Brandos.se krypterar ej lösenord (?)

Precis min poäng....typ.
Hashing är när ett värde beräknas till ett annat, oftast mindre, i syfte att lagra effektivare. Att återställa ursprungsvärdet är kanske inte möjligt, beroende på algoritm och resultatets datastorlek. Därför kan det vara attraktivt att använda detta vid lagring av lösenord.
Vid kryptering är som regel syftet att förvanska värdet så att det blir obegripligt för tredjepart, men fortfarande återställbart för den invigde.

Md5 Hashing är nästan standardlösning idag bland alla sajter då det är enkelt och det är nästan att jämställa med klartext idag vad gäller säkerhet.
Men det finns (dock mindre vanligt) de som faktiskt krypterar hemligheter såsom lösenord.

Så att utifrån ett klartextlösen i mail från supporten kan man nog inte dra slutsatser om själva lagringen.

Okej.

Så låt oss säga att de hashar en användares lösenord när de registrerar sig, med t.ex. sha256 eller md5, och även saltar det med en nyckel som ligger i deras webbapplikation.

Då skulle alltså både glömt lösenord-funktionen och kundtjänst behöva gissa sig fram tills de hittar rätt hash, eller utnyttja sårbarheter i algorithmen.

Det är de enda sätten jag kan komma på.

Men det känns väldigt onödigt och lite dumt att kryptera lösenord. Hashning är väl ändå det självklara valet.

Att maila ut lösenord i klartext över okrypterade kanaler verkar synnerligen dumt. Det är nästan lika bristfälligt som att lagra lösenorden direkt i klartext.

Fast ligger saltet sparat tillsammans med lösenordet så tillför inte saltet så värst mycket i säkerhet. För lösenord ska man använda bcrypt eller scrypt. Att använda MD5 eller nån SHA känns fel.

ja, för deras ändamål.

För att återgå till topic..

Jag tittade in på vad det krävs för att bli "trygg e-handlare" och det verkar ju mest vara om garantier, juridik, konsumenträtt... och säkra betalningar (PCI DSS). Inom PCI DSS beskriver bara hur kreditkortsuppgifter skall hanteras.
Den listan känns faktiskt inte anpassad för ehandel utan handel i fysisk butik då INGET om just god säkerhet för användarkonton men lagring, överföring (https) och användarintegritet (lämna ut/sälja epostadresser).
Dom borde byta namn på det till "trygg handel".

Nu folk på ajour börja uppmärksamma detta också.

http://ajour.se/sveriges-storsta-skoaffar-pa-natet-skyddar-inte-sina-kunders-losenord/

Där ser man, hänvisning till denna tråd och allt.

Det kan inte varit så att de var hashade men un-hashas och sen skickas i klartext?

Det faktum att kundtjänst har tillgång till öppna lösernord ger också att vem som helst har det, i fallet då man har tillgång till databas eller programvara.

Med tanke på hur bristfällig kunskap delar av personalen i kundtjänsten har så skulle det inte förvåna mig om man skulle kunna snacka sig till andras lösenord.

Typ.

Skapa inloggning med mailen kalle_jonsson93@hotmail.com. Vänta några dagar, sedan maila dem från kalle_jonsson93@gmail.com och säga att ens hotmail blev otillgänglig eller liknande. Skulle inte förvåna mig om dem skulle gå med på att plocka fram lösenordet.

Nån som har tid och ork att prova detta?

Eller ändra "reply-to" och "sent-from" för att se om de kollar headers . Fast sådana mail kanske hamnar i deras skräppost direkt. Lite enklare att testa än det exemplet.

Edit:
Tänkte lite mer, kom på att man antagligen behöver skapa en ny mail som man måste skriva in reply-to som, så länge den är hyffsat snarlik kanske det går vägen.