Hej och hallå allesammans, det var ett tag sedan
Jag knåpade ihop en artikel rörande lite grejor som Loopia missköter rätt hårt: http://www.gate303.net/2008/01/28/loopi ... -losenord/
Kort fattat: Tomtarna lagrar lösenord i klartext (eller dekrypterbart), skiter i versaler och gemener ("stora och små bokstäver" på vanlig svenska ), tillåter bara a-z och 0-9 samt låter en inte ha mer än 16 tecken.
Binero hade missat det där med stora/små tecken med, men i övrigt var det inget hos dem.
Båda företagen mailades, Binero fixade sin miss på fläcken och Loopia svarade med något som mest påminde om "Vi har noterat dina åsikter".
I kommentarerna har det sedan framkommit att även andra webbhotell gör samma tabbar (rörande klartext/dekrypterbara lösenord)...
Är det verkligen så in i vassen vanligt? Efterfesten samt Mecenat hade ju båda lösenorden i klartext. Bland webbhotellen är det hitintills Loopia, Active 24 samt One.com (någon som är förvånad?).
Visst, jag vet att lösenordhantering inte är det enda som är viktigt, men jag skulle vilja påstå att det är långt ifrån oviktigt...
Har ni några egna erfarenheter kring detta? Vad tror ni är orsaken till att de gör såhär? Lathet? Okunskap?
Webbhotell som lagrar lösen i klartext
Lathet. Det är enklare att implementera en lösning som är simplare.
Okunskap, känner ingen annan till hur oskyddat systemet är kommer det inte ändras
"Ingen är intresserad av att attackera oss" är en vanlig tankegång som i viss mån stämmer för enskilda användare. Men om hela systemgrunden är osäker att samtliga användare systematiskt kan hackas blir det plötsligt ett högintressant mål.
De flesta är ointresserade att öka säkerheten och kommer försvara sitt osäkra system. Det finns så många exempel på där företag blivit kontaktade vid flera tillfällen ändå valt att strunta i det och blivit hackade.
Vad som är komiskt i sammahanget är att okunskapen hos media hänger ut hackers istället för de ansvariga företagen. Hade en bank haft en hasp som säkerhet till stora valvet hade troligtvis banken fått en hel del kritik för detta om allt blev stulet, snarare än att inbrottet blev den stora nyheten.
Jag har varit i kontakt med Wippies angående deras säkerhetsproblem
http://forum.wippies.com/index.php/topic,1022.0.html
Jag har även varit i kontakt med netgear om säkerhetsproblemen i flera av deras konsumetroutrar och mötts av total ignorans, fastän ett flertal av deras produkter har hårdkodade lösenord som ger fulla rättigheter till allt.
Okunskap, känner ingen annan till hur oskyddat systemet är kommer det inte ändras
"Ingen är intresserad av att attackera oss" är en vanlig tankegång som i viss mån stämmer för enskilda användare. Men om hela systemgrunden är osäker att samtliga användare systematiskt kan hackas blir det plötsligt ett högintressant mål.
De flesta är ointresserade att öka säkerheten och kommer försvara sitt osäkra system. Det finns så många exempel på där företag blivit kontaktade vid flera tillfällen ändå valt att strunta i det och blivit hackade.
Vad som är komiskt i sammahanget är att okunskapen hos media hänger ut hackers istället för de ansvariga företagen. Hade en bank haft en hasp som säkerhet till stora valvet hade troligtvis banken fått en hel del kritik för detta om allt blev stulet, snarare än att inbrottet blev den stora nyheten.
