Lösenord i klartext Uniflex.se

Trädvy Permalänk
Medlem
Plats
Sölvesborg
Registrerad
Jul 2010

Lösenord i klartext Uniflex.se

Tjo, är det någon som har använt sig av bemanningsföretaget Uniflex? Och vet hur man byter lösenord? Känns inte så där väldans säkert när man får det skickat i klartext via mejl. Klickar man "Glömt lösenordet" så får man bara det gamla skickat till sig.

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2001

Ja, det är ju instant fail på det varje gång något företag e.dyl kan "skicka lösenordet" till en, i stället för att generera ett nytt. Det berättar ju, helt utan några som helst tvivel, att de inte vet hur lösenord ska hanteras. Extra tragikomiskt är det när sajter säger att "lösenorden är krypterade". Argh!

Det här säger mig att man borde ha en tillsynsmyndighet, typ PTS eller MSB, som godkänner säkerheten hos företag som vill hantera loginuppgifter.

http://www.theatlantic.com/national/archive/2012/05/how-the-p...
"If there's a simple lesson in all of this, it's that hoaxes tend to thrive in communities which exhibit high levels of trust. But on the Internet, where identities are malleable and uncertain, we all might be well advised to err on the side of skepticism."

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010

Säkerhet är det allra enklaste man kan spara in pengar på och går det galet så är det ofta andra personer än en själv som blir drabbade.
-Ja, jag talar till alla webbutiker och diverse forum som har blivit hackade där folk enkelt har plockat ut information, så att personer som Robert Aschberg spåra folk och göra hembesök till folk som ej delar hans åsikter etc.

Förutom just lösenord, gissa hur många apparater som ligger öppen emot internet med vanlig modbuskommunikation? Där vem som helst kan styra denna apparat utan behöva något lösenord.
Säkerheten på dessa apparater lyder ingen kan deras iP-adress, detta är ett fullvärdigt skydd.

*edit*
Det man ska göra är att använda olika lösenord överallt, sedan att vissa siter som av naturliga orsaker behöver ha ens korrekt uppgifter kan läcka som ett sål är ej bra. Detta med att de sparar lösenord i klartext ger en signal av att IT-säkerhet ej är något de bryr sig så mycket om.

*edit2*
Men ett grundläggande problem är som sagt pengar, det är lätt att säga vilken säkerhet man borde ha, men företagets resurser som statens är ej obegränsade, kostar en förbättring av säkerheten allmänt 1 miljon, så får denna miljon tas ifrån någonstans.

Nu kostar det inte en miljon att just spara saltade hashlösenord i en databas, men de har säkerligen andra brister som de borde åtgärda.

Jag har själv varit med och diskutera lösningar med säkerhetsbrister där man har analyserat konsekvenserna, skulle anställd i industrin plugga in en dator i nätverket oj vilken skada den skulle kunna åstadkomma. Men skulle företaget ha den säkerhet som de borde ha, ja då skulle de gå i konkurs. Så det är en övervägning.

Men att ha lösenord som enkelt går att återställa i klartext är brist på respekt för andra människor. Detta är dock vanlig förekommande inom industrin.
Jag vet t.ex ett megastort företag där ett av deras viktigare program gör detta, i papperna för programmet står det att lösenorden är skitbra krypterade 1028-bit eller vad det var.
För mig som utvecklare, så räcker det bara använda programmets gränssnitt och just be denna dekryptera lösenordet och så gör den det åt mig.
Alltså funktionen inparameter är user, utparametern är lösenord och så jämför programmet inmatad lösenord med det som fanns i databasen.

Gått över till enbart Google Chromebook på klientsidan.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2006
Skrivet av Johan86c:

Säkerhet är det allra enklaste man kan spara in pengar på och går det galet så är det ofta andra personer än en själv som blir drabbade.
-Ja, jag talar till alla webbutiker och diverse forum som har blivit hackade där folk enkelt har plockat ut information, så att personer som Robert Aschberg spåra folk och göra hembesök till folk som ej delar hans åsikter etc.

Förutom just lösenord, gissa hur många apparater som ligger öppen emot internet med vanlig modbuskommunikation? Där vem som helst kan styra denna apparat utan behöva något lösenord.
Säkerheten på dessa apparater lyder ingen kan deras iP-adress, detta är ett fullvärdigt skydd.

Det är väl tur i så fall så att alla trollen som bor ute i skogarna kan förvandlas till sten när kamerans strålkastarljus träffar dem. Hur skulle vi annars kunna gå på trolljakt och bli av med alla som tycker det är ok att våldta andra människor till höger och vänster av outgrundliga anledningar?

