Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
79

Coop säger upp avtalet med Postnord

Importavgifter och sena leveranser har stått på tapeten för Postnord på sistone. Nu kan ett avslutat avtal med Coop adderas till listan, då matkedjan anser att ersättningen är för låg. Läs mer

41

AMD skickar ut processorer gratis för UEFI-uppdatering

Nylanserade Raven Ridge för stationärt bruk är kompatibel med sockel AM4, men många moderkort kräver en uppdatering. AMD bidrar med processorer för flashningen. Läs mer

12

Overwatch-inspirerat bygge i galleriet

Medlemmen och moddaren "Corsair Johan" visar sitt bygge 46OW, som är inspirerat av Blizzards förstapersonsskjutare Overwatch. Läs mer

48

Guide: Kom igång med vattenkylning

Har du undrat vad vattenkylning är och hur själva monteringen går till? Häng med när testpiloten Kalle "Flamso" Nilsson delar med sig av sina tips från planering till utförande. Läs mer

46

AMD "Pinnacle Ridge" kommer med fastlödd värmespridare

AMD:s nylanserade Raven Ridge saknar fastlödd värmespridare, vilket väckt spekulationer gällande Ryzen 2. Nu meddelar dock företaget att detta inte gäller framtida generationer. Läs mer

45

Bugg i Apples operativsystem – indiskt tecken orsakar krasch

De senaste månaderna har Apple fått en del kritik efter uppgifter om sänkt prestanda och diverse säkerhetshål. Nu hamnar bolaget återigen i hetluften till följd av en allvarlig bugg. Läs mer

39

SweClockers mobilsajt får PM, Inställningar och Registrering

Idag införs den mest efterfrågade funktionen till mobilsajten – Privata meddelanden (PM), men även Inställningar och Registrering. Läs mer

12

Fredagspanelen 149: AMD Raven Ridge, Nvidia Turing och avgifter på Kina-paket

I veckans avsnitt av fredagspanelen avhandlar Jacob och Jonas lanseringen av Ryzen med integrerad Vega-grafik. Därtill blir det snack de kommande avgifterna på paket från Kina. Läs mer

147

Diskutera Kingdom Come: Deliverance i forumet

Tidigare under veckan släpptes rollspelet Kingdom Come: Deliverance. Är du en av de många som spelar det? Gå med i forumdiskussionen och dela med dig av intryck och tips! Läs mer

9

Microsoft: "Säkerhetshålet i Skype åtgärdades redan i oktober 2017"

Microsoft meddelar nu att det nyligen upptäckta säkerhetshålet i Skype är åtgärdat, och att detta gjordes redan i oktober 2017 i och med version 8 av mjukvaran. Läs mer

293

Regeringen föreslår hårdare straff för piratkopiering

Regeringen presenterar nu ett nytt förslag, vilket innebär nya brottsskalor för piratkopiering och upphovsrättsbrott där dessa ska kunna ge upp till sex års fängelse. Läs mer

12

Corsair lanserar One Pro Plus och One Elite med Intel Coffee Lake

Corsairs One-serie uppdateras nu med två nya färdigbyggda system, vilka utrustas med Core i7-8700K ur Intels Coffee Lake-familj. Läs mer