Universitet lagrar lösenord okrypterat?

Permalänk
Medlem

Universitet lagrar lösenord okrypterat?

Halli hallå, ej säker huruvida detta är rätt forum.
En ny termin har börjat, och vi har fått en ny kanal för intern information i form av en wordpressida.
Där loggar vi in med samma login som universitetets "officiella" interna plattform.
När jag skapade mitt konto på intranätet då jag började studera fick jag tillbaka mitt lösenord via mail i klartext, blev förvånad.
Är detta vanligt?
Har även svårt att se hur de skulle kunnat skapa användarna med tillhörande lösenord på wordpressplattformen om de ej lagrar lösenord i klartext?
Är inte detta väldigt konstigt, eller är jag ute och cyklar?
Detta är ett av nordens största universitet.

Permalänk
Hedersmedlem
Skrivet av PieRat:

Halli hallå, ej säker huruvida detta är rätt forum.
En ny termin har börjat, och vi har fått en ny kanal för intern information i form av en wordpressida.
Där loggar vi in med samma login som universitetets "officiella" interna plattform.
När jag skapade mitt konto på intranätet då jag började studera fick jag tillbaka mitt lösenord via mail i klartext, blev förvånad.
Är detta vanligt?
Har även svårt att se hur de skulle kunnat skapa användarna med tillhörande lösenord på wordpressplattformen om de ej lagrar lösenord i klartext?
Är inte detta väldigt konstigt, eller är jag ute och cyklar?
Detta är ett av nordens största universitet.

Behöver inte vara fallet om lösenordet är autogenererat. I något steg så måste lösenordet ha funnit i klartext om du inte skapat det själv. Det är inte säkert att de sparar lösenordet i klartext utan de kan automatgenerera lösenordet, skicka det till mailroboten och därefter kryptera detta inför sparningen.
Är det däremot ett lösenord du valt själv så är det mer troligt att det sparas i klartext.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem
Skrivet av PieRat:

Halli hallå, ej säker huruvida detta är rätt forum.
En ny termin har börjat, och vi har fått en ny kanal för intern information i form av en wordpressida.
Där loggar vi in med samma login som universitetets "officiella" interna plattform.
När jag skapade mitt konto på intranätet då jag började studera fick jag tillbaka mitt lösenord via mail i klartext, blev förvånad.
Är detta vanligt?
Har även svårt att se hur de skulle kunnat skapa användarna med tillhörande lösenord på wordpressplattformen om de ej lagrar lösenord i klartext?
Är inte detta väldigt konstigt, eller är jag ute och cyklar?
Detta är ett av nordens största universitet.

Nej det är inte så vanligt men det förekommer mer än vad man tror.

Visa signatur

Spelburk: Lian Li O11D XL | R9 Ryzen 5950X |
Phanteks Revolt X 1000W | EVGA RTX 3090 FTW3 Ultra | G.Skill 3600MHz 64GB RAM | Samsung 49" C49RG90
HTPC 1: Streacom F1C | AMD A-5600K | Crucial M4 64 GB | 8 GB RAM @ 1866 MHz
HTPC 2: Raspberry Pi -> Raspbmc

Permalänk
Medlem
Skrivet av Söderbäck:

Behöver inte vara fallet om lösenordet är autogenererat. I något steg så måste lösenordet ha funnit i klartext om du inte skapat det själv. Det är inte säkert att de sparar lösenordet i klartext utan de kan automatgenerera lösenordet, skicka det till mailroboten och därefter kryptera detta inför sparningen.
Är det däremot ett lösenord du valt själv så är det mer troligt att det sparas i klartext.

Har själv skapat lösenordet från början. Lösenordet i mailet var ej autogenererat, det var detta som fick mig att höja på ögonbrynen från början.

Edit: Läser själv inget IT-relaterat men tycker detta är konstigt när det handlar om en såpass stor institution som dessutom lär ut IT-säkerhet

Permalänk
Medlem
Skrivet av PieRat:

Har själv skapat lösenordet från början. Lösenordet i mailet var ej autogenererat, det var detta som fick mig att höja på ögonbrynen från början.

Ja då måste det vara precis som du säger att lösenordet lagras i klartext... Förvisso kan det ju vara skyddat av andra mekanismer såsom kryptering, men det är riktigt illa ändå.

Permalänk
Inaktiv
Skrivet av PieRat:

Har själv skapat lösenordet från början. Lösenordet i mailet var ej autogenererat, det var detta som fick mig att höja på ögonbrynen från början.

