Kategori:  Om siden
Tråden er læst: 3467 gange.
Overvåg denne tråd


Superbruger
  
Svar/Indlæg
247/23
Tilføjet:
03-01-2017 01:35:36

Vedr. HWT's (usikre) håndtering af passwords

#0
Hej!

Jeg oplevede lige at få tilsendt mit eksisterende password i klar tekst da jeg kørte gennem "glemt login" - hvad dælen er undskyldningen for IKKE at hashe jeres brugeres passwords?

Det gør mig lidt øf at i ikke advarer om dette nogen steder smile
System info:
StyresystemWindows 10 64bit
BundkortMSI Z370 GAMING PRO CARBON AC
ChipsetZ370
CPUIntel, Core i5-8600K Coffee Lake
Gfx Nvidia, MSI GTX 1080 Armor
Ram2x 16GB Corsair Vengeance LED 3000 MHz
PsuCorsair HX850i
CPU KølingAndet, Corsair H115i Closed water
HarddiskOS: Samsung EVO 960 500GB M2 | Lager1: Samsung EVO 850 250GB | Lager2 : Samsung EVO 850 120GB | Lager3: Seagate Barracuda 2TB


Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
03-01-2017 01:47:36
Re: Vedr. HWT's (usikre) håndtering af passwords
#1
+1 Har også klaget over det tidligere.
Men det er lidt ligemeget når der ikke er ssl på siden. DVS dit password alligevel bliver sendt i klartekst over internettet.
Så hvis du logger på HWT.dk kan alle på samme wifi netværk se din kode i klartekst. Alle i området kan se det hvis det er på et offentligt netværk.
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Nyhedsskribent
  
Svar/Indlæg
272/54
Tilføjet:
03-01-2017 08:18:01
Re: Vedr. HWT's (usikre) håndtering af passwords
#2
Hvordan kan Hr. hansen nede på gaden se mit password ? Det er vel hacking?
System info:
StyresystemWindows 10 64bit
BundkortASUS x99 Strix
ChipsetX99
CPUIntel, I7 6900K
Gfx Nvidia, Asus strix 1080ti
Ram64 GB Corsair vengeance LED white/Red
PsuCorsair 850X
CPU KølingVand,
Harddisk2 x 500 Evo 740, 1tb Evo 840, WD green 3.0tb

Superbruger
  
Svar/Indlæg
247/23
Tilføjet:
03-01-2017 08:25:21
Re: Vedr. HWT's (usikre) håndtering af passwords
#3
Man nærmer sig vidst at det er ens egen skyld, når der ikke er SSL på en side.

Men selvfølgelig må man ikke gøre det smile Men det betyder jo ikke at det ikke sker - og at det tager maks 10 sekunder at åbne et program der lytter med.

Posten blev redigeret af Spriz d. 03-01-2017 08:26:49.
System info:
StyresystemWindows 10 64bit
BundkortMSI Z370 GAMING PRO CARBON AC
ChipsetZ370
CPUIntel, Core i5-8600K Coffee Lake
Gfx Nvidia, MSI GTX 1080 Armor
Ram2x 16GB Corsair Vengeance LED 3000 MHz
PsuCorsair HX850i
CPU KølingAndet, Corsair H115i Closed water
HarddiskOS: Samsung EVO 960 500GB M2 | Lager1: Samsung EVO 850 250GB | Lager2 : Samsung EVO 850 120GB | Lager3: Seagate Barracuda 2TB

Elitebruger
  
Svar/Indlæg
3230/80
Tilføjet:
03-01-2017 08:57:01
Re: Vedr. HWT's (usikre) håndtering af passwords
#4
.. og derfor bruger jeg et random genereret pass på 32 tegn.
System info:
StyresystemWindows 7 64bit
BundkortASUS Sabertooth X99
ChipsetX99
CPUIntel, i7 5930k
Gfx Nvidia, Inno3D iChiLL GeForce GTX 1080 X3
RamCorsair Vengeance LPX 32GB (4x8GB) 3000MHz DDR4
PsuCorsair HX1200i
CPU KølingVand, Corsair H110i GTX
HarddiskSamsung 950 Pro 512GB M.2

