Forum Övrigt Nyhetskommentarer Tråd Inlägg

Dustin i blåsväder för lösenord i klartext

1 2 3 4 5 6 7 8
Skriv svar
Permalänk
Medlem
Skrivet av Paradoxnode:

Man ska inte bara klaga på Dustin utan borde ta till det och se till att man faktiskt alltid har ett unikt lösenord. Man kan inte lita på användardata lagras säkert, för lösenorden hade läckt ut även om Dustin hackades. Hashat eller inte är ett litet hinder för vissa.

Gå till inlägget

Men som det är nu så räcker det med en bitter anställd utan några större kunskaper för att orsaka kaos och oreda för ett antal kunder.

Visa signatur

CPU: i9-13900K + Cooler Master ML360L ARGB V2 || GPU: Gainward RTX 4090 Phantom GS.
MoBo: Asus Rog Strix Z790-F Gaming || RAM 32 GB Kingston Fury Beast CL40 DDR5 RGB 5600 MHz.
PSU: Corsair RMe 1000W 80+ Gold || Chassi: Phanteks Eclipse P500A D-RGB.
Lagring: Kingston Fury Renegade M.2 NVME 2TB + Samsung 860 QVO 1TB.
Skärmar: 27" 1440p 144 Hz IPS G-sync + 27" 1440p 155 Hz VA || OS: Win 11 Home.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Korkskruv:

Spelar ingen roll hur Dustin väljer att spara sina lösenord, det påverkar ändå inte säkerheten. Återställningslösenorden skickas ändå helt i klartext direkt över internet!

Gå till inlägget

Ett återställningslösenord byter man väl ändå ut "direkt" när man fått det?

Fo3

Visa signatur

“There will be people that are burdened by only having the capacity to see what has always been instead of what can be.
But don’t you let that burden you.”

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av AnnoyingIB:

Vad är det som är fel på ett saltat SHA-256?

Gå till inlägget

Att man kan ta fram lösenordet på nolltid

Redigera
Citera flera Citera
Permalänk
Medlem

Nu när vi diskuterar säkerhet varför använder ingen av webb butikerna https?

Visserligen är risken lägre men det spelar ingen roll om lösenorden är hashade och saltade om någon plockar dem innan de når butiken.

Edit: Måste vara något konstigt hos mig då det blir rätt i Firefox men fel i Chrome.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

En ny användare skrev något väldigt smart på dustins forumdel här.

#14128226

Skrivet av mattec75:

Läste den här tråden av en slump och registrerade precis ett konto enbart pga detta. Jobbar som IT Manager på ett medelstort företag.

Citatet ovan stämmer nog inte helt med verkligheten. Kanske brister rutinerna ibland?

Vi handlar ofta av er som företagskund. Jag beställde två artiklar till ett nytt lokalkontor i Stockholm så sent som förra veckan. Det skedde ingen motringning i det fallet (har inte skett ännu åtminstone), även om jag angav en helt ny leveransadress (med ordinarie fakturaadress). Jag vet i ärlighetens namn inte om varorna levererats ännu, men vi har i vilket fall som helst fått fakturan. Skall kolla upp om varorna anlänt imorgon.

Lösenordslagring i klartext är illa. Jag är högst medveten om problematiken med kontouppgifter vid ett systemskifte och förstår att det inte kommer att lagras på annat vis innan skiftet är genomfört. Risken för att bli "hackad" är inte heller alltid så stor som många tycks tro, särskilt när det gäller interna system. MEN... att er supportpersonal har tillgång till kundernas inloggningsuppgifter i klartext är ett bekymmer. Sekretessavtal eller ej, det är människor det handlar om och människor är nyfikna av naturen. Och eftersom det bland folk i allmänhet är oerhört vanligt att man använder samma mailadress och lösenord till flertalet tjänster är det en stor brist.

