onsdag 16 januari 2008

Digitala inbrottsförsök

Det här året har börjat med flera intrång på stora sajter där databaser med lösenord har publicerats på nätet. Nu senast var det Efterfesten.com, men tidigare har Bilddagboken, TV3 och Aftonbladet fått sina inloggningsuppgifter spridda. Ett stort problem är att vissa sidor lagrar lösenorden i klartext. Ett annat är att folk ofta använder samma lösenord på flera olika sidor. Gör inte det. Vad som händer är att du kanske registrerar dig som medlem på Efterfesten.com med ditt vanliga lösenord 'bluttan29' och e-postadressen 'bluttansmail@hotmail.com'. När Efterfesten.com blir hackat kan folk läsa ditt lösenord. Om du då använder samma lösenord till din hotmail-adress kan folk enkelt logga in och läsa din e-post med hjälp av lösenordet från den hackade sidan. Hur kan du avgöra om en sida lagrar sina lösenord i klartext? Enkelt: prova att beställa ditt lösenord. Om du kan få ditt ursprungliga lösenord skickat till dig lagrar sidan det i klartext. Om ditt lösenord är sparat som en hash måste sidan istället skicka ut ett helt nytt lösenord till dig. Alla nya sidor vi på Standout programmerar lagrar lösenorden som hash + salt istället för klartext om inte kunden uttryckligen har begärt något annat. Det minskar inte risken att bli hackad, men det tar betydligt längre tid att knäcka användarnas lösenord. Jag gick igenom gamla sidor som jag har gjort och hittade ett par som lagrar inloggningsuppgifter i klartext. Dessa har jag nu ändrat så att de använder md5-hash plus ett unikt salt för varje användare. Än så länge är dock problemen med spammare betydligt större än problemen med hackare.

Inga kommentarer:

Skicka en kommentar