Elitebruger
  
Svar/Indlæg
1934/488
Tilføjet:
03-01-2017 09:21:07
Re: Vedr. HWT's (usikre) håndtering af passwords
#5
Øh. Hvad er det der er så vigtigt på hwt at det kræver SSL og 32 tegns password?
System info:
StyresystemWindows Vista 64bit
BundkortGigabyte GA-M790X-DS4
ChipsetAMD 790X
CPUAMD, 720X3 BE
Gfx Nvidia, 275 GTX
Ram4*2 GB DDR2 PC8500
Psu
CPU KølingLuft, Zalman 9700
Harddisk

Elitebruger
  
Svar/Indlæg
288/39
Tilføjet:
03-01-2017 09:48:23
Re: Vedr. HWT's (usikre) håndtering af passwords
#6
Det kunne jo være der blev brugt samme kode flere steder ;)
System info:
StyresystemAndet
Bundkort
Chipset
CPUIntel,
Gfx Andet,
Ram
Psu
CPU KølingAndet, waterchill
Harddisk

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
03-01-2017 09:51:47
Re: Vedr. HWT's (usikre) håndtering af passwords
#7
#2 hvem sagde noget om hr. hansen ?
Hvis du har en ven du lader bruge dit wifi, kan han gøre det. Bruger du et skolenetværk (der ikke bruger radius/brugernavn og kodeord) Kan det ses.
Jeg bruger også et på 30 tilfældige tegn (tror jeg - det ligger i min password handler, så jeg har ikke set det i årevis)
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Superbruger
  
Svar/Indlæg
247/23
Tilføjet:
03-01-2017 09:57:33
Re: Vedr. HWT's (usikre) håndtering af passwords
#8
#5: Der ligger massere af personlige oplysninger i min indbakke i hvert fald - navne, adresser, telefonnumre, og bank-oplysninger på "fremmede" personer for mig.

Det er vanvittig uansvarligt at være så sloppy med sikkerheden, når det i så mange tilfælde ligger op til at udveksle personlige oplysninger via PMs.

#6 +1

#7 Jep, eller på arbejdet - hvor der garanteret er en masse tosser på samme netværk/WIFI.

Det må være på tide at HWT opper sig, og som minimum gør noget á la:

- Får fat i et SSL certifikat
- Hasher alle eksisterende passwords
- Tvinger folk til at indtaste et nyt password, så de "gamle" ikke-hashede passwords ændres
System info:
StyresystemWindows 10 64bit
BundkortMSI Z370 GAMING PRO CARBON AC
ChipsetZ370
CPUIntel, Core i5-8600K Coffee Lake
Gfx Nvidia, MSI GTX 1080 Armor
Ram2x 16GB Corsair Vengeance LED 3000 MHz
PsuCorsair HX850i
CPU KølingAndet, Corsair H115i Closed water
HarddiskOS: Samsung EVO 960 500GB M2 | Lager1: Samsung EVO 850 250GB | Lager2 : Samsung EVO 850 120GB | Lager3: Seagate Barracuda 2TB

Elitebruger
  
Svar/Indlæg
944/49
Tilføjet:
03-01-2017 18:19:35
Re: Vedr. HWT's (usikre) håndtering af passwords
#9
Det kunne da være dejligt at linjen blev krypteret med SSL smile
System info:
StyresystemWindows 10 64bit
BundkortASRock X99M Extreme4
ChipsetX99
CPUIntel, i7-5930K
Gfx Nvidia, GTX 980ti MSI Gaming G6
Ram4 x 16GB Samsung ECC
PsuCorsair 860i
CPU KølingVand, Noctua NH-D15
HarddiskSamsung SM951 M2 512GB SSD + 2 x Samsuing 840 Evo 250