Lyckligtvis bör det inte kräva ett byte av affärssystem för att ändra på den lilla detaljen. Det torde inte kräva en särskilt stor förändring av ert befintliga system (egenutvecklat, läste jag det någonstans i tråden?) att stänga den egna personalens tillgång till lösenorden åtminstone. Och det bör inte vara något som kan ställa till problem i det befintliga systemet.

Och till alla er som gastar om folk i gemen inte är säkerhetsmedvetna - nej, jag anser inte att folk får "skylla sig själva" eller liknande. Jobbar man inte med IT och säkerhet så kan man inte avkrävas ett säkerhetsmedvetet IT-beteende. Lika lite som man får "skylla sig själv" om man drabbas av en sjukdom som kunnat undvikas om man var medveten om dess smittorisk och spridningsvägar. Släpp det. Det är vår uppgift som arbetar med teknisk IT att tillhandahålla säkerhet och användarvänlighet och gör vi inte det har vi misslyckats.

Jaja, som sagt, att stänga dustinpersonalens möjlighet att se kundernas lösenordsuppgifter bör vara en relativt smal sak och kräver inte att man byter affärssystem. Men det nu aktuella medialjuset på Dustin är det en förändring som borde göras omgående, om inte annat så för att kunna gå ut med att man arbetar på att lösa problemet och minska riskerna. Det är inte en god strategi att sticka huvudet i sanden eller hänvisa till ett nytt system som kan komma att lanseras nästa år.

Gå till inlägget
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av reconnnn:

Nu när vi diskuterar säkerhet varför använder ingen av webb butikerna https?

Visserligen är risken lägre men det spelar ingen roll om lösenorden är hashade och saltade om någon plockar dem innan de når butiken.

Gå till inlägget

Komplett: https
inet: https
webhallen: https
Dustin: https

Dustin och webhallen har bara "inloggningselementen" som https vilket gör att det inte är lika tydligt.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av betan:

Komplett: https
inet: https
webhallen: https
Dustin: https

Dustin och webhallen har bara "inloggningselementen" som https vilket gör att det inte är lika tydligt.

Gå till inlägget

Failade jag eller för när jag går till någon av de sidorna med https blir jag bara om dirigerad till en http sida.

Edit: Testade nu i firefox och då gör den helt rätt men i chrome står det bara unverified.

Edit2 : blir rätt på google och facebook.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av reconnnn:

Failade jag eller för när jag går till någon av de sidorna med https blir jag bara om dirigerad till en http sida.

Gå till inlägget

När jag trycker på logga in på reskpektive sida får jag upp dessa sidor:
https://www.komplett.se/k/signin.aspx
https://www.inet.se/loggain

webhallen och dustin har som sagt bara inloggningsdelarna i https och där är det bara att kolla i koden för sidan och se att det är https.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av betan:

När jag trycker på logga in på reskpektive sida får jag upp dessa sidor:
https://www.komplett.se/k/signin.aspx
https://www.inet.se/loggain

webhallen och dustin har som sagt bara inloggningsdelarna i https och där är det bara att kolla i koden för sidan och se att det är https-anrop.

Gå till inlägget

De sidorna blir rätt. Skumt! men då tar jag tillbaks min kritik och är nöjd över detta istället :D.

Redigera
Citera flera Citera
Permalänk
Medlem

Jobbar man som IT support har man garanterat tillgång till sånt som man inte bör ha tillgång till för "den goda sakens skull" när man faktiskt ska försöka hjälpa folk (om dom inte vill sitta i 5 timmar telefon till Indien), men hur i helvete kan någon i hela världen tro att lösenord ska synas i klartext, oavsett system?!?! Vilka nötter designade Dustins inloggningsystem??? Det ska vara krypterat och helt låst för insyn. Om en användare har problem att logga in med sitt lösen, ja då skickar man automatiserade reset mail.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag är väl inte den som tar på foliehatten men detta var riktigt tråkigt :/. Känns även en aning oprofessionellt.

