Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  36 11345
Vurderte å bruke Jetcarrier for å bestille noen varer fra USA. Hadde glemt passordet mitt så valgte å kjøre recovery og da fikk jeg passordet mitt i klartekst på E-post.
Dette gjør ihvertfall meg ganske usikker på om jeg skal tørre å være kunde hos de i det hele tatt når de ikke engang lagrer passord på en sikker måte.
Er vel ikke verre enn å endre passordet når du logger inn igjen? Jeg stusset litt selv når jeg fikk tilsendt nytt passord til BankID på epost. Trodde det ville komme i posten.
Problemet er at dersom Jetcarrier kan sende brukeren passordet sitt på e-post, så betyr det at passordet lagres enten i klartekst i databasen til Jetcarrier, eller i en form som kan reverseres/dekrypteres. Dette betyr at ansatte, leverandører eller noen som bruker sikkerhetshull, sikkerhetssvakheter eller andre metoder kan få tilgang til alle brukernavn, e-postadresser og passord. Og siden Jetcarrier kan få passordet ut i klartekst så klarer andre det også.

Plutselig har noen tilgang til flere sin e-postkonto og andre tjenester via kombinasjonen av brukernavn, e-postadresse og passord. Ikke bare hos Jetcarrier. Folk er generelt dårlige på å ha unike passord hos de forskjellige tjenestene - og dette er ett problem.
Fint at du har funnet en svakhet i Jetcarrier sine systemer, men har du kontaktet dem for å informere dem om dette problemet?

Slike ting som dette vill ikke bli utbedret før kunder sier ifra eller klager på det

Det jeg lurer på er om det passordet du fikk på epost er et typisk passord du selv kan se deg selv generere? for jeg vet at noen passord systemer kan generere nytt passord til deg, sende det på epost i klartekst før det blir kryptert inn i systemet, det kan hende de bruker definerte ordliste isteden for random-tegn til dette formålet, sp istenden for å sende JPdsf232£@ds så får du PenHatt123
Testet nettopp dette selv. Du får tilsendt det valgte passordet ditt på forespørsel. Så ikke noen engangs-utsending ved registrering eller generering av nytt passord.
Da bør noen kontakte dem ang passord i klartekst problemet så de blir oppmerksom på det
Eg er rimelig sikker på at de vet om problemet allerede; de lagde tross alt systemet.
Sitat av nomore Vis innlegg
Eg er rimelig sikker på at de vet om problemet allerede; de lagde tross alt systemet.
Vis hele sitatet...
Hadde det bare vært så vel at man automatisk visste om alle svakhetene i systemene sine bare fordi man laget dem selv...
Sitat av Realist1 Vis innlegg
Hadde det bare vært så vel at man automatisk visste om alle svakhetene i systemene sine bare fordi man laget dem selv...
Vis hele sitatet...
Her må vi jo skille mellom avanserte sikkerhetshull som kan utnyttes med spesielle ondsinnet script og simple sikkerhetshull som SQL injeksjon. Alle som har jobbet innen utvikling noen år vet at man ikkje lagrer passord i klartekst, dem burde også være klar over hvordan SQL injeksjon unngåes, men de færreste er vel klar over at en gitt funksjon er sårbar mot buffer overflow angrep.
Sitat av 0xFF Vis innlegg
Her må vi jo skille mellom avanserte sikkerhetshull som kan utnyttes med spesielle ondsinnet script og simple sikkerhetshull som SQL injeksjon. Alle som har jobbet innen utvikling noen år vet at man ikkje lagrer passord i klartekst, dem burde også være klar over hvordan SQL injeksjon unngåes, men de færreste er vel klar over at en gitt funksjon er sårbar mot buffer overflow angrep.
Vis hele sitatet...
For all del, dette lærte vi jo faktisk i absolutt aller første forelesning. Men det er likevel ikke alle som har fått det med seg. Jeg synes det er helt greit å si i fra når en såpass stor side lagrer, og sender, passord i klartekst.
Poenget mitt var mer i retning av at de nok er veldig godt kjent med at passordet lagres i klartekst. (burde ikke skrevet problem)

Men når de først mangler såpass forståelse for sikkerhet og svakheter - hva annet grums finnes i systemet? Meg bekjent så har Jetcarrier vært på ei liste over nettsider som har passord i klartekst, hvor forfatteren av listen alltid kontaktet nettsiden etter nettsiden ble lagt til på listen. Klarer ikke å finne den listen lenger så tror den er tatt ned.
Sitat av knutazz Vis innlegg
Fint at du har funnet en svakhet i Jetcarrier sine systemer, men har du kontaktet dem for å informere dem om dette problemet?