Superbruger
  
Svar/Indlæg
3246/68
Tilføjet:
03-01-2017 19:50:53
Re: Vedr. HWT's (usikre) håndtering af passwords
#10
ikke at hashe passwords er godt nok en rimelige elendig opsaetning.

nu bruger jeg godt nok pwdhash. plugin som prehasher (saltet med domaenenavn) alle password jeg bruger.
System info:
StyresystemWindows 7 64bit
BundkortAsus P8Z77-V LK
ChipsetIntel Z77
CPUIntel, Core I7 3770K
Gfx Nvidia, GTX 970
Ram2x8gb DDR3 24000 cl11 Kingston Beast (2133mhz)
PsuCorsair AX 1200I
CPU Køling?,
HarddiskSamsung 850 Pro 256gb SSD (7% OP)

Superbruger
  
Svar/Indlæg
247/23
Tilføjet:
03-01-2017 22:36:49
Re: Vedr. HWT's (usikre) håndtering af passwords
#11
#10 Enig, det er der simpelthen ingen undskyldning for ikke at gøre.
System info:
StyresystemWindows 10 64bit
BundkortMSI Z370 GAMING PRO CARBON AC
ChipsetZ370
CPUIntel, Core i5-8600K Coffee Lake
Gfx Nvidia, MSI GTX 1080 Armor
Ram2x 16GB Corsair Vengeance LED 3000 MHz
PsuCorsair HX850i
CPU KølingAndet, Corsair H115i Closed water
HarddiskOS: Samsung EVO 960 500GB M2 | Lager1: Samsung EVO 850 250GB | Lager2 : Samsung EVO 850 120GB | Lager3: Seagate Barracuda 2TB

Superbruger
  
Svar/Indlæg
3246/68
Tilføjet:
04-01-2017 00:29:43
Re: Vedr. HWT's (usikre) håndtering af passwords
#12
til folk der ikke gider roede med password genarot og gemmer saa kan ejg anbefale at isntalerl pwdhash plugin til jeres browser (FF opera chrome)

det presher alle din password med domanet som salt hvilket goer det rimeligt sikker selv hvis du bruger samme password overallt.

det betyder ogsaa at dit password er prehashet foer det sender over wifi etc etc og andre utrovaerdige linier.

System info:
StyresystemWindows 7 64bit
BundkortAsus P8Z77-V LK
ChipsetIntel Z77
CPUIntel, Core I7 3770K
Gfx Nvidia, GTX 970
Ram2x8gb DDR3 24000 cl11 Kingston Beast (2133mhz)
PsuCorsair AX 1200I
CPU Køling?,
HarddiskSamsung 850 Pro 256gb SSD (7% OP)

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
04-01-2017 11:31:05
Re: Vedr. HWT's (usikre) håndtering af passwords
#13
#12 det er fandeme noget klamp. Det kan ikke anbefales. Det tager ikke lang tid at regne ud hvis der nu var nogen der skulle targete dig personligt. (og de har et enkelt leaket password)
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Superbruger
  
Svar/Indlæg
3246/68
Tilføjet:
04-01-2017 14:18:19
Re: Vedr. HWT's (usikre) håndtering af passwords
#14
#13
kan du forklare hvordan/hvorfor?
og hvordan det er daarliger end ikke at goere det ?

-- edit --
her er et prehashet password til hwt.dk
GSsIF97HEY35yjW

Her er et ikke prehaster password til hwt
GyngeHest21


hvis du kan finde ud af hvad det prehashet password ville vare paa et anden site hurtigher/ nemmere end det passwrod som ikke er prehashet saa ser jeg det gerne forklaret.