/z

C2D E6300 @ 3.2HGz 1.2V | Thermalright 120 Extr. | Gainward 8800 GT Golden Sample |Samsung 2x500Gb | Corsair VX 550V | Antec P182 [img]http://valid.x86-secret.com/cache/banner/421648.png[/img]

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av zonar:

Det är väl tur i så fall så att alla trollen som bor ute i skogarna kan förvandlas till sten när kamerans strålkastarljus träffar dem. Hur skulle vi annars kunna gå på trolljakt och bli av med alla som tycker det är ok att våldta andra människor till höger och vänster av outgrundliga anledningar?

/z

Privatpersoner och kommersiella företag ska ej snoka i folks privatliv, det är något för polismyndigheten. Detta oavsett vad tusan personen snokar för.
Nej det borde inte vara rätt att ha databaser med sparade information ifrån diverse butiker, bemaningsföretag etc, i syfte att kunna knyta ihop detta med andra siter där folk skriver något helt annat.
Inte ens en pedofiljakt, tycker jag kan motivera att en privatperson/företag lagligt borde få ha databaser med känslig information som inte har ett skit med detta att göra. -För ytterst få personer skriver i deras jobbansökningar att de är pedofiler utan informationen används enbart för att kunna knyta ihop folk med andra saker som senare kan leda till något.

Gått över till enbart Google Chromebook på klientsidan.

Trädvy Permalänk
Medlem
Plats
Sölvesborg
Registrerad
Jul 2010

Skickade ett mail till deras kundtänst, fick som svar att det inte gick att byta lösenord själv. Utan man skulle skicka in det lösenordet man ville ha sen skulle de byta åt en...

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av albin967:

Skickade ett mail till deras kundtänst, fick som svar att det inte gick att byta lösenord själv. Utan man skulle skicka in det lösenordet man ville ha sen skulle de byta åt en...

Skickades från m.sweclockers.com

Skämtar du?
Det är skärmande låg hur säkerheten är på vissa ställen och väldigt många har samma lösenord på fler ställen, så tekniker på såna bolag kan superenkelt om de skulle vilja gå in och läsa mångas mail och komma åt allt.

Det skulle som MBY behövas någon myndighet som granskar, problemet är att det finns så otroligt många inloggningsställen. Det kan vara alla program som man kör på jobbet, det kan vara på gymmet etc. Och de flesta applikationer där jag har stött på suger verkligen säkerheten rejält. Den teknikern som ej har kompetens att gå förbi allt vad säkerhet heter, har hellre inte kompetens att utföra det jobb som de ska göra.
T.ex. har vissa program en debugger fönster där man ja kan göra vad tusan man vill, vill man anropa en public funktion så är det bara att göra detta. Vill man anropa en privatfunktion, så går det genom lite trixande göra detta också. Och vi pratar ändå om programvaror som kostar uppemot en miljon i licenskostnader. Nu är det lösenord på debuggläget, men tekniker måste ju ha detta lösenord för att kunna arbeta.

Skrivet av MBY:

Det här säger mig att man borde ha en tillsynsmyndighet, typ PTS eller MSB, som godkänner säkerheten hos företag som vill hantera loginuppgifter.

Frågan är hur detta skulle lösas? Vissa saker som bemanningsföretag, webbutiker känns ganska naturligt, men alla program på företag och alla mindre forum som bedrivs av folk som knappt har råd med nudlar.
Jag själv har erfarenhet av statlig byråkrati och min erfarenhet är inte positiv, inkompetenta personer som kostar skjortan och fördröjer uppgifter.

Gått över till enbart Google Chromebook på klientsidan.

Trädvy Permalänk
Medlem
Plats
Mölndal
Registrerad
Aug 2006

Många tjänster som tillhandahåller dina uppgifter med CV och Personligt brev för företag lagrar lösenorden i plain text. Något du kommer att få lära dig...

Intel i5 6600K | Be Quiet, Pure Rock! | Asus Z170 Pro Gaming | Asus GTX 1070 Strix Gaming | HyperX 16 GB (2x8GB) DDR4 2133MHz Fury Black | Samsung 850 Evo 250GB | Skärm: Samsung S27D390H | Chassi: Fractal Design Define R4 Black
Spelnick: Jernhand

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2001
Skrivet av Johan86c:

Frågan är hur detta skulle lösas? Vissa saker som bemanningsföretag, webbutiker känns ganska naturligt, men alla program på företag och alla mindre forum som bedrivs av folk som knappt har råd med nudlar.
Jag själv har erfarenhet av statlig byråkrati och min erfarenhet är inte positiv, inkompetenta personer som kostar skjortan och fördröjer uppgifter.

Vet inte. Byråkrati och regelverk i allmänhet ser jag i allmänhet som pajaskonster.

Dock, vad säkerheten beträffar är ju saken biff och kostar nada. Standardiserade, open source-lösningar finns sedan länge. Det som brister är kompetens. Jag föreställer mig inte att en myndighet skulle aktivt kolla varenda sida på nätet, utan ta emot anmälan från vem som helst. Och, det borde väl vara snorenkelt att sonika lagstifta om att lösenord lagas som saltade hashvärden och ingenting annat. Eller att det är ett krav som ingår i alla avtal om hosting, F-skattsedel eller whatever.