Slike ting som dette vill ikke bli utbedret før kunder sier ifra eller klager på det
Vis hele sitatet...
Sikkerheten til Jetcarrier er ikke mitt ansvar. Jeg kan fint varsle når det er bugs osv. Hvis de ikke klarer å gjøre noe av det enkleste og viktigste for å sikre kundene sine så ønsker jeg heller å advare andre kunder eller potensielle kunder om den dårlige sikkerheten.
Hvis dere ikke rører litt i gryta så gjør jeg det.

https://www.facebook.com/JetCarrier/posts_to_page/
Hei og takk for tilbakemeldinger. Vi har endret litt på håndteringen av "glemt passord" opplegget.

Sannsynligheten for at noen har "sniffet" på trafikken vår er liten, og hvis så skal ha skjedd er det ikke noe særlig ugang man får gjort annet enn å endre adresse, telefon og e-post for kontoen. Det er ikke mulig for reg. brukere å slette kontoen selv eller endre på navnet kontoen er reg. på, det kan kun gjøres av kundeservice ved direkte kontakt og etter gitte rammer.
I tillegg er det gratis å registrere en ny konto om uhellet skulle være ute.

Vi lagrer forøvrig ikke mer sensitiv kundeinformasjon enn du kan finne med enkle søk på gulesider/nettet, men tar kritikken til etterretning.
Nå er det vel ikke hva man kan gjøre av ugagn på deres nettsider som er det største problemet her, men at kombinasjonen av e-postadresse og passord som brukes på deres side gjerne brukes andre steder også.

Har dere begynt å kryptere og salte passordet til brukerene deres nå?

Sitat av JetCarrier Vis innlegg
Hei og takk for tilbakemeldinger. Vi har endret litt på håndteringen av "glemt passord" opplegget.

Sannsynligheten for at noen har "sniffet" på trafikken vår er liten, og hvis så skal ha skjedd er det ikke noe særlig ugang man får gjort annet enn å endre adresse, telefon og e-post for kontoen. Det er ikke mulig for reg. brukere å slette kontoen selv eller endre på navnet kontoen er reg. på, det kan kun gjøres av kundeservice ved direkte kontakt og etter gitte rammer.
I tillegg er det gratis å registrere en ny konto om uhellet skulle være ute.

Vi lagrer forøvrig ikke mer sensitiv kundeinformasjon enn du kan finne med enkle søk på gulesider/nettet, men tar kritikken til etterretning.
Vis hele sitatet...
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av JetCarrier Vis innlegg
Hei og takk for tilbakemeldinger. Vi har endret litt på håndteringen av "glemt passord" opplegget.

Sannsynligheten for at noen har "sniffet" på trafikken vår er liten, og hvis så skal ha skjedd er det ikke noe særlig ugang man får gjort annet enn å endre adresse, telefon og e-post for kontoen. Det er ikke mulig for reg. brukere å slette kontoen selv eller endre på navnet kontoen er reg. på, det kan kun gjøres av kundeservice ved direkte kontakt og etter gitte rammer.
I tillegg er det gratis å registrere en ny konto om uhellet skulle være ute.

Vi lagrer forøvrig ikke mer sensitiv kundeinformasjon enn du kan finne med enkle søk på gulesider/nettet, men tar kritikken til etterretning.
Vis hele sitatet...
Takk for at de på utmerka vis illustrer inkompetanse!

Problemet er at folk er idioter - og bruker samme passord over alt. Det er veldokumentert at det skjer jamnleg, og er omtala i m.a. VG.

Det finst ingen gode grunner til å oppbevare passord i klartekst, og mange gode grunner for å ikkje gjere det. At de vel å svare med 'ingen fare', istadenfor 'Oisann, det skal vi fikse' seier meir om jetcarrier enn noko anna: de tar ikkje sikkerhet seriøst.
Dette står til STRYK!