Edit: Läser själv inget IT-relaterat men tycker detta är konstigt när det handlar om en såpass stor institution som dessutom lär ut IT-säkerhet

Det är ju tråkigt. Troligtvis så är det inte forskarna inom IT säkerhet som jobbar med att ta fram kurswebbsidor. Skicka ett mail till dem och upplys om att lösenorden lagras med reversibel kryptering så blir de nog glada och kan hjälpa till att fixa

Troligtvis så lagras lösenorden krypterade och inte i klartext, mao så måste man knycka en nyckel för att kunna titta på dem. Med en stor nyckel är det väldigt säkert så länge man håller koll på nyckeln. Det bra alternativet skulle ju vara att lagra lösenorden med envägskryptering (hashning).

Permalänk
Medlem
Skrivet av anon81912:

Det är ju tråkigt. Troligtvis så är det inte forskarna inom IT säkerhet som jobbar med att ta fram kurswebbsidor. Skicka ett mail till dem och upplys om att lösenorden lagras med reversibel kryptering så blir de nog glada och kan hjälpa till att fixa

Troligtvis så lagras lösenorden krypterade och inte i klartext, mao så måste man knycka en nyckel för att kunna titta på dem. Med en stor nyckel är det väldigt säkert så länge man håller koll på nyckeln. Det bra alternativet skulle ju vara att lagra lösenorden med envägskryptering (hashning).

Nackdelen med hashing är att har fler personer samma lösenord så har de också samma hash. Vilket gör att om en hacker få tillgång till detta så blir det problem. Särskilt nu när 123456 är så vanligt:P Det man kan göra är att använda hashing salt.

TS: Kolla på computerphile how to not store passwords

Visa signatur

OS: MacOS/ Windows 10 Pro 64-bit MB: ASUS-Z97-A CPU: i7 4790k
NÄTAGG: EVGA SUPERNOVA G2
RAM: 32768 MiB GPU: 1070 FTW Chassi: Fractal Design R4
MBP 13" i5 | 256GB | 16GB RAM | MID 2014

Permalänk
Medlem

Även om man själv väljer lösen så hanterar dom ju lösenordet innan det blir krypterat och kan väl således skicka iväg det på det sättet.
Har dom en plattform som går på wp så är det ju enkelt att modifiera så att det går mot samma/replikerad användar-källa som era vanliga inloggningar, Då har dom inte behövt ha det okrypterat

Men mest troligt har dom det säkert okrypterat någonstans

Visa signatur

På tok för många datorer för att skriva här

Permalänk
Inaktiv
Skrivet av N0iZE:

Nackdelen med hashing är att har fler personer samma lösenord så har de också samma hash. Vilket gör att om en hacker få tillgång till detta så blir det problem. Särskilt nu när 123456 är så vanligt:P Det man kan göra är att använda hashing salt.

TS: Kolla på computerphile how to not store passwords

Givetvis använder man salt, typ användarnamnet eller något annat som är unikt för varje användare dylikt. Förhoppningsvis har inga användare samma login och lösenord. Hursomhelst så skall man alltid använda salt, inte för att hash(x) == hash(x) men för att man inte kan försöka knäcka alla användares lösenord samtidigt :). Alltså jag behöver inte leta efter x med för hash(x) men jag kan leta efter valfritt y som ger hash(y) där hash(y) finns med i listan (birthday paradox).

Permalänk
Medlem
Skrivet av anon81912:

Givetvis använder man salt, typ användarnamnet eller något annat som är unikt för varje användare dylikt. Förhoppningsvis har inga användare samma login och lösenord. Hursomhelst så skall man alltid använda salt, inte för att hash(x) == hash(x) men för att man inte kan försöka knäcka alla användares lösenord samtidigt :). Alltså jag behöver inte leta efter x med för hash(x) men jag kan leta efter valfritt y som ger hash(y) där hash(y) finns med i listan (birthday paradox).

Yeah, men det är vanligt att många inte använder salt. Adobe för några månader sedan tex.

Visa signatur

OS: MacOS/ Windows 10 Pro 64-bit MB: ASUS-Z97-A CPU: i7 4790k
NÄTAGG: EVGA SUPERNOVA G2
RAM: 32768 MiB GPU: 1070 FTW Chassi: Fractal Design R4
MBP 13" i5 | 256GB | 16GB RAM | MID 2014