Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Skicka en rättelse
81

Geforce RTX 3080 sålde slut inom första halvtimmen

Extremt hög efterfrågan ihop med dålig tillgång gör att Nvidias nya värstingkort lyser med sin frånvaro på lagerhyllorna. Läs mer

161

Test: Asus Geforce RTX 3080 TUF Gaming OC

Klockan är slagen för partnertillverkare att få sina Geforce RTX 3080-kort prestandatestade där Asus är först ut i testlabbet. Läs mer

I samarbete med Core Mechanics
23

Tävling: Frågesport med mekaniska Core Mechanics-tangentbord i potten

Prestanda och inga mellanhänder är mottot för nya svenska märket Core Mechanics, som gör debut med tangentbord och egen webbutik. Läs mer

22

Nvidias drivrutin för Geforce RTX 3000-serien redo för nedladdning nu

I nyhetsväg handlar det mesta om Geforce RTX 3000 just nu. I forumet skriver Ragnarök om nyheterna i senaste Geforce-drivrutinen. Läs mer

I samarbete med LG
215

Testpilot: LG OLED 48CX – överväldigande bra

Testpiloten Dinoman blir helt golvad av upplevelsen med LG:s OLED-TV 48CX, till den grad att superlativen inte räcker till. Läs mer

55

Nvidia antyder Geforce RTX 3080 med mer grafikminne

En specificerad mängd grafikminne för Geforce RTX 3080 antyder att Nvidia redan har modeller med större minneskapacitet planerade. Läs mer

27

AMD:s RDNA 2-arkitektur stöder också AV1-videoavkodning

Den som hoppats på att kunna avkoda nästa generations videoformat på Radeon RX 6000-seriens grafikkort får goda nyheter. Läs mer

252

Jagar du komplett samling föremål i Diablo 2?

Att jaga kompletta uppsättningar föremål i Diablo 2, så kallad "Holy Grail", diskuteras i en forumtråd signerad medlemmen sINsen. Läs mer

16

Corsair stöper om chassisortimentet med 4000-serien

Produktserierna Obsidian och Carbide stryker på foten när Corsair introducerar sin nya chassifamilj i 4000-serien. Läs mer

13

Facebooks vision för Google Glass är AR-glasögonen "Aria"

Med Aria utforskar Facebook vad en AR-upplevelse framför ögonen ska innebära, och forskning utförs även med glasögonföretag. Läs mer

135

Oculus Quest 2 uppgraderar VR med "nästan" 4K och 90 Hz

Med Quest 2 görs hårdvaran lättare samtidigt som VR-upplevelsen uppgraderas med en mer högupplöst skärm som uppdateras i 90 Hz. Läs mer

1041

Test: Nvidia Geforce RTX 3080 "Ampere" – ett ovanligt stort prestandakliv

En strid ström av bildrutor flödar genom testlabbet när världens just nu snabbaste grafikkort för spel tar plats på scenen. Läs mer