Posten blev redigeret 2 gange, sidst af Sven Bent d. 04-01-2017 14:32:51.
System info:
StyresystemWindows 7 64bit
BundkortAsus P8Z77-V LK
ChipsetIntel Z77
CPUIntel, Core I7 3770K
Gfx Nvidia, GTX 970
Ram2x8gb DDR3 24000 cl11 Kingston Beast (2133mhz)
PsuCorsair AX 1200I
CPU Køling?,
HarddiskSamsung 850 Pro 256gb SSD (7% OP)

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
04-01-2017 14:31:28
Re: Vedr. HWT's (usikre) håndtering af passwords
#15
Nogen vil gerne ind på én af dine konti.
Vi antager at de kender din e-mail.
1. De finder et leaket hashet password (fra feks dropbox, yahoo eller victoria-milan)
2. De gætter at du har brugt ovenstående metode.
3. De bruteforcer ovenstående metode.
4. De har nu dit password i klartekst.
5. De kan logge ind på alle dine konti da de har email+pass+salt.

Deres bliver aktivt brugt til at distribuere malware:
https://ransomwaretracker.abus...
FORKERT: Det er altså noget der er sket fra ca 1 måned siden og stadig sker i dag.
Det blev brugt til at distribuere malware d. 14/12-2016, så vidt jeg kan se.

Posten blev redigeret af Swayde d. 04-01-2017 14:36:17.
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
04-01-2017 14:34:19
Re: Vedr. HWT's (usikre) håndtering af passwords
#16
Best case: Det tager længere tid for en ond aktør at finde dit password. Men da leaks sker hele tiden, og der går 3-4 år før det opdages er det lige meget.
Worst case: Du bruger ikke bedre foranstaltninger (unikke passwords). Så nu er det lettere at finde dit password.
Det er ikke værre end at bruge samme password i klartekst, men det giver en falsk følelse af sikkerhed.
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Superbruger
  
Svar/Indlæg
3246/68
Tilføjet:
04-01-2017 14:34:19
Re: Vedr. HWT's (usikre) håndtering af passwords
#17
Swayde skrev d. 04-01-2017 14:31:28:
Nogen vil gerne ind på én af dine konti.
Vi antager at de kender din e-mail.
1. De finder et leaket hashet password (fra feks dropbox, yahoo eller victoria-milan)
2. De gætter at du har brugt ovenstående metode.
3. De bruteforcer ovenstående metode.
4. De har nu dit password i klartekst.
5. De kan logge ind på alle dine konti da de har email+pass+salt.

Deres bliver aktivt brugt til at distribuere malware:
https://ransomwaretracker.abus...
FORKERT: Det er altså noget der er sket fra ca 1 måned siden og stadig sker i dag.
Det blev brugt til at distribuere malware d. 14/12-2016, så vidt jeg kan se.


#15
Hved du overhovedet hvordan hashet og salt bruges ?
Hvad er det lige du "brute forcer" der?

Den forklaring er lige saa mangefuldt som gnomerne i southpark
System info:
StyresystemWindows 7 64bit
BundkortAsus P8Z77-V LK
ChipsetIntel Z77
CPUIntel, Core I7 3770K
Gfx Nvidia, GTX 970
Ram2x8gb DDR3 24000 cl11 Kingston Beast (2133mhz)
PsuCorsair AX 1200I
CPU Køling?,
HarddiskSamsung 850 Pro 256gb SSD (7% OP)

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
04-01-2017 14:40:57
Re: Vedr. HWT's (usikre) håndtering af passwords
#18
#17 Google er din ven.
http://security.stackexchange....
Best case: 30 dage bedre sikkerhed er det du får ud af dit klamp smile
Worst case: De har dictionaries og det tager kun minutter

Also: Hvis en side bliver kompromitteret og du er nød til at skifte password er du lige langt, så skal du igen huske flere passwords, medmindre du skifter alle på én gang. Og det er mit liv i hvert fald for kort til.

Mere til akademiske papers? Get yer covered: http://www.flypig.co.uk/papers...

