Webbhotell med bristande lösenordshantering

Tråden skapades och har fått 7 svar. Det senaste inlägget skrevs .
1

Har postat detta på ett annat forum, men det vore intressant att höra vad ni tycker om det med.

Året har ju börjat med många attacker mot stora sidor. TV3, Aftonbladet, Bilddagboken, Efterfesten och Mecenat är väl de som fått lite extra uppmärksamhet. I minst två av fallen (Efterfesten och Mecenat) visade det sig att de hade lagrat lösenorden i klartext.

Sådant får mig att undra över varför lösenorden inte hashas (och saltas). Det rör sig ju inte precis om någon avancerad process...

För er som inte vet vad en "hash" är så är det helt enkelt en sorts enkelriktad "kryptering" (förenklat).

Det fick mig att börja undra hur webbhotell sköter sig. Personligen är jag kund hos både Loopia och Binero, så det blev helt enkelt dem jag kollade närmre på

Jag har sammanställt det hela lite mer i detalj i följande artikel: http://www.gate303.net/2008/01/28/loopia-brister-i-sin-hantering-av-losenord/

För att sammanfatta det hela kortfattat så verkar det som att Loopia ignorerar ifall man skriver lösenordet med stora eller små bokstäver, enbart a-z och 0-9 tillåts, man är begränsad i längd och dessutom verkar det som att de lagrar lösenordet i klartext eller med en kryptering som är reversibel (det går att dekryptera med andra ord).

Hos Binero skiljde inte inloggningssystemet på stora och små bokstäver, men i övrigt så kunde man ha vilka tecken man ville, jag hittade ingen längdbegränsning på lösenordet och det verkade också som att de hashar sina lösenord. Det sista bygger jag på hur deras "glömt lösenord"-funktion fungerar, den visar nämligen inte upp ens lösenord (som Loopias gör) utan genererar helt enkelt ett nytt åt en.

Jag mailade båda företagen och påtalade vilka brister de hade och skrev även att jag hoppades att de skulle fixa till svagheterna.

Binero återkom snabbt med ett trevligt svar och rättade till sin miss på direkten. Loopia tog längre tid på sig att svara och återkom med ett svar som mest liknade "Vi har tagit emot dina synpunkter".

Hur är det på de webbhotell ni använder er av? Är det vanligt att de inte gör skillnad på stora och små bokstäver i lösenorden? Får ni ha "specialtecken" (punkt, komma, utropstecken och så vidare)? När ni använder funktionen för "glömt lösenord", får ni då se ert lösenord eller genereras ett nytt åt er?

Tack för en jättebra undersökning. Man borde utöka den egentligen. Så länge tänker jag kontakta loopia (som jag använder friskt) och upplysa dem om att problemet är känt. Jag föreslår att alla som är kunder där gör detsamma!

Citat:

Hej,

Jag är kund hos er sedan länge och köper alla mina och mina klienters domäner hos er. Jag är mycket nöjd med era tjänster. Nu har det dock kommit till min kännedom att man genom att använda er "glömt lösenord"-funktion kan återfå sitt gamla lösenord, vilket tyder på att ni antingen lagrar det i klartext eller krypterar det med hjälp av en reversibel algoritm. Detta är förkastligt och oerhört omodernt, samt något som inte passar en ledande aktör på marknaden.

Jag hoppas att ni tar till er av kritiken och väljer att snarast möjligt hasha samt salta era lösenord (era tekniker vet precis vad de ska göra) och jag ser fram emot fortsatt samarbete med er.

Tack på förhand
Vänliga hälsningar
Richard Olsson

Senast redigerat 2008-02-03 10:07
  • Medlem
  • Stockholm
  • 2008-06-18 16:16

Hmmm... One.com, som jag använder, har samma dåliga lösning.

Richard, jag gjorde som du. Återkommer med det svar jag eventuellt får.

//Seb

  • Medlem
  • Stockholm
  • 2008-06-19 00:10

Tack för att du delgav ditt brev Richard och jag hoppas du inte har något emot att jag mer eller mindre plankade av det till One där vi har våra "projketsajter"

  • Medlem
  • Stockholm
  • 2008-06-19 11:15

hha, Katinka, skickade du också till one.com?

Detta är vad jag fick för svar:

Hejsan!

Det är på gång.

Med vänlig hälsning / Best Regards

SUPPORTEN
----------------------------------
One.com

Web-site: One.com Webbhotell..-..Domän • Hemsida • E-mail

Senast redigerat 2008-06-19 13:02
  • Medlem
  • Stockholm
  • 2008-06-19 11:21

Japp, men har inte fått svar ännu
Jag tänkte att spottar man tillräckligt mycket på en sten så blir den blöt

  • Medlem
  • Stockholm
  • 2008-06-19 13:02

Jag frågade om tidsplanen:

Hejsan!

Vi har inga releasedatum. Hela vårt supportsystem
och hanteringssystem byggs om som följd och
det är ett mycket omfattande arbete som just
nu pågår.

Med vänlig hälsning / Best Regards

SUPPORTEN
----------------------------------
One.com

Web-site: One.com Webbhotell  -  Domän • Hemsida • E-mail
---------------------------------

Helt rätt tänkt. Rekommenderar du SHA eller MD5 med salt?

1
Bevaka tråden