Om ett företag är för "fattigt" för att använda öppna alternativ och färdiga paket så verkar det vara ett ordentligt korkat företag. Tid har de att utveckla eget, men att googla "how to store passwords" tror de kostar för mycket?

http://www.theatlantic.com/national/archive/2012/05/how-the-p...
"If there's a simple lesson in all of this, it's that hoaxes tend to thrive in communities which exhibit high levels of trust. But on the Internet, where identities are malleable and uncertain, we all might be well advised to err on the side of skepticism."

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2001
Skrivet av albin967:

Skickade ett mail till deras kundtänst, fick som svar att det inte gick att byta lösenord själv. Utan man skulle skicka in det lösenordet man ville ha sen skulle de byta åt en...

Skickades från m.sweclockers.com

Undvik, häng ut och gör narr av. Nog det enda som fungerar. Men då vet vi det. Uniflex.se (som jag aldrig hört talas om tidigare) är ett blufföretag och troligtvis är deras säkerhetsagenda inte de anställdas eller kundernas agenda. De vill säkert ha lösenorden "av säkerhetsskäl" och då antar jag att ett nytt sådant skickas plain över mail? Vissa webbaktörer är döda innan de föds, så är det helt enkelt. Beteendet säger iaf mig att det inte är okunskap som är problemet här, utan illvillighet.

Edit: för att vara övertydlig. Det finns gott om lösningar ifall ett företag/arbetsgivare/etc behöver tillgång till de anställdas lösenord. En uppenbar lösning är "air gap". Här verkar det dock inte vara frågan om att man själv vill ha tillgång till lösenorden, utan något annat mystiskt.

Nämligen: 1) om man inte kan byta lösenord själv utan måste skicka in, så antyder det att lösenorden visst lagras som saltat hash och inte plain/"krypterat" eftersom det då inte vore några problem att låta anställda ändra lösenordet själva.
2) Om de ändå kan eftersända lösenordet, antyder det INTE saltat hash, eller så finns två tabeller. En för webben som är korrekt hanterad och en "plain" "som backup" eller annat. Då blir följdfrågan: hur tänkte de nu, att lösenord ska skickas i båda riktningarna via mail, plain?

Det går inte att få ihop såvida man inte antar antingen aningslös dumhet eller ont uppsåt eller bådadera. Någon benign förklaring finns ej.

http://www.theatlantic.com/national/archive/2012/05/how-the-p...
"If there's a simple lesson in all of this, it's that hoaxes tend to thrive in communities which exhibit high levels of trust. But on the Internet, where identities are malleable and uncertain, we all might be well advised to err on the side of skepticism."

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av MBY:

Vet inte. Byråkrati och regelverk i allmänhet ser jag i allmänhet som pajaskonster.

Håller med där, det ser fint ut på pappret, men ofta blir resultatet likvärdigt men hur ens toalettpapper ser ut efter användning.

Skrivet av MBY:

Dock, vad säkerheten beträffar är ju saken biff och kostar nada. Standardiserade, open source-lösningar finns sedan länge. Det som brister är kompetens. Jag föreställer mig inte att en myndighet skulle aktivt kolla varenda sida på nätet, utan ta emot anmälan från vem som helst. Och, det borde väl vara snorenkelt att sonika lagstifta om att lösenord lagas som saltade hashvärden och ingenting annat. Eller att det är ett krav som ingår i alla avtal om hosting, F-skattsedel eller whatever.

Jag håller med. Säkerhet på olika sätt går att skaffa har man inte ens lösenordet sparade som saltade hashvärden så har man i princip gett utvecklarna fri tillgång till lösenord.

Skrivet av MBY:

Om ett företag är för "fattigt" för att använda öppna alternativ och färdiga paket så verkar det vara ett ordentligt korkat företag. Tid har de att utveckla eget, men att googla "how to store passwords" tror de kostar för mycket?

Inom företag så beror det på vilka program som man pratar om, ett stort problem är att många lösningar gjordes för 20år sedan. Sedan kommer externa tekniker som mig och säger what the f-ck, påpekar detta och det enda man får till svars är att du får gärna fixa detta, men du får inget betalt för jobbet, men om det skulle bli något strul som driftstörning så räkna med ett vite.
Det finns väldigt många anledningar till att säkerheten bokstavligen suger på företag och det finns inget bra sätt lösa detta på, mer än att användare ska vara medvetna att använd för tusan inte samma företag på någon maskin på jobbet som till något annat viktigt.

*edit*
Och med företag så pratar jag om såna som har en omsättning på över en miljard i sverige. Men trots den höga omsättningen, så finns det så otroligt många säkerhetsområden och de skulle behöva höja den överallt.

Gått över till enbart Google Chromebook på klientsidan.