PwdHash does not succeed in this aim. Moreover the case of PwdHash is arguably
more serious than for other passwords, since PwdHash encourages users
to input the same master password for every site. PwdHash also allows users
to essentially circumvent defences against weak passwords applied by a service.
A PwdHash password will appear strong (comprised of a random sequence of
alphanumerics and punctuation), even though it may be derived from a very
weak password in practice. The service will think the password is strong because
it only sees it after it was hashed by PwdHash, not before. Consequently the
ability to reverse PwdHash passwords is a serious problem for the scheme.


Posten blev redigeret 3 gange, sidst af Swayde d. 04-01-2017 14:50:10.
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
04-01-2017 14:58:12
Re: Vedr. HWT's (usikre) håndtering af passwords
#19
Sigende billede:
Så PWD hash er lige så godt som et ekstra MD5 hash. Noget man allerede frarådede for 10 år siden.



Jeg vil dog gerne give mig og sige at hvis man har et stærkt master password er det en ikke helt håbløs løsning, men stadig meget ringere end 1pass eller lignende.


Posten blev redigeret af Swayde d. 04-01-2017 15:03:25.
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Superbruger
  
Svar/Indlæg
3246/68
Tilføjet:
04-01-2017 15:41:14
Re: Vedr. HWT's (usikre) håndtering af passwords
#20
#19
hvordan er det daarligere end klartext ?
System info:
StyresystemWindows 7 64bit
BundkortAsus P8Z77-V LK
ChipsetIntel Z77
CPUIntel, Core I7 3770K
Gfx Nvidia, GTX 970
Ram2x8gb DDR3 24000 cl11 Kingston Beast (2133mhz)
PsuCorsair AX 1200I
CPU Køling?,
HarddiskSamsung 850 Pro 256gb SSD (7% OP)

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
04-01-2017 16:30:49
Re: Vedr. HWT's (usikre) håndtering af passwords
#21
Sven Bent skrev d. 04-01-2017 15:41:14:
#19
hvordan er det daarligere end klartext ?
Swayde skrev d. 04-01-2017 14:40:57:
#17 Google er din ven.
http://security.stackexchange....
Best case: 30 dage bedre sikkerhed er det du får ud af dit klamp smile
Worst case: De har dictionaries og det tager kun minutter

Also: Hvis en side bliver kompromitteret og du er nød til at skifte password er du lige langt, så skal du igen huske flere passwords, medmindre du skifter alle på én gang. Og det er mit liv i hvert fald for kort til.

Mere til akademiske papers? Get yer covered: http://www.flypig.co.uk/papers...

PwdHash does not succeed in this aim. Moreover the case of PwdHash is arguably
more serious than for other passwords, since PwdHash encourages users
to input the same master password for every site. PwdHash also allows users
to essentially circumvent defences against weak passwords applied by a service.
A PwdHash password will appear strong (comprised of a random sequence of
alphanumerics and punctuation), even though it may be derived from a very
weak password in practice. The service will think the password is strong because
it only sees it after it was hashed by PwdHash, not before. Consequently the
ability to reverse PwdHash passwords is a serious problem for the scheme.
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Programmør
  
Svar/Indlæg
1347/190
Tilføjet:
04-01-2017 19:57:36
Re: Vedr. HWT's (usikre) håndtering af passwords
#22
#0... det er noget der kigges på på den nye side.
System info:
StyresystemWindows 10 64bit
BundkortASRock X79 Extreme9
ChipsetIntel X79
CPUIntel, Core I7-3930k
Gfx AMD, 2 x R9 290x (ASUS R9 290X DC2OC + Asus R9 290X Matrix)
RamKingston HyperX 32GB 1600 MHz
PsuCorsair TX850w
CPU KølingVand, XSPC RS240
Harddisk2 * Samsung 830 128GB SSD i Raid0 + 2 * OCZ Vertex 2 120GB SSD i Raid0 + 2 TB Samsung

