Vedr. HWT's (usikre) håndtering af passwords

Om siden d.  03. januar. 2017, skrevet af Spriz
Vist: 3723 gange.

Spriz Superbruger
Tilføjet:
03-01-2017 01:35:36
Svar/Indlæg:
247/23
Hej!

Jeg oplevede lige at få tilsendt mit eksisterende password i klar tekst da jeg kørte gennem "glemt login" - hvad dælen er undskyldningen for IKKE at hashe jeres brugeres passwords?

Det gør mig lidt øf at i ikke advarer om dette nogen steder smile


Swayde Elitebruger
Tilføjet:
03-01-2017 01:47:36
Svar/Indlæg:
2233/19
+1 Har også klaget over det tidligere.
Men det er lidt ligemeget når der ikke er ssl på siden. DVS dit password alligevel bliver sendt i klartekst over internettet.
Så hvis du logger på HWT.dk kan alle på samme wifi netværk se din kode i klartekst. Alle i området kan se det hvis det er på et offentligt netværk.



Cardio Nyhedsskribent
Tilføjet:
03-01-2017 08:18:01
Svar/Indlæg:
286/60
Hvordan kan Hr. hansen nede på gaden se mit password ? Det er vel hacking?



Spriz Superbruger
Tilføjet:
03-01-2017 08:25:21
Svar/Indlæg:
247/23
Man nærmer sig vidst at det er ens egen skyld, når der ikke er SSL på en side.

Men selvfølgelig må man ikke gøre det smile Men det betyder jo ikke at det ikke sker - og at det tager maks 10 sekunder at åbne et program der lytter med.


Svaret blev redigeret 1 gang, sidst af Spriz d. 03-01-2017 08:26:49.



Die_Happy Elitebruger
Tilføjet:
03-01-2017 08:57:01
Svar/Indlæg:
3258/80
.. og derfor bruger jeg et random genereret pass på 32 tegn.



sko Elitebruger
Tilføjet:
03-01-2017 09:21:07
Svar/Indlæg:
1937/490
Øh. Hvad er det der er så vigtigt på hwt at det kræver SSL og 32 tegns password?



tf-uno Elitebruger
Tilføjet:
03-01-2017 09:48:23
Svar/Indlæg:
291/39
Det kunne jo være der blev brugt samme kode flere steder ;)



Swayde Elitebruger
Tilføjet:
03-01-2017 09:51:47
Svar/Indlæg:
2233/19
#2 hvem sagde noget om hr. hansen ?
Hvis du har en ven du lader bruge dit wifi, kan han gøre det. Bruger du et skolenetværk (der ikke bruger radius/brugernavn og kodeord) Kan det ses.
Jeg bruger også et på 30 tilfældige tegn (tror jeg - det ligger i min password handler, så jeg har ikke set det i årevis)



Spriz Superbruger
Tilføjet:
03-01-2017 09:57:33
Svar/Indlæg:
247/23
#5: Der ligger massere af personlige oplysninger i min indbakke i hvert fald - navne, adresser, telefonnumre, og bank-oplysninger på "fremmede" personer for mig.

Det er vanvittig uansvarligt at være så sloppy med sikkerheden, når det i så mange tilfælde ligger op til at udveksle personlige oplysninger via PMs.

#6 +1

#7 Jep, eller på arbejdet - hvor der garanteret er en masse tosser på samme netværk/WIFI.

Det må være på tide at HWT opper sig, og som minimum gør noget á la:

- Får fat i et SSL certifikat
- Hasher alle eksisterende passwords
- Tvinger folk til at indtaste et nyt password, så de "gamle" ikke-hashede passwords ændres



gammelgaard_mink Elitebruger
Tilføjet:
03-01-2017 18:19:35
Svar/Indlæg:
964/49
Det kunne da være dejligt at linjen blev krypteret med SSL smile



Sven Superbruger
Tilføjet:
03-01-2017 19:50:53
Svar/Indlæg:
3276/69
ikke at hashe passwords er godt nok en rimelige elendig opsaetning.

nu bruger jeg godt nok pwdhash. plugin som prehasher (saltet med domaenenavn) alle password jeg bruger.



