Fick mitt brev från BBB idag

tror jag agerar lika hårt som dig... jag har inte bytt lösenord nånstans... jag har inte rusat upp. Men jag kan iaf förstå att det KAN hända att det går illa. Även om det inte gjort det i ens egna fall.

Testat ringa in till kundtjänst/teknisk support? Är lite väntetid, men vi kan byta lösen internt också. Har du inte tid får du väl skicka PM eller något.

eller så va det sent kommet... nån granne som haft det innan eller så...

Ja, personligen skulle jag vilja att det jävla puckot som kom på det hela personligen ska sätta sig och svara på varenda fråga om lösenorden.

Du tror alltså inte att lösenorden lagras krypterat? Dock operatören som har krypterat allting, så inte så förvånande att man kan plocka fram det, eller hur? Dock så är inte själva inloggningen krypterat på något sätt, eftersom det bara kör med http och inte https, vilket är dumt kan jag tycka.

Onekligen så suger rutinerna för handhavandet av lösenorden (dock inte lika mycket som marknadsavdelningen, may them burn in hell) men iom att BBB äger systemet så säger det sig ju själv att de har all möjlighet att dekryptera all data som ligger i det. Bara synd att marknadsavdelningen vet hur man ska göra också

Va? Jag har 3000 kunder i mitt egna system. Jag kan inte på något sätt få fram vilket lösenord varje kund har. Visst går det om jag kör en bruteforce-attack och jämför med hashen som jag har sparat på varje kund i databasen men annars så går det inte. Jag har skrivit systemet själv. Det betyder alltså inte att jag kan dekryptera informationen jag sparar i mina databaser då det är envägskryptering som jag kör med. Vill kunden byta lösenord eller få en påminnelse så måste de gå in och ändra lösenordet helt. För att ändra lösenordet så beställer de en ändring och får ett mail med en unik länk, via den så kan de sedan ändra lösenord. Jag kan aldrig få fram vad de har på ett enkelt sätt och det är jag heller inte intresserad av.

Men det är ju det som är hela grejen med varför folk är förbannade; att de sparar lösenorden så att det går att få fram dessa igen. Spelar ingen roll om de är krypterade!

Man ska aldrig spara lösenorden! Precis som Aphex säger så var jag helt övertygad om att dessa sparades som envägshash:ar, t ex SHA-1 med salt, vilket är brukligt i inloggningssystem.

Sedan jämför man endast hash:en av det inmatade lösenordet med hash:en som redan finns i databasen. Det ska aldrig gå att återskapa vilket lösenord som användaren har! Glömmer man sitt lösenord så får man ett nytt hemsickad per post.

Jag fick själv denna lapp förra veckan. Den säkerhetsansvarige på bredbandsbolaget borde tamefan få sparken. De behöver nytt folk med bättre kompetens och säkerhetstänkande.

Har ni noterat att i ursäktsmailet från B2 så finns en länk med namnet www.bredbandsbolaget.se där man skall byta sitt lösenord att den länken INTE går till www.bredbandsbolagets.se utan till ett företag som sysslar med "marknadsföring på Internet"?

Skrev mera utförligt i mitt forum: http://www2.gunnard.se/viewtopic.php?p=3031#3031

Nånting skumt är på gång...

Känns inget vidare seriöst när man skickar in sina kunder på en 3:e part sida för att byta sina inloggningsuppgifter.

Gunnard: har du provat att åg in på länken, vad stod där isåfall?

Man studsar vidare till http://www.bredbandsbolaget.se/wps/portal , samma sida som man hamnar på om man går till http://www.bredbandsbolaget.se .

Så vad nyttan av det är vet jag inte merän att det sker någon typ av statistik och ev. lagring över vilka som klickar på länken (gissar på det eftersom det finns en UID parameter i URL'en)

Och jag som har(Nu haft) privata bilder och dokument på deras NETPOCKET tjänst.
Jippie, hela BBB har väl tagit sig en titt.

En en gång, sug min ***!!

I mitt stod det inget lösenord, bara användarnamn och erbjudandekod.
Där det står lösenord var det tomt.
Fick mitt dagen efter att det stod på IDG.se.