Elitebruger
  
Svar/Indlæg
2229/19
Tilføjet:
04-01-2017 19:59:46
Re: Vedr. HWT's (usikre) håndtering af passwords
#23
#22 ny side? Hvad er jeg gået glip af ?
System info:
StyresystemWindows 8
BundkortAsrock z68 Extreme 4 gen 3
Chipsetz68
CPUIntel, i7-2600k
Gfx AMD, GTX 660 TI
Ram4x4 GB Corsair vengeance cl9 1600mhz
PsuCoolerMaster M1000
CPU KølingAndet,
Harddisk

Superbruger
  
Svar/Indlæg
177/26
Tilføjet:
04-01-2017 20:03:12
Re: Vedr. HWT's (usikre) håndtering af passwords
#24
System info:
StyresystemWindows 8
Bundkort
Chipset
CPUIntel,
Gfx Nvidia,
Ram
Psu
CPU KølingAndet,
Harddisk

Elitebruger
  
Svar/Indlæg
3230/80
Tilføjet:
04-01-2017 22:21:21
Re: Vedr. HWT's (usikre) håndtering af passwords
#25
#22 No offence, men har den ikke været undervejs i årevis efterhånden?
System info:
StyresystemWindows 7 64bit
BundkortASUS Sabertooth X99
ChipsetX99
CPUIntel, i7 5930k
Gfx Nvidia, Inno3D iChiLL GeForce GTX 1080 X3
RamCorsair Vengeance LPX 32GB (4x8GB) 3000MHz DDR4
PsuCorsair HX1200i
CPU KølingVand, Corsair H110i GTX
HarddiskSamsung 950 Pro 512GB M.2

Superbruger
  
Svar/Indlæg
247/23
Tilføjet:
04-01-2017 22:23:58
Re: Vedr. HWT's (usikre) håndtering af passwords
#26
#25 +1

#22: Jeg vil dælme håbe i andet end kigger på det - ellers er det da decideret pinligt. smile
System info:
StyresystemWindows 10 64bit
BundkortMSI Z370 GAMING PRO CARBON AC
ChipsetZ370
CPUIntel, Core i5-8600K Coffee Lake
Gfx Nvidia, MSI GTX 1080 Armor
Ram2x 16GB Corsair Vengeance LED 3000 MHz
PsuCorsair HX850i
CPU KølingAndet, Corsair H115i Closed water
HarddiskOS: Samsung EVO 960 500GB M2 | Lager1: Samsung EVO 850 250GB | Lager2 : Samsung EVO 850 120GB | Lager3: Seagate Barracuda 2TB

Elitebruger
  
Svar/Indlæg
1048/39
Tilføjet:
05-01-2017 09:38:36
Re: Vedr. HWT's (usikre) håndtering af passwords
#27
#26 ja ja boss man smile
System info:
StyresystemWindows 10 64bit
BundkortAsus Maximus Hero X
ChipsetZ370
CPUIntel, Core I7 8700K
Gfx Nvidia, MSI 1080TI FE
RamCorsair RGB 16GB DDR4 3000Mhz
PsuEVGA Supernova G2 750W 80Plus Gold
CPU KølingVand, Laing D5 custom
HarddiskSamsung 960 EVO M2 500GB + OCZ Vertex 4 256GB + 6TB Sata 3

Superbruger
  
Svar/Indlæg
439/0
Tilføjet:
05-01-2017 10:55:11
Re: Vedr. HWT's (usikre) håndtering af passwords
#28
Hashing af password (på serveren) og HTTPS er beskyttelsesformer på to forskellige niveauer. Hashing handler om at opbevare passwordet i beskyttet form, hvis det nu lykkes nogen at hacke databasen. Dette beskytter HTTPS ikke mod.
System info:
StyresystemAndet
Bundkort
Chipset
CPUAndet,
Gfx Andet,
Ram
Psu
CPU KølingAndet,
Harddisk

Elitebruger
  
Svar/Indlæg
831/26
Tilføjet:
05-01-2017 13:57:37
Re: Vedr. HWT's (usikre) håndtering af passwords
#29
Ved ikke hvorfor det skal være sådan på hwt.dk men har jo været sådan i alle dage.

