Lunarstorm brister i säkerheten med lösenord

2007-10-07 13:16 | Kategorier » Internet, IT-säkerhet, Webb,

Jag har varit medlem på Lunarstorm under många år, mer eller mindre sedan sidan bytte namn till Lunarstorm från det föregående namnet Stajl Plejs.

Konstigt nog är det först nu som jag har upptäckt en brist i deras hantering av lösenorden, jag vet inte hur länge den funnits där.

Lunarstorm skiljer inte på versaler och gemener, det spelar alltså ingen roll ifall man har stora eller små bokstäver i lösenordet.

Antag att en person ställer in lösenordet ”MinGulaFisk”. Detta lösenord verkar sparas (förhoppningsvis krypterat) i Lunarstorms databas som ”mingulafisk”. När man sedan loggar in så omvandlas det lösenord man skriver in till att enbart innehålla små bokstäver för att sedan jämföras med lösenordet i Lunarstorms databas.

Bokstavskombinationen ”mingulafisk” kan man skriva på totalt sett 2047 olika sätt men med den hantering Lunarstorm har resulterar alla dessa kombinationer i ett enda lagrat värde. Det behövs inget geni för att se att det leder till en minskad säkerhetsnivå.

Säkra lösenord ska kunna bestå av stora och små bokstäver, siffror och helst även specialtecken (punkt, komma, ”brädgård” och så vidare). De flesta nöjer sig dock med bokstavskombinationer, ofta bestående av ord. I detta fall resulterar det sätt Lunarstorm hanterar lösenorden i en rejäl minskning av säkerheten för inloggningen.

Jag anser att detta är något som Lunarstorm bör ta tag i snarast, det borde inte vara avancerat att lösa heller.