Spriz Superbruger
Tilføjet:
03-01-2017 22:36:49
Svar/Indlæg:
247/23
#10 Enig, det er der simpelthen ingen undskyldning for ikke at gøre.



Sven Superbruger
Tilføjet:
04-01-2017 00:29:43
Svar/Indlæg:
3276/69
til folk der ikke gider roede med password genarot og gemmer saa kan ejg anbefale at isntalerl pwdhash plugin til jeres browser (FF opera chrome)

det presher alle din password med domanet som salt hvilket goer det rimeligt sikker selv hvis du bruger samme password overallt.

det betyder ogsaa at dit password er prehashet foer det sender over wifi etc etc og andre utrovaerdige linier.




Swayde Elitebruger
Tilføjet:
04-01-2017 11:31:05
Svar/Indlæg:
2233/19
#12 det er fandeme noget klamp. Det kan ikke anbefales. Det tager ikke lang tid at regne ud hvis der nu var nogen der skulle targete dig personligt. (og de har et enkelt leaket password)



Sven Superbruger
Tilføjet:
04-01-2017 14:18:19
Svar/Indlæg:
3276/69
#13
kan du forklare hvordan/hvorfor?
og hvordan det er daarliger end ikke at goere det ?

-- edit --
her er et prehashet password til hwt.dk
GSsIF97HEY35yjW

Her er et ikke prehaster password til hwt
GyngeHest21


hvis du kan finde ud af hvad det prehashet password ville vare paa et anden site hurtigher/ nemmere end det passwrod som ikke er prehashet saa ser jeg det gerne forklaret.


Svaret blev redigeret 2 gange, sidst af Sven Bent d. 04-01-2017 14:32:51.



Swayde Elitebruger
Tilføjet:
04-01-2017 14:31:28
Svar/Indlæg:
2233/19
Nogen vil gerne ind på én af dine konti.
Vi antager at de kender din e-mail.
1. De finder et leaket hashet password (fra feks dropbox, yahoo eller victoria-milan)
2. De gætter at du har brugt ovenstående metode.
3. De bruteforcer ovenstående metode.
4. De har nu dit password i klartekst.
5. De kan logge ind på alle dine konti da de har email+pass+salt.

Deres bliver aktivt brugt til at distribuere malware:
https://ransomwaretracker.abus...
FORKERT: Det er altså noget der er sket fra ca 1 måned siden og stadig sker i dag.
Det blev brugt til at distribuere malware d. 14/12-2016, så vidt jeg kan se.


Svaret blev redigeret 1 gang, sidst af Swayde d. 04-01-2017 14:36:17.



Swayde Elitebruger
Tilføjet:
04-01-2017 14:34:19
Svar/Indlæg:
2233/19
Best case: Det tager længere tid for en ond aktør at finde dit password. Men da leaks sker hele tiden, og der går 3-4 år før det opdages er det lige meget.
Worst case: Du bruger ikke bedre foranstaltninger (unikke passwords). Så nu er det lettere at finde dit password.
Det er ikke værre end at bruge samme password i klartekst, men det giver en falsk følelse af sikkerhed.



Sven Superbruger
Tilføjet:
04-01-2017 14:34:19
Svar/Indlæg:
3276/69

Nogen vil gerne ind på én af dine konti.
Vi antager at de kender din e-mail.
1. De finder et leaket hashet password (fra feks dropbox, yahoo eller victoria-milan)
2. De gætter at du har brugt ovenstående metode.
3. De bruteforcer ovenstående metode.
4. De har nu dit password i klartekst.
5. De kan logge ind på alle dine konti da de har email+pass+salt.

Deres bliver aktivt brugt til at distribuere malware:
https://ransomwaretracker.abus...
FORKERT: Det er altså noget der er sket fra ca 1 måned siden og stadig sker i dag.
Det blev brugt til at distribuere malware d. 14/12-2016, så vidt jeg kan se.

Swayde skrev d. 04-01-2017 14:31:28


#15
Hved du overhovedet hvordan hashet og salt bruges ?
Hvad er det lige du "brute forcer" der?