Men nu er hwt.dk heldigvis ikke noget større site for mig end jeg kan kalde at misse min konto, men synes godt nok det er ringe og har synes det i meget lang tid.
System info:
StyresystemAndet
BundkortMSI Z170A Gaming M5
ChipsetZ170A
CPUIntel, Intel iCore7 6700K
Gfx Nvidia, Palit 1080 JetStream OC
RamG.Skill Trident Z DDR4 3200MHz 2 x 8GB
PsuCorsair HX 850 Watts
CPU KølingLuft, Noctua NH-D14 -Kit
HarddiskCrucial MX100 SSD 256GB + Crucial MX300 SSD 750GB + Seagate Barracuda 2TB 7200.14

Superbruger
  
Svar/Indlæg
247/23
Tilføjet:
05-01-2017 14:01:45
Re: Vedr. HWT's (usikre) håndtering af passwords
#30
#29: At det altid har været sådan gør det jo kun værre smile

Hvad driver HWT? Kan man give en hånd med?
System info:
StyresystemWindows 10 64bit
BundkortMSI Z370 GAMING PRO CARBON AC
ChipsetZ370
CPUIntel, Core i5-8600K Coffee Lake
Gfx Nvidia, MSI GTX 1080 Armor
Ram2x 16GB Corsair Vengeance LED 3000 MHz
PsuCorsair HX850i
CPU KølingAndet, Corsair H115i Closed water
HarddiskOS: Samsung EVO 960 500GB M2 | Lager1: Samsung EVO 850 250GB | Lager2 : Samsung EVO 850 120GB | Lager3: Seagate Barracuda 2TB

Elitebruger
  
Svar/Indlæg
1149/44
Tilføjet:
05-01-2017 15:02:29
Re: Vedr. HWT's (usikre) håndtering af passwords
#31
#29, problemet er jo ikke at du kan miste din konto herinde. Problemet er at dit password alt for let kan blive kompromitteret. Skaden er selvfølgelig begrænset hvis det password man bruger her, KUN bruges her. Mit gæt er at der nok er en enkelt bruger eller to herinde der benytter det samme password flere steder.
System info:
StyresystemAndet
Bundkort
Chipset
CPUIntel,
Gfx Nvidia,
Ram
Psu
CPU KølingEkstrem,
Harddisk

Superbruger
  
Svar/Indlæg
352/59
Tilføjet:
05-01-2017 16:15:00
Re: Vedr. HWT's (usikre) håndtering af passwords
#32
Jeg har også været bruger herinde i mange år og er da blevet ganske overrasket over at passwords ikke opbevares bedre i forhold til de ganske mange sager der har været om netop abuse af folks passwords.

Problemet er jo helt oplagt - de fleste brugere har samme password til mange forskellige sider. Er det fra brugerens side smart: nææeh det er det ikke, men jeg antog dog at når man som hwt.dk driver en relativ stor (hardware?!?) side at der var en eller anden minimumsbeskyttelse af den almene ufornuftige brugers password info.

Jeg har i første omgang ændret mit password herinde så det er unikt for lige præcis denne side men tænker da konsekvensen i det lange løb bliver jeg trækker stikket fra hwt.dk som jeg fx har gjort for dailyrush.dk der heller ikke har udvist ret professionel omgang med private brugerdata.

Er det et tab for hwt.dk - næppe - jeg bidrager ikke rigtig med noget herinde men kunne da forestille mig at andre ligesindede der måske bidrager lidt mere end jeg kunne finde på at gøre det samme og der er da en kedelig måde at miste brugere på (for ikke at nævne oplagt skandale hvis hwt.dk angribes og mister alle deres brugers ikke-hashede password og private data).