Visa signatur

|AMD Ryzen 9 5900X| |ASUS ROG Strix B550-F| |Crucial Ballistix 32GB CL16@3600MHz| |PNY RTX 4090 XLR8 Gaming| |Samsung 990 Pro 2TB| |Samsung 970 Evo Plus 1TB| |Samsung 860 Evo 1TB| |Corsair RM1000| |Fractal Design Define R5| |LG OLED 48" C2 Evo|

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av betan:

Komplett: https
inet: https
webhallen: https
Dustin: https

Dustin och webhallen har bara "inloggningselementen" som https vilket gör att det inte är lika tydligt.

Gå till inlägget

Tyvärr hjälper det inte alls att bara skicka uppgifterna över HTTPS. Bara du laddar inloggningsformuläret över HTTP är det precis lika osäkert som om allting skedde över HTTP så den enda sidan som gör rätt här är Inet.

För den som vill veta varför hänvisar jag återigen till Troy Hunt: http://www.troyhunt.com/2013/05/your-login-form-posts-to-http...

Redigera
Citera flera Citera
Permalänk
Medlem

bra jobbat Dustin... tycker detta visar noll respekt för sinna kunder...
Men bara en fråga..lagrar man sitt kredkort på kontot..eller är det bara namn och address ?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Macke_BMRSweden:

Jag tycker hela Dustin är ett stort skämt, jag ha aldrig handlat där inte ens vill kolla på deras produkter, känns liksom en kriminell sida.

Gå till inlägget
Skrivet av Macke_BMRSweden:

Jag ha aldrig gillat den sidan, man få ju ingen bild av personligheten av Dustin genom sidan. För att designen på den sidan ser ut som en värsta kriminell sida.

Gå till inlägget

Mm, djävla banditer de är på Dustin alltså. Stjäl allas lösenord och hackar dem på andra sidor genom det. Usch och fy för kriminella företag!

...nej. Förlåt, men dina inlägg får mig att undra hur det egentligen står till. Dustin är nog bland de mest seriösa återförsäljare som finns i Sverige idag och bortsett från detta så måste jag säga att de nog är det bästa företaget jag har haft att göra med tillsammans med Webhallen. Tror bestämt att de fattar vilket snedsteg detta är och ordnar det.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Zeta Two:

Tyvärr hjälper det inte alls att bara skicka uppgifterna över HTTPS. Bara du laddar inloggningsformuläret över HTTP är det precis lika osäkert som om allting skedde över HTTP så den enda sidan som gör rätt här är Inet.

För den som vill veta varför hänvisar jag återigen till Troy Hunt: http://www.troyhunt.com/2013/05/your-login-form-posts-to-http...

Gå till inlägget

Men då är det väl "bara" dustin och webhallen som gör fel, Komplett laddar ju sidan: https://www.komplett.se/k/signin.aspx som är https?

Redigera
Citera flera Citera
Permalänk
Medlem

Är inte kund hos Dustin, va skönt då slipper man byta lösen

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

avast Easypass

Visa signatur

Detta är min e-penis. Håll tillgodo: 8=====o

Redigera
Citera flera Citera
Permalänk
Medlem

Mycket dålig stil! Detta är något man antar att små hemmasnickrade forum kör med men verkligen inte en stor datorförsäljare som vill försöka verka modern och i framkant. Uselt!

Redigera
Citera flera Citera
Permalänk
Medlem

Riktigt jävla ruttet, Dustin.

Visa signatur

Mjo

Redigera
Citera flera Citera
Permalänk
Medlem

Riktigt illa! Finns ingen ok ursäkt för att inte kryptera. Det är ju direkt inte heller svårt att slänga på en salt, kryptera och iterera.