Det er ingen her som har klaget på hvordan "glemt passord" opplegget fungerer. Det som derimot er klaget på og som blir konkret kritisert er at dere faktisk lagrer passordet i klartekst i deres database, eller på en måte som er reverserbar. Dette kombinert med at folk ofte bruker samme e-postadresse med samme passord andre steder - og i værste tilfelle samme passord på e-postkontoen sin - gjør at dette er ett stort problem.

At dere ikke tror sannsynligheten er stor for at noen har sniffet trafikken deres har eg ingen tillit til. Hva vet dere om det? Hva med sikkerhetshull som kan utnyttes? Hvor lagres backup? Vet dere at WordPress versjonen dere kjører på er utdatert?
Sitat av alle
JetCarrier lagrer passord i klartekst.
Vis hele sitatet...
Kanskje litt pirkete, men det er ikke gitt at de faktisk lagrer passordene i klartekst -- altså at du kan lese passordene til medlemmene bare du klarer å få tak i databasen. Det er vel heller vel så sannsynlig at de lagrer passordene kryptert, men med mulighet til å dekryptere dem igjen. Dette er jo også veldig ille, ettersom en med tilgang til både databasen og krypteringsalgoritmen og krypteringsnøkkelen vil kunne dekryptere passordene og dermed lese dem i klartekst -- noe man får om man klarer å dra ut hele siten fra serveren. Men det er ikke helt like ille, og rent teknisk sett litt annerledes.

Det er uansett et alvorlig sikkerhetsproblem som JetCarrier burde ta veldig seriøst og fikse snarest.

Sitat av mentalmelt Vis innlegg
Hvis dere ikke rører litt i gryta så gjør jeg det.

https://www.facebook.com/JetCarrier/posts_to_page/
Vis hele sitatet...
Der var det jo mystisk få innlegg om dette problemet. Er det slik å forstå at JetCarrier forsøker å løse dette problemet ved å sensurere kritikken? Eller er det ingen som har tatt det opp?
Sist endret av Provo; 19. april 2016 kl. 11:31. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Provo Vis innlegg

Der var det jo mystisk få innlegg om dette problemet. Er det slik å forstå at JetCarrier forsøker å løse dette problemet ved å sensurere kritikken? Eller er det ingen som har tatt det opp?
Vis hele sitatet...
Det er tatt opp, og jetcarrier har sletta det. Det understreker reaksjonen deira i denne tråden - dei tar ikkje innvendinga på alvor.

Det er så fjernt frå best practice at det er latterleg av jetcarrier.
Sitat av vidarlo Vis innlegg
Det er tatt opp, og jetcarrier har sletta det. Det understreker reaksjonen deira i denne tråden - dei tar ikkje innvendinga på alvor.

Det er så fjernt frå best practice at det er latterleg av jetcarrier.
Vis hele sitatet...
Vel, de har jo endra på funksjonen for å sende folk passord, da. Slik at man ikke lenger ser at sikkerhetshullet er der når man har glemt passordet sitt. Fordi hvis de slemme hackerne ikke får sitt opprinnelige passord når de sender en epost til jetcarrier, så kommer de helt sikkert ikke til å prøve å hente ut passordene når de har skaffet seg tilgang til siten. Det er jo som kjent slik hackere pleier å opere.

Ute av øye, ute av... ute av min liste over relevante arbeidsoppgaver for i dag.
Man får gjerne rope Ulv - Ulv, men dette er en hamster som løper forbi...

Hamsteren er nå uskadliggjort (den har riktignok beholdt sine tenner) og livet vender tilbake fra ren unntakstilstand til… ja, normalen.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av JetCarrier Vis innlegg
Man får gjerne rope Ulv - Ulv, men dette er en hamster som løper forbi...

Hamsteren er nå uskadliggjort (den har riktignok beholdt sine tenner) og livet vender tilbake fra ren unntakstilstand til… ja, normalen.
Vis hele sitatet...
Javel, så passord er lagra med einvegshashing? Eller har de berre slutta å sende dei ut?
Sitat av JetCarrier Vis innlegg
Man får gjerne rope Ulv - Ulv, men dette er en hamster som løper forbi...

