina kunder så nu slipper man handla där för gott.
Förklarar ju en hel del hur folk kan bli "hackade" fastän dom inte har skit i systemet.

Redigera
Citera flera Citera
Permalänk
Medlem

Oavsett vad Dustin gjort så är ju sensmoralen här en helt annan än "Dustin är dumma". Det är befängt att vänta sig att okända källor ska hålla ditt lösenord hemligt. Om du använder ditt paypallösenord till andra tjänster ska du tänka "nu kan en till person mitt paypallösenord" varje gång. Det är det både Expressen och sweclockers borde trycka på.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

Jag vill ta bort kontot men hittar ingenstans var jag kan göra det eller måste man kontakta kundtjänst?

Visa signatur

Fractal r4 5volt. Amd 965 3.4 ghz Noctua DH 14 Asus M4N68T LE
Ssd diskar Samsung 850pro/intel 730 /320 Crucial m4 /8 tb mx500
Nätagg Corsair vx 450 = Seasonic m12d

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av anon81912:

bcrypt

Det är särskilt neat då man kan tvinga ett visst antal iterationer och sätta många andra parametrar, vilket i princip kan innebära att även det snabbaste datorerna inte kan prova måna lösenord per sekund. SHA-256 löser ett hyggligt grafikkort väldigt snabbt. Däremot kan det ju innebär att det tar några millisekunder längre att logga in på datorn

Gå till inlägget

Du har väl övertalat mig då. Hade för mig att man kunde välja iterationer med SHA256 också, men blandade ihop det med PBKDF2 och Hmac

Visa signatur

C>++

Redigera
Citera flera Citera
Permalänk
Medlem

Dustin är ju rätt stora hos företag. Kommer dessa vara kvar efter en sådan här nyhet?

Skickades från m.sweclockers.com

Visa signatur

Intel Core i5 6300HQ 3.2 GHz - Nvidia GeForce GTX 960M 2GB - Generic DDR4 1x8GB 2133MHz

YOMAHA, YOMASO!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Det värsta är att Dustin inte uppmärksammar kunderna om detta. Visst har nötterna försökt dölja deras obefintliga säkerhet men nu borde de ju ha agerat. Har iofs. aldrig haft några problem med Dustin men detta är fan inte ok, speciellt när man bara försöker tysta ner hela misären.

Hur som helst har jag tipsat alla större tidningar om detta.

Visa signatur

Danskjävel så krattar som en skrivare...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hanton:

Oavsett vad Dustin gjort så är ju sensmoralen här en helt annan än "Dustin är dumma". Det är befängt att vänta sig att okända källor ska hålla ditt lösenord hemligt. Om du använder ditt paypallösenord till andra tjänster ska du tänka "nu kan en till person mitt paypallösenord" varje gång. Det är det både Expressen och sweclockers borde trycka på.

Skickades från m.sweclockers.com

Gå till inlägget

Lätt för dig som hänger här att komma med den sensmoralen. Förklara det för gemene man som bara vill ha ett konto hos en webbutik, och som inte har lust att komma ihåg 28 olika 12-teckens lösenord.
Tycker man kan kräva, och förvänta sig, att en butik som säljer it-material ska ha åtminstånde grundläggande kunskap om it-säkerhet. Men Dustin har bevisat att man inte kan förvänta sig det. Skillnad om det vore aftonblaskan eller nåt annat där man faktiskt kan förvänta sig skräpiga system.
Hur var det nu med skomakarens son...

Jo just det Dustin, mina konton hos er ryker just nu!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ninjaflipp:

Mm, djävla banditer de är på Dustin alltså. Stjäl allas lösenord och hackar dem på andra sidor genom det. Usch och fy för kriminella företag!

...nej. Förlåt, men dina inlägg får mig att undra hur det egentligen står till. Dustin är nog bland de mest seriösa återförsäljare som finns i Sverige idag och bortsett från detta så måste jag säga att de nog är det bästa företaget jag har haft att göra med tillsammans med Webhallen. Tror bestämt att de fattar vilket snedsteg detta är och ordnar det.

Gå till inlägget

Ne men visst företaget är säkert bra förövrigt, men designen på sidan lyfter inte deras personlighet ur företaget Dustin och de är få som lyckas att ta fram det. Så man kan lätt få lite misstänksamma vippar om de är ett helt seriöst företag eller inte.

Kolla man på Sweclockers design så ha dom lyckas väldigt bra att ta fram personligheten.

