Gå till innehåll

Lösenord sparas i klartext!

jezaja

Av jezaja
i 24hPoker

 Share

Recommended Posts

jezaja Advanced Member

jezaja

Postad
Postad

Har hänt några gånger att konton på B2B-nätverket timar ut efter 90 dagar och man måste fylla i email, födelsedata samt security question för att aktivera det igen.

 

Då skickas ett mail med lösenordet ut! Lösenordet finns lagrat i en databas, i KLARTEXT!

Inte ens på de mest oviktiga communities sparas lösenord i klartext!

 

Och varför skall lösenordet skickas ut när kontot "timeat" ut? Jag har ju själv skrivit in lösenordet en gång korrekt för att ens komma till aktiveringen.

Länk till kommentar
Dela på andra webbplatser
swalc Newbie

swalc

Postad
Postad

Jag tvivlar inte på att du har rätt när du säger att lösenordet är sparat i klartext (jag vet att detta var (är?) sant för exempelvis neteller och att support hade tillgång till lösenordet). Potentiellt kan det vara värre att skicka lösenordet i ett mail (för jag antar att mailet var okrypterat) än att det ligger i klartext i den interna databasen.

 

Dock så betyder inte det faktum att ett mail skickas ut med lösenordet att lösenordet är sparat i klartext. (Jag tolkar ditt inlägg som att du gör denna koppling.) Det KAN vara så att lösenordet är krypterat i databasen. Det du nog menar är att det ej kan vara hashat som är en ganska vanlig lösning i de fall då man inte behöver kunna få fram ett förlorat lösenord.

 

Självklart håller jag med om det absurda att skicka ut ett mail med lösenordet i om man för att få detta mail måste ha tillhandahållit sitt lösenord.

Länk till kommentar
Dela på andra webbplatser
jezaja Advanced Member

jezaja

Postad
  • Författare
Postad
Jag tvivlar inte på att du har rätt när du säger att lösenordet är sparat i klartext (jag vet att detta var (är?) sant för exempelvis neteller och att support hade tillgång till lösenordet). Potentiellt kan det vara värre att skicka lösenordet i ett mail (för jag antar att mailet var okrypterat) än att det ligger i klartext i den interna databasen.

 

Dock så betyder inte det faktum att ett mail skickas ut med lösenordet att lösenordet är sparat i klartext. (Jag tolkar ditt inlägg som att du gör denna koppling.) Det KAN vara så att lösenordet är krypterat i databasen. Det du nog menar är att det ej kan vara hashat som är en ganska vanlig lösning i de fall då man inte behöver kunna få fram ett förlorat lösenord.

 

Givetvis kan det vara krypterat med ett tvåvägskrypto men är ju inte säkrare än klartext i de flesta fall.

Kanske ligger i flera olika databaser, med nycklar och salt separat men då hade det väl inte varit något problem för 24hPoker att tillrättavisa mitt påstående.

Länk till kommentar
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gå till ämneslista
×
×
  • Skapa nytt...