Hamsteren er nå uskadliggjort (den har riktignok beholdt sine tenner) og livet vender tilbake fra ren unntakstilstand til… ja, normalen.
Vis hele sitatet...
Jeg vet ikke om det bare er meg, men jeg får i alle fall ikke mer tiltro til selskapers holdninger til elementær datasikkerhet når deres ansatte kommer med slike ytringer.

ps: Om flere lurer. JetCarrier-brukeren ser ut til å faktisk tilhøre selskapet
Sist endret av nso; 19. april 2016 kl. 20:21.
Ettersom at JetCarrier viser tydelig at de har null kunnskap om sikkerhet og prøver å skjule problemet. Er det noen som vet om et godt alternativ til JetCarrier?
Sitat av Mkvarner Vis innlegg
Ettersom at JetCarrier viser tydelig at de har null kunnskap om sikkerhet og prøver å skjule problemet. Er det noen som vet om et godt alternativ til JetCarrier?
Vis hele sitatet...

Ser ut til at det er flere og flere som tilbyr denne tjenesten etterhvert.
Viabox, MyUS, USGoBuy, Bongous, ShipIto, IpsParcel, ship2me.

Eneste jeg har erfaring med utenom Jetcarrier dog, er borderlinx.
Har sendt etpar pakker med dem, og hatt et tilfelle hvor jeg hadde behov for kundeservice, hvor de var raske med å få ryddet opp. (dobbel mva på pakke).
Sist endret av Lanjelin; 20. april 2016 kl. 08:27.
ShipIto.com er genialt, digger de hardt. Sykt billig faktisk (ofte laaangt billigere enn hva nettbutikkene skal ha for å shippe direkte til Norge), raskt, gode nettsider, Bitcoin-betaling (ink litt rabatt) og bra support.

Denne pakken kostet f.eks $14 totalt, ink frakt og deres fee:
http://i.imgur.com/LjxYJil.jpg

Ettersom de ikke er et norsk selskap er det heller ikke så farlig om man er litt... kreativ med tolldeklarasjonen

Jeg tror ikke de håndterer MVA i det hele tatt forresten, noe som både kan være en fordel og ulempe, alt ettersom.

Pakkene derfra blir altså i praksis som alle andre pakker bestilt direkte fra utlandet, hvor det er opp til tollen/Posten å evt. kreve inn MVA. Jeg synes iallefall det er en mye greiere løsning enn stresset med Jetcarrier osv hvor de tar seg av fortollingen og MVA.
Sist endret av kris33; 20. april 2016 kl. 18:21. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Det finnes mange konkurrenter til oss, men det er ingen som slår oss på pris.

Kjapp sammenligning:
Pakke fra shipito sendt som på 3 kg, 45x20x10 cm = 71 usd = 577 NOK

Posten tar 146 i fortollingsgebyr om vareverdien inkl. frakt er over 350 NOK. (Samt 170 i dokumentasjonsavgift om det ikke følger med noe som viser varens verdi.)

Samme pakke med JetCarrier = 355 NOK.
JetCarrier tar i 90% av tilfellene aldri fortollingsgebyr.

Konklusjon: en pakke med verdi over 350 NOK er under halve prisen sendt med JetCarrier.

Det er mulig at ivrige moderatorer her vil fjerne innlegget og kalle det reklame, men nå var det faktisk et svar på innlegget over med ren faktainformasjon.
Sitat av JetCarrier Vis innlegg
Det er mulig at ivrige moderatorer her vil fjerne innlegget og kalle det reklame, men nå var det faktisk et svar på innlegget over med ren faktainformasjon.
Vis hele sitatet...
Å reklamere noe annet enn fakta ville jo vært veldig dumt, da det ville vært ulovlig markedsføring.

Uansett - det er ikke her snakk om prisen når de ikke vil bruke deres tjenester. Det går på at dere ble tatt med buksene nede når det kommer til datasikkerhet, og responderte med å pisse fremfor å dra opp buksa og unnskylde. Om jeg så ikke hadde brydd meg om sikkerheten, så er svaret så på jordet at jeg ikke kan ta dere seriøst.

