Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
26

Snabbtest: Battlefield V i DirectX 11 och DirectX 12 med tio grafikkort

För någon dag sedan lanserades Battlefield V skarpt och SweClockers har kämpat runt på slagfältet med tio olika grafikkort för att se vad som krävs att driva runt spelet. Läs mer

0

AMD Radeon RX 590 från HIS och Asrock hittar ut på webben

Uppgifterna kring Radeon RX 590 duggar tätt och nu dyker ytterligare två modeller upp på webben, som denna gång är signerade tillverkarna HIS och Asrock. Läs mer

28

Youtube kan tvingas blockera videoklipp på grund av EU:s nya upphovsrättslagar

Youtubes VD Susan Wojcicki riktar kritik mot EU:s nya upphovsrättslagar, och menar att det kan leda till att de tvingas blockera stora mängder videoklipp på plattformen. Läs mer

64

The Elder Scrolls VI och Starfield använder åldrande spelmotorn Creation Engine

Med anor från år 1997 är spelmotorn Creation Engine uråldrig ställt mot andra. I en intervju berättar Bethesdas Todd Howard att den lever vidare i framtida Starfield och The Elder Scrolls VI. Läs mer

9

SFX-bygge med sidopaneler i plywood tar hem Månadens Galleri

Medlemmarna har sagt sitt och det står klart att doldisen "deeshu" med sitt plywood-bestyckade Dan Cases tar hem Månadens Galleri. Läs mer

38

Battlefield V får ray tracing innan 20 november

Nvidia meddelar att Battlefield V blir först ut med att implementera ray tracing, och att detta sker i och med en uppdatering som släpps innan lanseringen den 20 november. Läs mer

24

Kopieringsskyddet Denuvo kringgås i Hitman 2 före officiell lansering

Spelserien med Agent 47 i huvudrollen har utökats med ytterligare en del, och nu meddelas att det inbyggda kopieringsskyddet från Denuvo knäckts redan innan lansering på bred front. Läs mer

23

Rykte: Valve utvecklar VR-headset med tillhörande Half-Life-spel

Valve har tidigare lanserat hårdvara i form av spelkontroller samt Steam Link. Nu ser företaget ut att äntra marknaden för virtuell verklighet med egenutvecklat VR-headset samt rörelsekontroller. Läs mer

14

Testpilot: Phanteks Enthoo Evolv X – rymligt chassi med vattenkylning i åtanke

Phanteks nykomling Enthoo Evolv X en lyxig låda i aluminium och härdat glas, och som även rymmer stora mängder med vattenkylning. Testpiloten "Laine" kikar närmare. Läs mer

66

Serielegendaren Stan Lee är död – blev 95 år

Mannen bakom många av de namn som förknippas med "superhjältar" och Marvel har gått ur tiden. Serielegendaren Stan Lee blev 95 år gammal. Läs mer

19

SweClockers besöker Café på Bit i Skellefteå

I samband med SweClockers senaste Meet & Geek i Skellefteå passade redaktionen på att besöka Café på Bit, fyllt till brädden med TV-spel, brädspel, flipperspel, T-shirts och så klart även fika. Läs mer

75

AMD: "Ett tag kvar innan DirectX Raytracing slår igenom på riktigt"

UPPDATERAD. I en intervju berättar AMD att de kommer "svara på" DirectX Raytracing, men att tekniken inte kommer slå igenom på riktigt förrän den erbjuds i samtliga produktsegment. Läs mer