Visa signatur

| i7 920 | UD5 | 6GB | 3TB | Intel SSD 80GB | Antec P182 |
http://webbutveckla.nu - Blogg om webbutveckling

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av betan:

Men då är det väl "bara" dustin och webhallen som gör fel, Komplett laddar ju sidan: https://www.komplett.se/k/signin.aspx som är https?

Gå till inlägget

Jag missade dem i listan. Tog en närmare titt nu. Vid första anblick ser det väldigt bra ut. De faller däremot på en annan punkt. De loggar bara in över HTTPS men fortsätter sedan resten av kommunikationen över HTTP. Detta betyder att en anfallare kan plocka sessions-cookien och ta över den inloggade sessionen, dock utan att få reda på lösenordet.

Jämför detta med Inet där du fortsätter att vara på HTTPS när du är inloggad. Tyvärr lyckas inte ens de helt perfekt då de fortfarande tillåter att tvinga HTTP medan man är inloggad samtidigt som autentiserings-cookien inte är HTTPS-only.

Nu närmar vi oss däremot väldigt små säkerhetshål.

Kortfattat: Inet lyckas bättre än Komplett som båda lyckas mycket bättre än Webhallen och Dustin.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag hoppas Webhallen menar att de hashar och inte krypterar sina lösenord. Har du krypterat så har du även nyckel någonstans. Och får du tag i den har du allas lösenord i klartext. Adobe gjorde det med sina 130 miljoner konton och får ta en hel del skit för det. Hash vill vi ha! Hash!

Edit: Det jag EGENTLIGEN ville ha sagt är att hashning och kryptering inte är samma sak. Inget företag med respekt för sina kunder ska kryptera lösenord.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Vet inte ens vilket lösenord jag använder där, men gick och gjorde en password reset.

Jag tänker inte stödja en internetbutik som inte ens klarar detta. Tråkigt för dem då mitt senaste inköp från dem låg på över 4000kr.

Skrivet av anon81912:

VAD I HELA FRIDEN! Detta var det dummaste jag hört, problem som dessa har varit lösta sedan 1950 talet. Hur kan någon skriva en funktion som denna. Jag blir helt arg bara av att höra att någon kan få betalt för att genomföra ett sånt genomuselt arbete...

Hoppas verkligen att de lagrar kreditkortsnummer och sådant krypterat.

Gå till inlägget

Om Dustin lagrar lösenord i klartext så tror jag inte att de uppfyller kraven (certifikat) att få hantera kreditkortsuppgifter heller.

Visa signatur

AMD 5700X@Vatten | asus prime x370pro | Asus 2080 Strix | 2x16GB Kingston Fury Renegade RGB DDR4 3.6GHZ | Lian Li O11d EVO + 2x240 EKWB RAD + 6 Lian Li AL120 | CoolerMaster V850 | NVME 2TB Seagate Firecuda 510 + NVME 1TB WD BLACK + 3 SSD | Samsung Odyssey 49" G9| DELL 2713HM | Varmilo VA69 Clear/brown | Logitech G502 2016.

Phenom X6 1045T | Corsair TWIN2X PC6400C4DHX 2x2GB + Crucial Ballistix Sport 2x2GB | Gigabyte ma785gmt-us2h | Silverstone Temjin 08 | Corsair VX450

Redigera
Citera flera Citera
Permalänk
Medlem

Asså, till o med min minecraft server hade Hash+Salt, hur SVÅRT KAN DET VARA???

Visa signatur

Intel i7 8700k @ 5.0GHz | Asus Rog Strix Z370-H | FD R5 | Strix Gtx 1080 ti | 16Gb Corsair Vengeance LPX 3600Mhz | Samsung 850-Series EVO 500GB | WD Caviar Black 500Gb | WD RE4 1TB x2 i Raid 1 | MK-85 <3 Cpu-Z Gamla

Citera, annars kommer jag inte tillbaka!