Det er som om du sitter og skryter av prisene, men dataene til brukerne? Næææ, ikke så nøye.
Sitat av JetCarrier Vis innlegg
Det finnes mange konkurrenter til oss, men det er ingen som slår oss på pris.
Vis hele sitatet...
Koster kanskje litt mer, men til gjengjeld får man det man betaler for. Jeg betaler glatt ekstra til konkurrentene deres, så lenge de er seriøse aktører med sikkerheten på plass. At JetCarrier sender sine ansatte ut på forum for "damage control", prøver å feie alvorlige sikkerthetssvikt under teppet ved å "dumme" ned sikkerhetstrusselen. Det lyser arrogant inkompetanse glatt gjennom.

At JetCarrier sender ut en representant for selskapet byr på en kjempemulighet for de til å legge seg flate, ta imot kritikken, forbedre sikkerheten og kommunisere direkte med brukere. At det ender opp med ned-dummet damage control og reklamering (du kan kalle det hva du vil, men det er reklamering) er dritflaut både for deg og JetCarrier.
Sitat av JetCarrier Vis innlegg
...snip...
Pakke fra shipito sendt som på 3 kg, 45x20x10 cm = 71 usd = 577 NOK
Samme pakke med JetCarrier = 355 NOK.
...snip..
Vis hele sitatet...
La meg sette opp stykket på en litt annen måte, med utgangspunkt i en bruker som har samme brukernavn og passord over alt:

Pakke fra shipito sendt som på 3 kg, 45x20x10 cm = 71 usd = 577 NOK

Samme pakke med JetCarrier = 355 NOK + 5499 NOK på eBay + 3999 NOK på Amazon = 9853 NOK


Som nevnt tidligere, folk stort sett er idioter og bruker samme brukernavn/passord over alt, og når en nettside er naiv og gir faen i brukerens sikkerheten, sitter plutselig en heldig tredjepart med tilgang til alskens kontoer.

Mistet selv en god del penger når Adobe hadde lekkasje av brukerinfo et par år tilbake, da jeg brukte samme info på flere steder.
Sist endret av Lanjelin; 21. april 2016 kl. 11:59.
Ettersom jeg har ansvaret for at denne funksjonen var i drift skal jeg gi en kortbeskrivelse og svare på spekulasjonene.

Endel meldinger her er ute i det blå mens andre har veldig gode anbefalinger som feks å ikke bruke samme passord overalt. Feks er det fortsatt mange phpbb og vbulletin forum som sender deg passord i klartekst, jeg får fortsatt passord i klartekst fra flere norske forum jeg deltar i så akkurat det er noe som henger igjen litt overallt.
Utgiverne av Phpbb & vbulletin har ordnet dette for lengst men antallet forum som ikke er oppdatert er mange, lisens på vbulletin koster jo penger så det er kanskje en grunn.

Når det gjelder jetcarriers løsning vil jeg ikke gå så mye mer inn på det enn å si at kundens passord er kryptert til et hash og er ikke reversibel. Kundedata ligger i kundedatabasen men hashet og passordet ble lagret i en tabell i ekstern database som kun inneholdt to felt, dvs hash og passord ( key - value). Null referanse til kundenummer, navn, etc. Denne ene tabellen lå i en Azure database, bak Azure firwallen, og tillot kun en IP å koble opp.

Som en servise til ikke datakyndige kunder ble passord sendt ut om vi traff tekst ved oppslag på hash og det gjorde vi stort sett ettersom key->value ble lagret eksternt.

Det eneste som kunne skje her var om noen sniffet opp emailen som gikk til: der message body inneholdt passordet.

Som alle her nå vet er den funksjonen fjernet det burde kanskje vært fjernet lenge før og det tar vi kritikk på.

Vi er selvfølgelig opptatt av å holde kundenes data sikret, alle er utsatt for hacking og vi er opptatt av å holde døra lukket og prøver samtidig balansere det mot kundevennlighet.

Jeg antar at som et resultat av denne tråden har vi sett litt DDoS forsøk fra ntnu servere og diverse andre norske domener / servere. Dette har blitt videremeldt til respektive ansvarlige for "abuse" og jeg tror at det er smart å holde seg unna slike aktiviteter.

Når det gjelder hvem som er billigst eller best får man gjøre sin egen mening, uansett blir det idiotisk å sammenligne med en tjeneste der momsjuks er hovedingrediensen.
Sitat av zucchini Vis innlegg
Når det gjelder jetcarriers løsning vil jeg ikke gå så mye mer inn på det enn å si at kundens passord er kryptert til et hash og er ikke reversibel.
Vis hele sitatet...
Sitat av zucchini Vis innlegg
Kundedata ligger i kundedatabasen men hashet og passordet ble lagret i en tabell i ekstern database som kun inneholdt to felt, dvs hash og passord ( key - value). Null referanse til kundenummer, navn, etc. Denne ene tabellen lå i en Azure database, bak Azure firwallen, og tillot kun en IP å koble opp.
Vis hele sitatet...
Så hvordan binder dere kunde opp mot gitt passord hvis det ikke finnes referanser mellom kundenummer, navn, etc. og passord hash? Og hvordan sikrer dere kommunikasjonen mellom deres og Azure sine servere? Det er nok sikrere å ha en slik database lokalt.

Og det skal også sies at det heter ikke «kryptert til et hash», kryptering er reverserbar, mens hash er enveis sjekksum.

Sitat av zucchini Vis innlegg
[...] tabell i ekstern database som kun inneholdt to felt, dvs hash og passord ( key - value).
Vis hele sitatet...
Lagrer dere passordet i klartekst i samme rad som hashen? Hva er vitsen med det? Og hva har key -> value med dette å gjøre? Du vet at «key» er navnet på kolonne og «value» er kolonne verdien i gitt rad? Syns dette ligner på et desperat forsøk på å drive skadebegrensning ved å bruk av buzzwords for å virke troverdig, men jeg må nok skuffe deg; freakforum har høy datakompetanse, hvertfall mye høyere enn hva JetCarriers «IT-avdeling» viser her.

Sitat av zucchini Vis innlegg
Som en servise til ikke datakyndige kunder ble passord sendt ut om vi traff tekst ved oppslag på hash og det gjorde vi stort sett ettersom key->value ble lagret eksternt.
Vis hele sitatet...
Igjen, hva har «key -> value» med dette å gjøre? Og jeg trodde dere hashet passordene med enveis hash, i hvertfall påsto du det ovenfor i innlegget. Så da er spørsmålet, hvordan klarte dere å få frem passordet i klartekst fra en enveis hash?

Sitat av zucchini Vis innlegg
Vi er selvfølgelig opptatt av å holde kundenes data sikret, alle er utsatt for hacking og vi er opptatt av å holde døra lukket og prøver samtidig balansere det mot kundevennlighet.
Vis hele sitatet...
Nei, dere bryr dere ikke om kundenes sikkerhet. I tillegg viser JetCarrier manglende kunnskap om datasikkerhet ved å be deres «datasikkerhetsansvarlig» å svare i et forum ved å bruke buzzwords.

Sitat av zucchini Vis innlegg
Jeg antar at som et resultat av denne tråden har vi sett litt DDoS forsøk fra ntnu servere og diverse andre norske domener / servere. Dette har blitt videremeldt til respektive ansvarlige for "abuse" og jeg tror at det er smart å holde seg unna slike aktiviteter.
Vis hele sitatet...
Ja, huff DDoS angrep. Tror ikke du vet hva det er eller hvordan det fungerer, hvis du hadde gjort det så hadde du også vist at dette er noe 14 åringer som tror dem er datahackere driver på med, og at man ikke får noe passord ut med et slikt angrep. Tror nok du må prøve på noe annet hvis dere ønsker å innta offerrollen.

Dette begynner å bli såpass ille at man burde ha tipset media om denne saken, slik at dem kan advare andre norske borgere mot deres tjenester.
Sist endret av 0xFF; 21. april 2016 kl. 20:25.
Sitat av zucchini Vis innlegg
Når det gjelder jetcarriers løsning vil jeg ikke gå så mye mer inn på det enn å si at kundens passord er kryptert til et hash og er ikke reversibel. Kundedata ligger i kundedatabasen men hashet og passordet ble lagret i en tabell i ekstern database som kun inneholdt to felt, dvs hash og passord ( key - value). Null referanse til kundenummer, navn, etc. Denne ene tabellen lå i en Azure database, bak Azure firwallen, og tillot kun en IP å koble opp.
Vis hele sitatet...
Så, du har tatt en enveis-hash og gjort den om til toveis-hash.