Jag har varit i kontakt med Wippies angående deras säkerhetsproblem
http://forum.wippies.com/index.php/topic,1022.0.html
Jag har även varit i kontakt med netgear om säkerhetsproblemen i flera av deras konsumetroutrar och mötts av total ignorans, fastän ett flertal av deras produkter har hårdkodade lösenord som ger fulla rättigheter till allt.
http://sniglom.blogspot.com
Work |i5 760@4.2GHz|16GB|P55|GTX 670|850 500GB|Xonar D2|2TB
Extra |q9550@3.4GHz|8GB|P45|GTX 670|830 256GB|Audigy 2
MacB.|p8600@2.4GHz|8GB|320m|BX100 500GB
Serve|c1037@1.8GHz|8GB|NM70|X25-M 80GB|Seagate 4TB
Work |i5 760@4.2GHz|16GB|P55|GTX 670|850 500GB|Xonar D2|2TB
Extra |q9550@3.4GHz|8GB|P45|GTX 670|830 256GB|Audigy 2
MacB.|p8600@2.4GHz|8GB|320m|BX100 500GB
Serve|c1037@1.8GHz|8GB|NM70|X25-M 80GB|Seagate 4TB
Vad anställer arbetsgivarna för folk egentligen?
Värre inkompetens får man leta efter.
Värre inkompetens får man leta efter.
Workstation: Core i5 750 2.66GHz, 4GB DDR3, 3TB HDD, HD4890 1GB, Windows7 Pro x64
Laptop: AMD Athlon64 X2 QL-60 1.90GHz, 3GB DDR2, 250GB HDD, HD3450 256MB, Windows Vista Home Premium x86
iPhone 3G 8GB | PS3 40GB | XB360 20GB | Wii 8GB | PSP 2GB | PS2
Laptop: AMD Athlon64 X2 QL-60 1.90GHz, 3GB DDR2, 250GB HDD, HD3450 256MB, Windows Vista Home Premium x86
iPhone 3G 8GB | PS3 40GB | XB360 20GB | Wii 8GB | PSP 2GB | PS2
Visst är det så? Jag är ärligt talat förvånad över att ingen belyst det faktum att Mecenat AB lagrade lösenorden i klartext, eller har jag bara lyckats missa det?snigel wrote:Vad som är komiskt i sammahanget är att okunskapen hos media hänger ut hackers istället för de ansvariga företagen. Hade en bank haft en hasp som säkerhet till stora valvet hade troligtvis banken fått en hel del kritik för detta om allt blev stulet, snarare än att inbrottet blev den stora nyheten.
Enligt signaturen "Anders B" som lämnade en kommentar (med tillhörande skärmdump) till min post så verkar Active 24 gå steget längre och bjuder visst på alla maillösenord i klartext med...
http://www.gate303.net/2008/01/28/loopi ... mment-8441
Fast bild-siten som vart hackad nyligen hade hash:ar och de tog ju majoritetenscorpion wrote:Visst är det så? Jag är ärligt talat förvånad över att ingen belyst det faktum att Mecenat AB lagrade lösenorden i klartext, eller har jag bara lyckats missa det?
av folks lösen med en hyffsat simpel brute-force iaf, eftersom alla hade nån
variant av ordet "bajs" i sina lösen. Hur bra man än hashar så hjälper det inte
mot att folk väljer usla lösen, så då kan man ju lika gärna lagra dem i klartext.
Oh give me a clone, my very own clone,
with the Y chromosome changed to X!
And since she's my own, of my own flesh and bone,
she'll be thinking of nothing but sex!
with the Y chromosome changed to X!
And since she's my own, of my own flesh and bone,
she'll be thinking of nothing but sex!
Det beror ju på vad målsättningen är. Om jag snor en user-db på 100k usersXerbee wrote:Om man blandar in lite obskyra salt. Är det fortfarande meningslöst att hasha usla lösenord?IcePic wrote:Hur bra man än hashar så hjälper det inte
mot att folk väljer usla lösen, så då kan man ju lika gärna lagra dem i klartext.
och bara får ut 5000 på en vecka för att det är bra saltat, är det fortfarande
bra då, eller hamnar siten på aftonbladet?
Om det inte var saltat så kanske man tog 95k istället, så "meningslöst" är det
ju aldrig, men frågan är hur långt man vill nå.
Oh give me a clone, my very own clone,
with the Y chromosome changed to X!
And since she's my own, of my own flesh and bone,
she'll be thinking of nothing but sex!
with the Y chromosome changed to X!
And since she's my own, of my own flesh and bone,
she'll be thinking of nothing but sex!