Sitat av
zucchini
Når det gjelder jetcarriers løsning vil jeg ikke gå så mye mer inn på det enn å si at kundens passord er kryptert til et hash og er ikke reversibel.
Sitat av
zucchini
Kundedata ligger i kundedatabasen men hashet og passordet ble lagret i en tabell i ekstern database som kun inneholdt to felt, dvs hash og passord ( key - value). Null referanse til kundenummer, navn, etc. Denne ene tabellen lå i en Azure database, bak Azure firwallen, og tillot kun en IP å koble opp.
Så hvordan binder dere kunde opp mot gitt passord hvis det ikke finnes referanser mellom kundenummer, navn, etc. og passord hash? Og hvordan sikrer dere kommunikasjonen mellom deres og Azure sine servere? Det er nok sikrere å ha en slik database lokalt.
Og det skal også sies at det heter ikke «kryptert til et hash», kryptering er reverserbar, mens hash er enveis sjekksum.
Sitat av
zucchini
[...] tabell i ekstern database som kun inneholdt to felt, dvs hash og passord ( key - value).
Lagrer dere passordet i klartekst i samme rad som hashen? Hva er vitsen med det? Og hva har key -> value med dette å gjøre? Du vet at «key» er navnet på kolonne og «value» er kolonne verdien i gitt rad? Syns dette ligner på et desperat forsøk på å drive skadebegrensning ved å bruk av buzzwords for å virke troverdig, men jeg må nok skuffe deg; freakforum har høy datakompetanse, hvertfall mye høyere enn hva JetCarriers «IT-avdeling» viser her.
Sitat av
zucchini
Som en servise til ikke datakyndige kunder ble passord sendt ut om vi traff tekst ved oppslag på hash og det gjorde vi stort sett ettersom key->value ble lagret eksternt.
Igjen, hva har «key -> value» med dette å gjøre? Og jeg trodde dere hashet passordene med enveis hash, i hvertfall påsto du det ovenfor i innlegget. Så da er spørsmålet, hvordan klarte dere å få frem passordet i klartekst fra en enveis hash?
Sitat av
zucchini
Vi er selvfølgelig opptatt av å holde kundenes data sikret, alle er utsatt for hacking og vi er opptatt av å holde døra lukket og prøver samtidig balansere det mot kundevennlighet.
Nei, dere bryr dere ikke om kundenes sikkerhet. I tillegg viser JetCarrier manglende kunnskap om datasikkerhet ved å be deres «datasikkerhetsansvarlig» å svare i et forum ved å bruke buzzwords.
Sitat av
zucchini
Jeg antar at som et resultat av denne tråden har vi sett litt DDoS forsøk fra ntnu servere og diverse andre norske domener / servere. Dette har blitt videremeldt til respektive ansvarlige for "abuse" og jeg tror at det er smart å holde seg unna slike aktiviteter.
Ja, huff DDoS angrep. Tror ikke du vet hva det er eller hvordan det fungerer, hvis du hadde gjort det så hadde du også vist at dette er noe 14 åringer som tror dem er datahackere driver på med, og at man ikke får noe passord ut med et slikt angrep. Tror nok du må prøve på noe annet hvis dere ønsker å innta offerrollen.
Dette begynner å bli såpass ille at man burde ha tipset media om denne saken, slik at dem kan advare andre norske borgere mot deres tjenester.
Sist endret av 0xFF; 21. april 2016 kl. 19:25.