Hva med å gjøre det enkelt;
- Krypter passordet med SHA1 i databasen.
- Bruk en unik ID for å resette passord på brukeren.
- Lag et skript som genererer en ny unik ID for hver gang "glemt passord" blir aktivert. Send ut mail med link til en nettside hvor ID-en blir hentet frem og bearbeidet i databasen, hvor brukeren til slutt får velge sitt eget passord.
Sitat av HighAtBirth Vis innlegg
Så, du har tatt en enveis-hash og gjort den om til toveis-hash.

Hva med å gjøre det enkelt;
- Krypter passordet med SHA1 i databasen.
- Bruk en unik ID for å resette passord på brukeren.
- Lag et skript som genererer en ny unik ID for hver gang "glemt passord" blir aktivert. Send ut mail med link til en nettside hvor ID-en blir hentet frem og bearbeidet i databasen, hvor brukeren til slutt får velge sitt eget passord.
Vis hele sitatet...
SHA-1 er blitt for flere år siden betegnet som «sårbar», gå for SHA-2 (256,384,512) eller Keccak som er nyeste medlem i SHA-familien. Men det skal sies at SHA-(1/2/3) ikke er designet for å hashe passord, men heller en sjekksum av data, derfor krever SHA-familien lite datakraft for å generere hashene, noe som ikke er ønskelig når man hasher passord.

Derfor er det nødvendig å kombinere SHA algoritmer med PBKDF2 eller andre passord nøkkel generering funksjoner som basererer seg på iterasjoner av hashing. Jo flere iterasjoner, jo lengere tid tar det å knekke den.
Sist endret av 0xFF; 21. april 2016 kl. 20:49.
Sitat av 0xFF Vis innlegg
Lagrer dere passordet i klartekst i samme rad som hashen? Hva er vitsen med det?
Vis hele sitatet...
Jeg tror det han sier er at kun hash blir lagret i brukerdatabasen. Samtidig har de en ekstern database som bare inneholder hash og samsvarende passord uten tilknytning til noen spesifikk bruker. Så når kunder har glemt passordet sitt, blir deres hash slått opp i den eksterne databasen for å finne det samsvarende passordet, som så blir sendt til kunden. Den eksterne databasen tar kun imot oppslag gjort fra JetCarriers egen IP.

Hvis dette stemmer, er det bedre enn først antatt. Men det er fortsatt blant annet åpent for misbruk hos utro ansatte som kan gjøre oppslag med brukeres hash for å finne passordet de har brukt, for så å forsøke å bruke samme kombinasjon av e-post og passord på andre tjenester.
Sitat av Provo Vis innlegg
Hvis dette stemmer, er det bedre enn først antatt.
Vis hele sitatet...
I mine øyne forbedrer det ingenting, da en person som SQL-injecter glemt passord-skriptet kan få ut den dataen likevel....

Han har gjort en enveishash til en toveishash. Jeg tror heller ikke på hans forklaring vedrørende hvordan databasen er bygd opp, hvorfor ellers være så redd for å gå inn på det?

Det er vel enkelt og greit bare å bruke den beste krypteringsmetoden man kan bruke, og være sikker på at den er irreversibel.
Og fortelle om det, for uansett, hvem skulle ellers klart å cracke den beste krypteringen?

.. Og hvis noen klarer å cracke den beste krypteringen, klarer de nok å få ut passordet så lenge JetCarrier lagrer dem i klartekst likevel.....
Sitat av 0xFF Vis innlegg
Ja, huff DDoS angrep. Tror ikke du vet hva det er eller hvordan det fungerer, hvis du hadde gjort det så hadde du også vist at dette er noe 14 åringer som tror dem er datahackere driver på med, og at man ikke får noe passord ut med et slikt angrep. Tror nok du må prøve på noe annet hvis dere ønsker å innta offerrollen.
Vis hele sitatet...
Spar på kruttet. Han sa ikke at noen prøvde å hente ut passordene vha. DDoS, kun at de har blitt utsatt for det som følge av denne tråden.