Posten blev redigeret af sortiarius d. 05-01-2017 16:15:38.
System info:
StyresystemWindows 10 64bit
BundkortAsus ROG Strix Z370-E Gaming
ChipsetIntel Z370
CPUIntel, 8700K
Gfx Nvidia, MSI Geforce 1080Ti Gaming
Ram2 x 8 gb Corsair Vengeance DDR4 3000Mhz
PsuCorsair HX1200i
CPU KølingLuft, Noctua NF-P14
Harddisk1TB Samsung 960Evo M.2, 2x850 Evo 512gb

Superbruger
  
Svar/Indlæg
247/23
Tilføjet:
10-01-2017 15:05:09
Re: Vedr. HWT's (usikre) håndtering af passwords
#33
Helt enig m/ #32

Derudover er jeg også bekymret når sitet i mange tilfælde ligger direkte op til at udveksle personlige oplysninger via privatbeskeder.

Derudover så sætter det også baren for data-sikkerhed som en generel ting ret lavt - så man kan jo være nervøs for om der er endnu værre ting der ligger "gemt" rundt omkring på sitet.
System info:
StyresystemWindows 10 64bit
BundkortMSI Z370 GAMING PRO CARBON AC
ChipsetZ370
CPUIntel, Core i5-8600K Coffee Lake
Gfx Nvidia, MSI GTX 1080 Armor
Ram2x 16GB Corsair Vengeance LED 3000 MHz
PsuCorsair HX850i
CPU KølingAndet, Corsair H115i Closed water
HarddiskOS: Samsung EVO 960 500GB M2 | Lager1: Samsung EVO 850 250GB | Lager2 : Samsung EVO 850 120GB | Lager3: Seagate Barracuda 2TB

Superbruger
  
Svar/Indlæg
380/13
Tilføjet:
23-02-2018 11:24:35
Re: Vedr. HWT's (usikre) håndtering af passwords
#34
Nu er der da kommet et certificate på ssl delen, men testede lige password håndteringen igen - stadig cleartext.

Alligevel ret imponerende der ikke er sket mere på 1+ år, når det er ret kritisk :D
System info:
StyresystemWindows 10 64bit
BundkortMSI X99A SLI KRAIT EDITION
ChipsetX99
CPUIntel, i7-5820k
Gfx Nvidia, GTX 980 Ti
Ram16 GB DDR4
PsuSupernova G2 750w
CPU KølingLuft, Noctua NH-D15
Harddisk2x 250GB Samsung 840 Evo

Elitebruger
  
Svar/Indlæg
5383/53
Tilføjet:
23-02-2018 17:33:00
Re: Vedr. HWT's (usikre) håndtering af passwords
#35
Det er så pinligt at der ikke er mere fokus på det her fra staffs side. Enten beskytter man sine brugeres password, eller også undgår man helt at opbevare dem. Der skal i 2018 sku ikke opbevares plain text passwords.

Om det så kommer i den nye version eller ej - så løser det ikke problemet nu. Og uden nogen dato på en ny version som "kigger på det" så er det da helt ubrugeligt.

Posten blev redigeret 16 gange, sidst af Cocio21 d. 24-02-2018 02:12:30.
System info:
StyresystemWindows 10 64bit
BundkortMSI Z87 POWER MAX
ChipsetIntel Z87
CPUIntel, i7-4770K
Gfx Nvidia, GTX 970 4GB
Ram2x8 GB
PsuCorsair HX1000W
CPU KølingLuft, Corsair H80
HarddiskOCZ Vertex 2 120 GB, 2x Crucial M4 128 GB, 2x Seagata 1,5 TB


Brugernavn  
Overskrift
Indsæt smiley:
Formater tekst:
B | I | U
Tekst
    Læs forumregler  
 
Du skal være logget ind, for at skrive i forummet.
HwT.dk - Forum hjælp
For at vise billeder i en forumpost, skal linket til billedet skrives.
f.eks. www.hwt.dk/logo.jpg

Alle typer links kan bruges i forummet.
inkl. links med komma.
Der skal ALTID være mellemrum efter et link.

www.bildelestore.dk