Lösenord i klartext Uniflex.se

Privatpersoner och kommersiella företag ska ej snoka i folks privatliv, det är något för polismyndigheten. Detta oavsett vad tusan personen snokar för.
Nej det borde inte vara rätt att ha databaser med sparade information ifrån diverse butiker, bemaningsföretag etc, i syfte att kunna knyta ihop detta med andra siter där folk skriver något helt annat.
Inte ens en pedofiljakt, tycker jag kan motivera att en privatperson/företag lagligt borde få ha databaser med känslig information som inte har ett skit med detta att göra. -För ytterst få personer skriver i deras jobbansökningar att de är pedofiler utan informationen används enbart för att kunna knyta ihop folk med andra saker som senare kan leda till något.

Skämtar du?
Det är skärmande låg hur säkerheten är på vissa ställen och väldigt många har samma lösenord på fler ställen, så tekniker på såna bolag kan superenkelt om de skulle vilja gå in och läsa mångas mail och komma åt allt.

Det skulle som MBY behövas någon myndighet som granskar, problemet är att det finns så otroligt många inloggningsställen. Det kan vara alla program som man kör på jobbet, det kan vara på gymmet etc. Och de flesta applikationer där jag har stött på suger verkligen säkerheten rejält. Den teknikern som ej har kompetens att gå förbi allt vad säkerhet heter, har hellre inte kompetens att utföra det jobb som de ska göra.
T.ex. har vissa program en debugger fönster där man ja kan göra vad tusan man vill, vill man anropa en public funktion så är det bara att göra detta. Vill man anropa en privatfunktion, så går det genom lite trixande göra detta också. Och vi pratar ändå om programvaror som kostar uppemot en miljon i licenskostnader. Nu är det lösenord på debuggläget, men tekniker måste ju ha detta lösenord för att kunna arbeta.

Frågan är hur detta skulle lösas? Vissa saker som bemanningsföretag, webbutiker känns ganska naturligt, men alla program på företag och alla mindre forum som bedrivs av folk som knappt har råd med nudlar.
Jag själv har erfarenhet av statlig byråkrati och min erfarenhet är inte positiv, inkompetenta personer som kostar skjortan och fördröjer uppgifter.

Många tjänster som tillhandahåller dina uppgifter med CV och Personligt brev för företag lagrar lösenorden i plain text. Något du kommer att få lära dig...

Vet inte. Byråkrati och regelverk i allmänhet ser jag i allmänhet som pajaskonster.

Dock, vad säkerheten beträffar är ju saken biff och kostar nada. Standardiserade, open source-lösningar finns sedan länge. Det som brister är kompetens. Jag föreställer mig inte att en myndighet skulle aktivt kolla varenda sida på nätet, utan ta emot anmälan från vem som helst. Och, det borde väl vara snorenkelt att sonika lagstifta om att lösenord lagas som saltade hashvärden och ingenting annat. Eller att det är ett krav som ingår i alla avtal om hosting, F-skattsedel eller whatever.

Om ett företag är för "fattigt" för att använda öppna alternativ och färdiga paket så verkar det vara ett ordentligt korkat företag. Tid har de att utveckla eget, men att googla "how to store passwords" tror de kostar för mycket?

Undvik, häng ut och gör narr av. Nog det enda som fungerar. Men då vet vi det. Uniflex.se (som jag aldrig hört talas om tidigare) är ett blufföretag och troligtvis är deras säkerhetsagenda inte de anställdas eller kundernas agenda. De vill säkert ha lösenorden "av säkerhetsskäl" och då antar jag att ett nytt sådant skickas plain över mail? Vissa webbaktörer är döda innan de föds, så är det helt enkelt. Beteendet säger iaf mig att det inte är okunskap som är problemet här, utan illvillighet.

Edit: för att vara övertydlig. Det finns gott om lösningar ifall ett företag/arbetsgivare/etc behöver tillgång till de anställdas lösenord. En uppenbar lösning är "air gap". Här verkar det dock inte vara frågan om att man själv vill ha tillgång till lösenorden, utan något annat mystiskt.

Nämligen: 1) om man inte kan byta lösenord själv utan måste skicka in, så antyder det att lösenorden visst lagras som saltat hash och inte plain/"krypterat" eftersom det då inte vore några problem att låta anställda ändra lösenordet själva.
2) Om de ändå kan eftersända lösenordet, antyder det INTE saltat hash, eller så finns två tabeller. En för webben som är korrekt hanterad och en "plain" "som backup" eller annat. Då blir följdfrågan: hur tänkte de nu, att lösenord ska skickas i båda riktningarna via mail, plain?

Det går inte att få ihop såvida man inte antar antingen aningslös dumhet eller ont uppsåt eller bådadera. Någon benign förklaring finns ej.

Håller med där, det ser fint ut på pappret, men ofta blir resultatet likvärdigt men hur ens toalettpapper ser ut efter användning.

Jag håller med. Säkerhet på olika sätt går att skaffa har man inte ens lösenordet sparade som saltade hashvärden så har man i princip gett utvecklarna fri tillgång till lösenord.

Inom företag så beror det på vilka program som man pratar om, ett stort problem är att många lösningar gjordes för 20år sedan. Sedan kommer externa tekniker som mig och säger what the f-ck, påpekar detta och det enda man får till svars är att du får gärna fixa detta, men du får inget betalt för jobbet, men om det skulle bli något strul som driftstörning så räkna med ett vite.
Det finns väldigt många anledningar till att säkerheten bokstavligen suger på företag och det finns inget bra sätt lösa detta på, mer än att användare ska vara medvetna att använd för tusan inte samma företag på någon maskin på jobbet som till något annat viktigt.

*edit*
Och med företag så pratar jag om såna som har en omsättning på över en miljard i sverige. Men trots den höga omsättningen, så finns det så otroligt många säkerhetsområden och de skulle behöva höja den överallt.