• 1
  • 2
2025-01-17, 00:00
  #1
Medlem
fittanstickerframs avatar
Flashback har ändrat sina krav på lösenord:

Citat:
Lösenordet måste vara minst 8 tecken, innehålla minst en stor bokstav, en liten, en siffra samt minst ett av de här tecknen *.!@#$%^&(){}[]:;,.?/~_+-=|

Ändringen infördes utan att informera användarna.

Det är nog många konton som skapats innan ändringen infördes som idag har lösenord som inte skulle godkännas med de nya kraven.

Jag föreslår att användare med svaga lösenord får en notis (ett krav?) om att ändra lösenord. Om det är för bökigt kanske ändringen kan kommuniceras av admin under menyn som pepparkakstävlingen.
Citera
2025-01-17, 00:28
  #2
Medlem
Finns tillräckligt med sjuka lösenordskrav på andra hemsidor.

Flashback är inte en bank.

Det räcker gott och väl med ett enkelt lösenord som man lätt kommer ihåg istället för att börja fundera om det var en stor bokstav i början och ett frågetecken i mitten så an inte orkar logga in utan skiter i de istället för att börja trycka glömt lösenord och tvingas logga in på mejlet och hitta på ännu ett svårt lösenord som man glömmer efter några timmar.
Citera
2025-01-17, 06:19
  #3
Medlem
Inloggning med bankid: klatt å betatt
Citera
2025-01-17, 06:22
  #4
Medlem
Pinoputchins avatar
Citat:
Ursprungligen postat av drKickass
Inloggning med bankid: klatt å betatt
Du skojar hoppas jag.

Citat:
Ursprungligen postat av Blatteman
Finns tillräckligt med sjuka lösenordskrav på andra hemsidor.

Flashback är inte en bank.


Det räcker gott och väl med ett enkelt lösenord som man lätt kommer ihåg istället för att börja fundera om det var en stor bokstav i början och ett frågetecken i mitten så an inte orkar logga in utan skiter i de istället för att börja trycka glömt lösenord och tvingas logga in på mejlet och hitta på ännu ett svårt lösenord som man glömmer efter några timmar.
Håller med i sak. Men kanske det finns andra fördelar med ett krångligt lösen. "De ryska bottarna"
Citera
2025-01-17, 07:15
  #5
Moderator
vhes avatar
Citat:
Ursprungligen postat av fittanstickerfram
Jag föreslår att användare med svaga lösenord får en notis (ett krav?) om att ändra lösenord.

Flashback vet inte vad användare har för lösenord, så det är går inte att bedöma vilka som har "svaga" lösenord.

Det finns en massa andra problem med förslaget, men de behöver inte diskuteras då det faller redan på ovanstående.
Citera
2025-01-17, 07:27
  #6
Medlem
fittanstickerframs avatar
Citat:
Ursprungligen postat av vhe
Flashback vet inte vad användare har för lösenord, så det är går inte att bedöma vilka som har "svaga" lösenord.

Det finns en massa andra problem med förslaget, men de behöver inte diskuteras då det faller redan på ovanstående.

När lösenordet tas emot och hashas kan man köra exakt samma funktion som kontrollerar styrkan och sätta en cookie eller vad som helst.

Flashback behöver inte ”veta” lösenordet för att kontrollera styrkan. Låt oss inte låtsas att det är omöjligt att behandla data som postats i ett formulär. Hashningen är serversidig, det görs med PHP.
Citera
2025-01-17, 07:37
  #7
Medlem
fittanstickerframs avatar
Citat:
Ursprungligen postat av Pinoputchin
Håller med i sak. Men kanske det finns andra fördelar med ett krångligt lösen. "De ryska bottarna"

Är det en fördel att de ryska brottarna har starka lösenord eller menar du att bottarna skulle forcera folks lösenord?

