1. Dator och IT
  2. IT-säkerhet

Brandos.se krypterar ej lösenord (?)

Svara
  • 1
  • 2
2011-11-02, 23:39
  #1
StefanLindblom
Medlem
Hej på er!

Detta gäller sidan Brandos.se som säljer skor via deras webbshop.

Till min stora förvåning när jag förra veckan använde funktionen glömt lösenord, så fick jag ett mail innehållande mitt nuvarande lösenord, vilken känns lite smått otryggt.

Jag kontaktade medsamma kundtjänst:

Citat:
Jag (ca 23 oktober 2011 03:00):

Hejsan! Jag använde precis funktionen glömt lösenord, och fick mitt lösenord utskickat, ej ett nytt (automatiskt genererat). Innebär detta att ni lagrar lösenord okrypterade, eller med en icke tillförlitlig krypteringsalgoritm? Isåfall så är detta en enorm säkerhetsrisk.

Tacksam för svar!

Med vänliga hälsningar
Stefan Lindblom

Brandos.se (24 oktober 2011 10:36)

Hej Stefan,

Ert lösenord är ***********. Vi skickar frågan vidare till vår IT avdelning som får kontrollera hur dessa lagras. Hoppas att ni nu ska kunna beställa de skor ni önskar.

Trevlig dag,

Mvh
k*****
Brandos.se

Som ni ser har även personalen i kundtjänst tillgång till mitt lösenord...jag blev riktigt chockad.

Har fortfarande inte fått svar, och nu har 9 dagar passerat.

Jag var även i kontakt med trygg e-handel eftersom Brandos.se är verifierade som "trygga", men de svarade att de inte ställer några krav på hur detta lagras (vilket jag förövrigt tycker är konstigt..).

Så - innebär detta att Brandos.se ej krypterar sina kunders/användares lösenord?
Illa.

Eller glömmer jag något i det hela? Isåfall, enlighten me!
__________________
Senast redigerad av StefanLindblom 2011-11-03 kl. 00:23.
Citera
2011-11-02, 23:42
  #2
micaele
Medlem
micaeles avatar
Eftersom kundtjänst har tillgång till ditt lösenord är det uppenbarligen inte krypterat. Skamligt.
Meddela detta till IDG och Aftonbladet, så kanske det blir fart på deras IT-avdelning.
Citera
2011-11-02, 23:43
  #3
StefanLindblom
Medlem
Citat:
Ursprungligen postat av micaele
Eftersom kundtjänst har tillgång till ditt lösenord är det uppenbarligen inte krypterat. Skamligt.
Meddela detta till IDG och Aftonbladet, så kanske det blir fart på deras IT-avdelning.

Tar tag i detta!
Citera
2011-11-02, 23:45
  #4
MagnusGadaffi
Bannlyst
Citat:
Ursprungligen postat av micaele
Eftersom kundtjänst har tillgång till ditt lösenord är det uppenbarligen inte krypterat. Skamligt.
Meddela detta till IDG och Aftonbladet, så kanske det blir fart på deras IT-avdelning.

Aftonhoran kommer inte göra ett skit. Brandos brukar annonsera där och de vill inte förlora reklamintäkter. Dom annonserar säkert också på expressen men det har jag ingen koll på.

Det bästa vore om någon fixade deras databas och postade här. Då kanske dom vaknar.
Citera
2011-11-02, 23:49
  #5
StefanLindblom
Medlem
Citat:
Ursprungligen postat av MagnusGadaffi
Aftonhoran kommer inte göra ett skit. Brandos brukar annonsera där och de vill inte förlora reklamintäkter. Dom annonserar säkert också på expressen men det har jag ingen koll på.

Det bästa vore om någon fixade deras databas och postade här. Då kanske dom vaknar.

Sant.

Agreed att en sql-dump skulle vara något. Inte för att förstöra utan mer för att visa hur illa det är när man får 10 000-tals personers information i detta format ungefär:

E-post | Adress | Personnr | Lösenord
Citera
2011-11-02, 23:59
  #6
micaele
Medlem
micaeles avatar
Citat:
Ursprungligen postat av MagnusGadaffi
Aftonhoran kommer inte göra ett skit. Brandos brukar annonsera där och de vill inte förlora reklamintäkter. Dom annonserar säkert också på expressen men det har jag ingen koll på.

Det bästa vore om någon fixade deras databas och postade här. Då kanske dom vaknar.
I sanning, men man måste börja nånstans. Således nämnde jag också IDG, som brukar gilla att kolla upp sådan här information. Finns säkerligen många andra nyhetsportaler som kan tänkas sniffa vidare.
Citera
2011-11-03, 00:17
  #7
wizstrict
Medlem
Ni blandar ihop krypterat och hashat...
Citera
2011-11-03, 00:22
  #8
StefanLindblom
Medlem
Citat:
Ursprungligen postat av wizstrict
Ni blandar ihop krypterat och hashat...

Min ursprungliga frågeställning till Brandos.se var (se mailkonversation):

Citat:
Innebär detta att ni lagrar lösenord okrypterade, eller med en icke tillförlitlig krypteringsalgoritm?

Jag skulle ej kalla den metod de nu använder för tillförlitlig, oavsett de tekniska termerna.
Citera
2011-11-03, 00:39
  #9
wizstrict
Medlem
Det faktumet att support kan få fram okrypterade lösenord har inget som helst med att göra med tillförlitlig lagring eller ej. (även om det är mycket möjligt att dom lagrar i klartext)

Däremot kan man ju diskutera förfarandet med att skicka dom per epost i klartext.....
Citera
2011-11-03, 01:10
  #10
Stalkning
Medlem
Citat:
Ursprungligen postat av wizstrict
Det faktumet att support kan få fram okrypterade lösenord har inget som helst med att göra med tillförlitlig lagring eller ej. (även om det är mycket möjligt att dom lagrar i klartext)

Däremot kan man ju diskutera förfarandet med att skicka dom per epost i klartext.....

Hur föreslår du annars att de ska skicka ut det?
Citera
2011-11-03, 01:38
  #11
im3w1l
Medlem
Lösnord ska vara hashade och saltade. Det är ingen match för hackare att knäcka osaltade hashar

EDIT: wizstrict: det har det visst. Om lösenorden vore hashade skulle det inte gå. Stalking: inte alls. det finns ett skäl till att seriösa hemsidor ber en att skapa ett nytt lösenord: det går inte att få fram det gamla
__________________
Senast redigerad av im3w1l 2011-11-03 kl. 01:41.
Citera
2011-11-03, 01:45
  #12
Rutgervonapa
Medlem
Möjligen lite OT men var det inte även Brandos som inte ville ha Sverige demokrater som kunder? Har för mig att de stod för yttrandefrihet och demokrati men ville inte sälja varor till någon som röstat på SD.

Bojkotta hela skiten imo. Verkar vara ett rikitigt b-företag
Citera
Svara
  • 1
  • 2

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in