Skrivet av anon4992:

Vad pratar du om egentligen? Sidan ser ut som alla andra sidor, jämför med inet eller cdon eller whatevs och förklara för oss varför dustin är mer kriminell?
Givetvis har dom klantat sig rejält, men dom är inte kriminella. Sluta skriva en massa strunt.

Gå till inlägget

Kan du någonting om design? Inet ha faktiskt lyckas att ta fram personligheten ur företaget, liksom Cdon nja de är inte helt 100% personlighet, men dom är på god väg.

Visa signatur

AMD Ryzen 7 5700X3D | PowerColor Radeon RX 9070 XT 16GB Hellhound | Fractal Design North Black TG | MSI MPG B550 Gaming Plus | Kingston Fury 32GB DDR4 3200MHz CL16 Beast | WD Black SN850X 1TB Gen 4 With Heatsink, Kingston Fury Renegade Gen 4 2TB | Corsair RM850e ATX 3.0 850W V3 | Arctic Liquid Freezer III 240 | Windows 11 Pro

Redigera
Citera flera Citera
Permalänk
Medlem

Folk säger att dom ska ta bort sina konton hos Dustin...

Om dom inte klarar av att kryptera/hasha/whatever sina lösen, hur i helsike skulle dom kunna ha en funktion för att ta bort existerande konton från systemet?

Kan slå vad dom att kundsupporten sitter där och nickar "Jaha, ja vi förstår att ni är upprörda, ja vi tar självklart bort erat konto" *klickar i lås konto bockruta* "Så nu är all info borta!".

Kan inte typ Sweclockers ta det vidare med Trygg E-Handel och höra vad som gäller? Att inte kunna säkra lösenord måste ju vara mot deras regler, dvs Dustin borde kickas ut från det.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av murklor:

Folk säger att dom ska ta bort sina konton hos Dustin...

Om dom inte klarar av att kryptera/hasha/whatever sina lösen, hur i helsike skulle dom kunna ha en funktion för att ta bort existerande konton från systemet?

Kan slå vad dom att kundsupporten sitter där och nickar "Jaha, ja vi förstår att ni är upprörda, ja vi tar självklart bort erat konto" *klickar i lås konto bockruta* "Så nu är all info borta!".

Gå till inlägget

Den informationen som är kvar är inte lika farlig om man inte har samma lösenord överallt. Problemet med att ha kvar kontot är att man kan riskera att andra beställer grejer i ens namn. Sedan är det en principsak och ett sätt att säga ifrån.

Visa signatur

Danskjävel så krattar som en skrivare...

Redigera
Citera flera Citera
Permalänk
Avstängd

Och där blev det en bojkott av Dustin.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av AnnoyingIB:

Du har väl övertalat mig då. Hade för mig att man kunde välja iterationer med SHA256 också, men blandade ihop det med PBKDF2 och Hmac

Gå till inlägget

Ah! Jag skrev också lite dumheter. SHA-256 är en del av SHA-2, som inehåller SHA-224, SHA-256, SHA-384 och SHA-512. Den egentliga efterträdaren är väl SHA-3 som är helt annorlunda algoritm. (Men det är väl ok då SHA står för Secure Hasing Algorithm)

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av anon4992:

Vad pratar du om egentligen? Sidan ser ut som alla andra sidor, jämför med inet eller cdon eller whatevs och förklara för oss varför dustin är mer kriminell?
Givetvis har dom klantat sig rejält, men dom är inte kriminella. Sluta skriva en massa strunt.

Kollade också på det klippet innan, kändes lärorikt, men ställer mig samtidigt frågan om hur smart det är att spara alla lösen på ett ställe med ett program som Keepass?

Gå till inlägget

Ungefär lika begåvat som att spara lösenord i klartext.

Redigera
Citera flera Citera
Permalänk
Medlem

Även om jag inte gillar detta, stannar jag kvar på Dustin. Men ja… Inte snyggt Dustin! Hoppas ni fixar detta snabbt.

Redigera
Citera flera Citera
Permalänk
Avstängd

"När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut ..."
För mig så tolkar jag det som att möjligtvis kan vara ett hashat lösenord som visas (den som ringde kanske hade ett lösenord som såg "slumpgenerat ut". Så skulle fallet kunna vara.

Visa signatur
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ryuk00:

"När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut ..."
För mig så tolkar jag det som att möjligtvis kan vara ett hashat lösenord som visas (den som ringde kanske hade ett lösenord som såg "slumpgenerat ut". Så skulle fallet kunna vara.

Gå till inlägget

Fast nu var det inte så. Lösenorden sparas i klartext vilket även Dustins representanter här gått ut med och sagt.

Redigera
Citera flera Citera
1 2 3 4 5 6 7 8
Skriv svar