Den forklaring er lige saa mangefuldt som gnomerne i southpark



Swayde Elitebruger
Tilføjet:
04-01-2017 14:40:57
Svar/Indlæg:
2233/19
#17 Google er din ven.
https://security.stackexchange...
Best case: 30 dage bedre sikkerhed er det du får ud af dit klamp smile
Worst case: De har dictionaries og det tager kun minutter

Also: Hvis en side bliver kompromitteret og du er nød til at skifte password er du lige langt, så skal du igen huske flere passwords, medmindre du skifter alle på én gang. Og det er mit liv i hvert fald for kort til.

Mere til akademiske papers? Get yer covered: https://www.flypig.co.uk/paper...

PwdHash does not succeed in this aim. Moreover the case of PwdHash is arguably
more serious than for other passwords, since PwdHash encourages users
to input the same master password for every site. PwdHash also allows users
to essentially circumvent defences against weak passwords applied by a service.
A PwdHash password will appear strong (comprised of a random sequence of
alphanumerics and punctuation), even though it may be derived from a very
weak password in practice. The service will think the password is strong because
it only sees it after it was hashed by PwdHash, not before. Consequently the
ability to reverse PwdHash passwords is a serious problem for the scheme.


Svaret blev redigeret 3 gange, sidst af Swayde d. 04-01-2017 14:50:10.



Swayde Elitebruger
Tilføjet:
04-01-2017 14:58:12
Svar/Indlæg:
2233/19
Sigende billede:
Så PWD hash er lige så godt som et ekstra MD5 hash. Noget man allerede frarådede for 10 år siden.



Jeg vil dog gerne give mig og sige at hvis man har et stærkt master password er det en ikke helt håbløs løsning, men stadig meget ringere end 1pass eller lignende.


Svaret blev redigeret 1 gang, sidst af Swayde d. 04-01-2017 15:03:25.



Sven Superbruger
Tilføjet:
04-01-2017 15:41:14
Svar/Indlæg:
3276/69
#19
hvordan er det daarligere end klartext ?



Swayde Elitebruger
Tilføjet:
04-01-2017 16:30:49
Svar/Indlæg:
2233/19

#19
hvordan er det daarligere end klartext ?

Sven Bent skrev d. 04-01-2017 15:41:14

#17 Google er din ven.
https://security.stackexchange...
Best case: 30 dage bedre sikkerhed er det du får ud af dit klamp smile
Worst case: De har dictionaries og det tager kun minutter

Also: Hvis en side bliver kompromitteret og du er nød til at skifte password er du lige langt, så skal du igen huske flere passwords, medmindre du skifter alle på én gang. Og det er mit liv i hvert fald for kort til.

Mere til akademiske papers? Get yer covered: https://www.flypig.co.uk/paper...

PwdHash does not succeed in this aim. Moreover the case of PwdHash is arguably
more serious than for other passwords, since PwdHash encourages users
to input the same master password for every site. PwdHash also allows users
to essentially circumvent defences against weak passwords applied by a service.
A PwdHash password will appear strong (comprised of a random sequence of
alphanumerics and punctuation), even though it may be derived from a very
weak password in practice. The service will think the password is strong because
it only sees it after it was hashed by PwdHash, not before. Consequently the
ability to reverse PwdHash passwords is a serious problem for the scheme.

Swayde skrev d. 04-01-2017 14:40:57



KiloDunse Programmør
Tilføjet:
04-01-2017 19:57:36
Svar/Indlæg:
1369/93
#0... det er noget der kigges på på den nye side.



Swayde Elitebruger
Tilføjet:
04-01-2017 19:59:46
Svar/Indlæg:
2233/19
#22 ny side? Hvad er jeg gået glip af ?



minoo Superbruger
Tilføjet:
04-01-2017 20:03:12
Svar/Indlæg:
180/26



Die_Happy Elitebruger
Tilføjet:
04-01-2017 22:21:21
Svar/Indlæg:
3258/80
#22 No offence, men har den ikke været undervejs i årevis efterhånden?



Spriz Superbruger
Tilføjet:
04-01-2017 22:23:58
Svar/Indlæg:
247/23
#25 +1

#22: Jeg vil dælme håbe i andet end kigger på det - ellers er det da decideret pinligt. smile



Micks Elitebruger
Tilføjet:
05-01-2017 09:38:36
Svar/Indlæg:
1051/39
#26 ja ja boss man smile



phansen Superbruger
Tilføjet:
05-01-2017 10:55:11
Svar/Indlæg:
441/0
Hashing af password (på serveren) og HTTPS er beskyttelsesformer på to forskellige niveauer. Hashing handler om at opbevare passwordet i beskyttet form, hvis det nu lykkes nogen at hacke databasen. Dette beskytter HTTPS ikke mod.