Redigera
Citera flera Citera
Permalänk
Medlem

Jag blev inte alls förvånad. Jobbade ett tag på Comhem support där jag kunde ta fram personers lösenord. Jag visste dock att när jag gjorde detta loggades handlingen i databasen. Själv tycker jag att man självklart krypterar lösenord.

Redigera
Citera flera Citera
Permalänk
Hjälpsam
Skrivet av Dummyer:

Jag blev inte alls förvånad. Jobbade ett tag på Comhem support där jag kunde ta fram personers lösenord. Jag visste dock att när jag gjorde detta loggades handlingen i databasen. Själv tycker jag att man självklart krypterar lösenord.

Gå till inlägget

Vilka login/lösen då. De till deras ISDN eller deras kundsidor på ComHems hemsida?

Visa signatur

Allt jag säger/skriver här är mina egna åsikter och är inte relaterade till någon organisation eller arbetsgivare.

Jag är en Professionell Nörd - Mina unboxing och produkttester (Youtube)
Om du mot förmodan vill lyssna på mig - Galleri min 800D med 570 Phantom SLI

Redigera
Citera flera Citera
Permalänk
Medlem

Right, så nu vet i princip alla att dustin kör med okrypterade lösenord. Och att de inte planerar att fixa det snart.

Hoppas seriöst att deras it avdelning inte varit lika inkompetent när det gäller att skydda servrarna från obehöriga. För det kommer blir rejäl aktivitet där.

Redigera
Citera flera Citera
Permalänk
Medlem

Urk, riktigt dåligt!

Egentligen borde man inte lita på att någon hanterar ens lösenord på ett säkert sätt utan istället köra unika lösenord för varje webbsida.
Men jag är lite för lat för det.

Visa signatur

Solen i africa! Hjälp snabbt. Tävling i klassen!
Det var High noon.
Om solen i Africa en truckförare kommer från East till Weast på huvudvägen. och exact vid eqvatorn vid Africa. Landskapet är totalt slät. På en tidpunkt var solen så ett par telestolpar gjorde så att det blev skugga.
3 gissar jag på, men kan inte förklara?

Redigera
Citera flera Citera
Permalänk
Medlem

Detta är helt oacceptabelt och otroligt pinsamt för Dustin. Amatörmässigt och helt utan hänsyn till kundernas säkerhet och integritet. Vad är det för rötägg som har gjort denna implementation undrar man..

Visa signatur

Athlon XP 2100+ AIUHB 0302 | Epox 8RDA+ | 2x256MB Twinmos CL2 | Radeon 9500 @ 9700 Vcore & Vram mod | RIP

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av lillpeparoni:

Bytte mitt lösenord och ringde och bad dem inaktivera kontot efter det. Tyvärr blir man ju av med garantin om man ber dem radera alla ens uppgifter i systemet.

Gå till inlägget
Skrivet av Minsc S2:

*Lösenord ändrat*
Passade även på att ta bort mitt person-nr.

Hade det inte varit för att jag antagligen bryter garantin på ett GTX 660 Ti som jag inhandlade där åt en kompis i våras, så hade jag antagligen stäng när kontot helt och hållet.
Inte bra skött Dustin, och inget bra svar heller.

Hade varit ganska ironiskt om Dustin vann Sweclockers tävling för årets nätbutik nu.

Gå till inlägget

Ni behöver inte oroa er för garantin. Det är tillverkaren som står för den, så ni kan alltid kontakt tillverkaren direkt.

Visa signatur

Lian-li PC-011 Dynamic Corsair RM750x ROG STRIX X570-E GAMING 5950X NZXT Kraken Z73 32GB Corsair Dominator 3200MHz Gigabyte 6800XT Master Corsair MP600 1TB + Toshiba NVMe 512GB Vertex Pok3r MX Brown Acer Predator XB323UGX Logitech G502+ & Powerplay ...lagrar gör jag på Synology 920 32TB.

Redigera
Citera flera Citera
1 2 3 4 5 6 7 8
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara