Webbhotell som lagrar lösen i klartext

scorpion · Post by **scorpion** » 2008-01-30 1:14:06

Hej och hallå allesammans, det var ett tag sedan

Jag knåpade ihop en artikel rörande lite grejor som Loopia missköter rätt hårt: http://www.gate303.net/2008/01/28/loopi ... -losenord/

Kort fattat: Tomtarna lagrar lösenord i klartext (eller dekrypterbart), skiter i versaler och gemener ("stora och små bokstäver" på vanlig svenska

), tillåter bara a-z och 0-9 samt låter en inte ha mer än 16 tecken.

Binero hade missat det där med stora/små tecken med, men i övrigt var det inget hos dem.

Båda företagen mailades, Binero fixade sin miss på fläcken och Loopia svarade med något som mest påminde om "Vi har noterat dina åsikter".

I kommentarerna har det sedan framkommit att även andra webbhotell gör samma tabbar (rörande klartext/dekrypterbara lösenord)...

Är det verkligen så in i vassen vanligt? Efterfesten samt Mecenat hade ju båda lösenorden i klartext. Bland webbhotellen är det hitintills Loopia, Active 24 samt One.com (någon som är förvånad?).

Visst, jag vet att lösenordhantering inte är det enda som är viktigt, men jag skulle vilja påstå att det är långt ifrån oviktigt...

Har ni några egna erfarenheter kring detta? Vad tror ni är orsaken till att de gör såhär? Lathet? Okunskap?

snigel · Post by **snigel** » 2008-01-30 1:36:22

Lathet. Det är enklare att implementera en lösning som är simplare.
Okunskap, känner ingen annan till hur oskyddat systemet är kommer det inte ändras
"Ingen är intresserad av att attackera oss" är en vanlig tankegång som i viss mån stämmer för enskilda användare. Men om hela systemgrunden är osäker att samtliga användare systematiskt kan hackas blir det plötsligt ett högintressant mål.
De flesta är ointresserade att öka säkerheten och kommer försvara sitt osäkra system. Det finns så många exempel på där företag blivit kontaktade vid flera tillfällen ändå valt att strunta i det och blivit hackade.

Vad som är komiskt i sammahanget är att okunskapen hos media hänger ut hackers istället för de ansvariga företagen. Hade en bank haft en hasp som säkerhet till stora valvet hade troligtvis banken fått en hel del kritik för detta om allt blev stulet, snarare än att inbrottet blev den stora nyheten.

Jag har varit i kontakt med Wippies angående deras säkerhetsproblem
http://forum.wippies.com/index.php/topic,1022.0.html

Jag har även varit i kontakt med netgear om säkerhetsproblemen i flera av deras konsumetroutrar och mötts av total ignorans, fastän ett flertal av deras produkter har hårdkodade lösenord som ger fulla rättigheter till allt.

Moonsky · Post by **Moonsky** » 2008-01-30 13:29:02

Vilka idioter, alla vet att man ska använda sig utav saltade hashes.

Grov brist på kompetens.

enix · Post by **enix** » 2008-01-30 13:35:54

Vad anställer arbetsgivarna för folk egentligen?

Värre inkompetens får man leta efter.

scorpion · Post by **scorpion** » 2008-01-30 14:46:49

snigel wrote:Vad som är komiskt i sammahanget är att okunskapen hos media hänger ut hackers istället för de ansvariga företagen. Hade en bank haft en hasp som säkerhet till stora valvet hade troligtvis banken fått en hel del kritik för detta om allt blev stulet, snarare än att inbrottet blev den stora nyheten.

Visst är det så? Jag är ärligt talat förvånad över att ingen belyst det faktum att Mecenat AB lagrade lösenorden i klartext, eller har jag bara lyckats missa det?

Enligt signaturen "Anders B" som lämnade en kommentar (med tillhörande skärmdump) till min post så verkar Active 24 gå steget längre och bjuder visst på alla maillösenord i klartext med...

http://www.gate303.net/2008/01/28/loopi ... mment-8441

IcePic · Post by **IcePic** » 2008-01-31 17:15:01

scorpion wrote:Visst är det så? Jag är ärligt talat förvånad över att ingen belyst det faktum att Mecenat AB lagrade lösenorden i klartext, eller har jag bara lyckats missa det?

Fast bild-siten som vart hackad nyligen hade hash:ar och de tog ju majoriteten
av folks lösen med en hyffsat simpel brute-force iaf, eftersom alla hade nån
variant av ordet "bajs" i sina lösen. Hur bra man än hashar så hjälper det inte
mot att folk väljer usla lösen, så då kan man ju lika gärna lagra dem i klartext.

Xerbee · Post by **Xerbee** » 2008-01-31 20:23:24

IcePic wrote:Hur bra man än hashar så hjälper det inte
mot att folk väljer usla lösen, så då kan man ju lika gärna lagra dem i klartext.

Om man blandar in lite obskyra salt. Är det fortfarande meningslöst att hasha usla lösenord?

IcePic · Post by **IcePic** » 2008-02-03 19:57:26

Xerbee wrote:
IcePic wrote:Hur bra man än hashar så hjälper det inte
mot att folk väljer usla lösen, så då kan man ju lika gärna lagra dem i klartext.
Om man blandar in lite obskyra salt. Är det fortfarande meningslöst att hasha usla lösenord?

Det beror ju på vad målsättningen är. Om jag snor en user-db på 100k users
och bara får ut 5000 på en vecka för att det är bra saltat, är det fortfarande
bra då, eller hamnar siten på aftonbladet?
Om det inte var saltat så kanske man tog 95k istället, så "meningslöst" är det
ju aldrig, men frågan är hur långt man vill nå.