NightBreaker Elitebruger
Tilføjet:
05-01-2017 13:57:37
Svar/Indlæg:
835/26
Ved ikke hvorfor det skal være sådan på hwt.dk men har jo været sådan i alle dage.

Men nu er hwt.dk heldigvis ikke noget større site for mig end jeg kan kalde at misse min konto, men synes godt nok det er ringe og har synes det i meget lang tid.



Spriz Superbruger
Tilføjet:
05-01-2017 14:01:45
Svar/Indlæg:
247/23
#29: At det altid har været sådan gør det jo kun værre smile

Hvad driver HWT? Kan man give en hånd med?



Carpe^Diem Elitebruger
Tilføjet:
05-01-2017 15:02:29
Svar/Indlæg:
1149/44
#29, problemet er jo ikke at du kan miste din konto herinde. Problemet er at dit password alt for let kan blive kompromitteret. Skaden er selvfølgelig begrænset hvis det password man bruger her, KUN bruges her. Mit gæt er at der nok er en enkelt bruger eller to herinde der benytter det samme password flere steder.



sortiarius Superbruger
Tilføjet:
05-01-2017 16:15:00
Svar/Indlæg:
353/59
Jeg har også været bruger herinde i mange år og er da blevet ganske overrasket over at passwords ikke opbevares bedre i forhold til de ganske mange sager der har været om netop abuse af folks passwords.

Problemet er jo helt oplagt - de fleste brugere har samme password til mange forskellige sider. Er det fra brugerens side smart: nææeh det er det ikke, men jeg antog dog at når man som hwt.dk driver en relativ stor (hardware?!?) side at der var en eller anden minimumsbeskyttelse af den almene ufornuftige brugers password info.

Jeg har i første omgang ændret mit password herinde så det er unikt for lige præcis denne side men tænker da konsekvensen i det lange løb bliver jeg trækker stikket fra hwt.dk som jeg fx har gjort for dailyrush.dk der heller ikke har udvist ret professionel omgang med private brugerdata.

Er det et tab for hwt.dk - næppe - jeg bidrager ikke rigtig med noget herinde men kunne da forestille mig at andre ligesindede der måske bidrager lidt mere end jeg kunne finde på at gøre det samme og der er da en kedelig måde at miste brugere på (for ikke at nævne oplagt skandale hvis hwt.dk angribes og mister alle deres brugers ikke-hashede password og private data).


Svaret blev redigeret 1 gang, sidst af sortiarius d. 05-01-2017 16:15:38.



Spriz Superbruger
Tilføjet:
10-01-2017 15:05:09
Svar/Indlæg:
247/23
Helt enig m/ #32

Derudover er jeg også bekymret når sitet i mange tilfælde ligger direkte op til at udveksle personlige oplysninger via privatbeskeder.

Derudover så sætter det også baren for data-sikkerhed som en generel ting ret lavt - så man kan jo være nervøs for om der er endnu værre ting der ligger "gemt" rundt omkring på sitet.



Rodael Superbruger
Tilføjet:
23-02-2018 11:24:35
Svar/Indlæg:
382/14
Nu er der da kommet et certificate på ssl delen, men testede lige password håndteringen igen - stadig cleartext.

Alligevel ret imponerende der ikke er sket mere på 1+ år, når det er ret kritisk :D



MadsAG Elitebruger
Tilføjet:
23-02-2018 17:33:00
Svar/Indlæg:
5402/53
Det er så pinligt at der ikke er mere fokus på det her fra staffs side. Enten beskytter man sine brugeres password, eller også undgår man helt at opbevare dem. Der skal i 2018 sku ikke opbevares plain text passwords.

Om det så kommer i den nye version eller ej - så løser det ikke problemet nu. Og uden nogen dato på en ny version som "kigger på det" så er det da helt ubrugeligt.


Svaret blev redigeret 16 gange, sidst af Cocio21 d. 24-02-2018 02:12:30.