För några dagar sedan upptäckte en medlem i SweClockers forum att återförsäljaren Dustin lagrar kundernas lösenord i klartext. Inte nog med det, samtidigt framkom att även vanliga anställda har tillgång till dessa. Det innebär en stor säkerhetsrisk, särskilt för den som använder samma lösenord på fler tjänster och webbplatser.
Den vanligaste lösningen på problemet är att använda en kallad hashfunktion, som inte lagrar själva lösenordet utan enbart ett relaterat kryptografiskt värde. Enligt Dustins IT-chef Per Lengquist skulle detta införas först vid utrullningen av ett nytt affärssystem i början av 2014, men nu meddelar återförsäljaren att säkerhetsmekanismen redan är igång.
Dustin har nu infört en ny säkerhetslösning vid inloggning till vår webb. Den innebär att samtliga kunders lösenord kommer vara krypterade. Vi har valt att påskynda övergången till den nya säkerhetslösningen då man på olika webforum har uttryckt oro kring lagringen av lösenord i vårt gamla system.
Omläggningen görs en kund i taget och beräknas vara klar inom några dagar. Du kan själv kontrollera om ditt lösenord har blivit krypterat redan nu. Logga in på vår webb och gå till ”Mitt konto”. Ett låst hänglås innebär att lösenordet är krypterat. Om lösenordet inte redan är krypterat behöver du bara logga ut och därefter logga in igen. Då kommer lösenordet direkt att bli krypterat.
Det enda som krävs för att dölja lösenordet är att logga ut från användarkontot och logga in på nytt. Lösenord kommer då att hashas med algoritmen bcrypt med individuellt "salt" per kund. Det tidigare klartextlösenordet raderas.
