Nya inlägg Dagens inlägg Aktivitetsflöde Obesvarade trådar
Senaste nytt

SAS Eurobonusshop hackade

F

flygahitochdit

Medlem
Håkan Eriksson skrev:
Intressant utveckling idag.
Så även om det mycket väl kan vara så att mitt lösenord hackats (så jävla klurigt lösen hade jag inte) så är det definitivt inte via mailen.
Klicka för att utvidga...

Det går inte att ha en klurigt lösenord för max antal tecken är 12! Fattar inte varför de har satt en så låg begränsning. Man brukar ju säga att 12-14 är minimum (se här: Password strength - Wikipedia ). SAS har dock satt minimum till maximum...
 
J

Johan_S

Medlem
flygahitochdit skrev:
Det går inte att ha en klurigt lösenord för max antal tecken är 12! Fattar inte varför de har satt en så låg begränsning. Man brukar ju säga att 12-14 är minimum (se här: Password strength - Wikipedia ). SAS har dock satt minimum till maximum...
Klicka för att utvidga...

Som utvecklare blir jag mörkrädd när jag ser att det finns en begränsning på hur långt mitt lösenord får vara. Kan tyda på att lösenordet lagras i klartext.. Men man kan hoppas SAS är smartare än så och att begränsningen är någon gammal kvarleva.
 
Jönsson

Jönsson

Medlem
Johan_S skrev:
Som utvecklare blir jag mörkrädd när jag ser att det finns en begränsning på hur långt mitt lösenord får vara. Kan tyda på att lösenordet lagras i klartext.. Men man kan hoppas SAS är smartare än så och att begränsningen är någon gammal kvarleva.
Klicka för att utvidga...
Det är säkert något som ligger kvar från en tidigare version. Tror inte någon utvecklare idag skulle göra ett sådant misstag.
 
mha321

mha321

Medlem
agehall skrev:
Att argumentera om längd på lösenord är helt bortkastat. Säkerhet med enbart lösenord är svag oberoende av längd. Ska man få vettig säkerhet behövs tvåfaktorauthenticering.
Klicka för att utvidga...
För de allra flesta system skulle det räcka utmärkt om folk bara lärde sig hantera det och utvecklare slutade hitta på smarta sätt att hindra folk från att hantera det. Tyvärr kräver det första att "gemene man" utbildas I frågan och det andra kräver att utvecklare tänker till innan de hittar på "smarta saker", och inget av det är speciellt sannolikt.

För mer dyrbara saker som tex ff konton som faktiskt har stort monetärt värde gäller naturligtvis 2FA.
Jönsson skrev:
Det är säkert något som ligger kvar från en tidigare version. Tror inte någon utvecklare idag skulle göra ett sådant misstag.
Klicka för att utvidga...
Hahaha.. Man kunde verkligen önska att det var så, men tyvärr är det inte så verkligheten ser ut.
 
Jönsson

Jönsson

Medlem
agehall skrev:
Att argumentera om längd på lösenord är helt bortkastat. Säkerhet med enbart lösenord är svag oberoende av längd. Ska man få vettig säkerhet behövs tvåfaktorauthenticering.
Klicka för att utvidga...
Är det tvåstegsverifiering du är ute efter? Är det verkligen användbart i ett publikt system?
 
L

LSH

Medlem
Några exempel:
Gmail har frivillig 2FA. När du loggar in på en ny enhet skickas en extrakod som SMS (finns alternativ)
På Skandiabanken har du en lista med engångskoder som du ska knappa in efter att ha verifierat dig med BankId

I båda fallen finns ett lösenord men det ensamt räcker inte för att logga in.
 
M

micsjo

Medlem
Johan_S skrev:
Men man kan hoppas SAS är smartare än så och att begränsningen är någon gammal kvarleva.
Klicka för att utvidga...

Säkert en gammal begränsning av teknisk natur. Första versionerna av Amex inloggning hade max 8 tecken. Jag drog slutsatsen att de hade en gammal version av Oracle som dB i botten eftersom det finns en inbyggd envägshash för att spara lösenord som hade exakt den begränsningen. Meningslöst kort eftersom redan från början var det enkelt att brute force-hacka så korta hashar.
 
You must log in or register to reply here.
Toppen