Ifall du menar det sistnämnda så gör det ingen skillnad för konton skapade med svagare lösenord innan de nya kraven. Om det är syftet är det direkt kontraproduktivt att inte berätta det för någon.
Citera
2025-01-17, 07:41
  #8
Moderator
vhes avatar
Citat:
Ursprungligen postat av fittanstickerfram
När lösenordet tas emot och hashas kan man köra exakt samma funktion som kontrollerar styrkan och sätta en cookie eller vad som helst.

Fair enough. Backar där.
Citera
2025-01-17, 10:01
  #9
Avstängd
Citat:
Ursprungligen postat av fittanstickerfram
När lösenordet tas emot och hashas kan man köra exakt samma funktion som kontrollerar styrkan och sätta en cookie eller vad som helst. .
borde gå att implementera på användarsidan snarare än i servern med.

annars är väl knappast hasharna för de simpla och mest använda lösenorden hemliga, Om man tvunget ska göra något med lösenorden på serversidan.
__________________
Senast redigerad av litenfiskare 2025-01-17 kl. 10:30.
Citera
2025-01-17, 12:25
  #10
Medlem
tempeZZts avatar
Citat:
Ursprungligen postat av fittanstickerfram
Flashback har ändrat sina krav på lösenord:



Ändringen infördes utan att informera användarna.

Det är nog många konton som skapats innan ändringen infördes som idag har lösenord som inte skulle godkännas med de nya kraven.

Jag föreslår att användare med svaga lösenord får en notis (ett krav?) om att ändra lösenord. Om det är för bökigt kanske ändringen kan kommuniceras av admin under menyn som pepparkakstävlingen.

Det är ju inte Flashbacks sak att se till att användarna har starka lösenord, det ligger på användarna själva.

Av samma orsak finns det ingen anledning till att ge befintliga användare någon tillsägelse om lösenordet och de nya får ju det vid registrering.
Citera
2025-01-17, 17:47
  #11
Medlem
fittanstickerframs avatar
Citat:
Ursprungligen postat av litenfiskare
borde gå att implementera på användarsidan snarare än i servern med.

annars är väl knappast hasharna för de simpla och mest använda lösenorden hemliga, Om man tvunget ska göra något med lösenorden på serversidan.

En klientsidig lösning vore bräckligare och drygare att underhålla.

Dessutom vore det en direkt säkerhetsrisk eftersom klientsidig hashning är samma sak som att lagra lösenord i klartext i databasen. Läcker databasen innehåller den nämligen samma värden som klienten behöver skicka för att logga in, vilket har samma effekt som lösenord i klartext.

Jo, hashar även för simpla lösenord är hemliga. Det är standard praxis att salta lösenordshashar.

Citat:
Ursprungligen postat av tempeZZt
Det är ju inte Flashbacks sak att se till att användarna har starka lösenord, det ligger på användarna själva.

Uppenbarligen tycker Flashback annorlunda. Annars skulle de inte ödslat tid på att stärka kraven.

Eller menar du att ändringen skulle ha gjorts omedvetet?

Det tar 1 minut att skriva en tråd i Viktiga meddelanden, men jag förstår av att du blir hård av att säga emot folk.
__________________
Senast redigerad av fittanstickerfram 2025-01-17 kl. 17:50.
Citera
2025-01-17, 19:06
  #12
Avstängd
Citat:
Ursprungligen postat av fittanstickerfram
En klientsidig lösning vore bräckligare och drygare att underhålla.

Dessutom vore det en direkt säkerhetsrisk eftersom klientsidig hashning är samma sak som att lagra lösenord i klartext i databasen. Läcker databasen innehåller den nämligen samma värden som klienten behöver skicka för att logga in, vilket har samma effekt som lösenord i klartext.

Jo, hashar även för simpla lösenord är hemliga. Det är standard praxis att salta lösenordshashar.


Menade faktiskt inte att det jag föreslog skulle innefatta en klartext-sändning av lösenord genom internet, men men jag har tid att bespara och sålänge ingen moderator eller admin själv visar någon som helst intresse i TS så avstår jag från att diskutera saken närmare än så här
Citera
  • 1
  • 2

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in