Min argumentation mot Oscar höll således vid den tidpunkt det skrevs, eftersom Loopia då skötte lösenordet på ett dåligt sätt.

Är ju helt klart kul om jag varit en bidragande orsak…

Som ett led i vårt arbete för förbättrad säkerhet på Dustin homes webbplats gör vi nu skillnad på versaler och gemener i våra kunders lösenord.

Verkar som om de blivit inspirerade av dig

Personligen kan jag inte göra annat än att rekommendera Binero, efter deras snabba respons på mitt påpekande så har de förbättrat sitt anseende ännu mer i mina ögon. Min artikel var däremot inte skriven i syfte att fungera som reklam för Binero. Kan tänka mig att många lätt kan få för sig det.

Googles Adsense kan ibland bjuda på annonser som i sammanhanget är lite humoristiska, jag har bland annat fått se att ”Gud älskar dig” (vilket väl är bra antar jag?)…

Får fundera på om jag ska blockera det annonselementet eller ej

Jag funderar på att byta till Binero som du skrev om, dom verkar vara båda mer säkra och ödmjuka inför ev misstag dom gör!

ps. Roligt att din google-reklam visar en annons för Loopia när jag besökte din blog! ds.

I mina ögon är det ett säkerhetsproblem att lösenorden kan dekrypteras, det finns egentligen ingen bra anledning till det. Har man glömt sitt lösenord kan man lika gärna ange ett nytt som sedan hashas. Ur smidighethänseende går man egentligen inte miste om något, däremot vinner man säkerhet genom det.

Det jag menar är att informationen kan ligga krypterad i databasen med någon krypteringsteknik. Jag har inte stött på att det finns något som säger att deras lösenord är hashade, de kan lika gärna vara krypterade

Grundtanken med en hash är att man inte skall kunna återskapa indatan utifrån en given hash, vilket i många lägen är en bra lösning på att lagra till exempel lösenord på ett säkert sätt. Krypteringar finns det oerhört många varianter av, gemensamt för ”vanliga” krypteringar (hashfunktioner uteslutna) är dock just att det går att återskapa indatan. Detta gäller både symmetriska och asymmetriska krypteringar.

Jag är så klart nyfiken på lite mer exakt vad du åsyftar, så jag hoppas att du hittar hit igen (jag skickar en påminnelse via mailen med )

Tack för din kommentar!

Men detta är hårresande:

http://imajr.com/active24-080130-8.bmp-694644

Märk väl att Active 24 i första hand vänder sig till företagskunder. Allt ligger öppet för en snokig administratör, eller den som eventuellt lyckas bryta sig in på det ena eller andra sättet.

Problematiken med folk som använder samma lösenord på flera platser blir uppenbar.

Anders B: Active 24 är alltså ännu ett webbhotell som missköter sig… Är läget verkligen så illa ute i IT-sverige?

Jag förstår att det kanske inte är helt lämpligt att lägga upp en skärmdump med synliga uppgifter i, men känner du för det så är det bara att du maskerar dem och sedan skriver en kommentar med en länk till bilden så kan alla se

Till er alla som kommenterar: Tusen tack för era kommentarer och uppgifter!

Inloggad som administratör visas på startsidan en lista över samtliga epostkonton med respektive lösenord i klartext!!!

Jag fick rysningar när jag såg det, ringde supporten och frågade vaff**n. Snorkig supportperson förstod inte vad jag menade, eller så spelade han dum. Detta var för över ett år sedan och det ser likadant ut än idag.

Skulle gärna lägga ut en skärmdump men den möjligheten finns tyvärr inte i detta forum

Tyvärr så skedde konversationen via deras Online chat-tjänst. Jag hade tagit en screenshot som jag råkade skriva över med nåt annat i clipboarden

Hans förklaring var att jag inte behöver oroa mig eftersom deras tjänster är säkra nog.

Bmo: One.com är ju å andra sidan inte precis kända för att hålla kvalitet på sina tjänster…
Det gör å andra sidan inte missen med lösenord i klartext bättre på något vis.

Hade de någon förklaring? Finns det någon mailväxling att ta del av?

Det är ju så klart inte säkert att lösenorden lagras i klartext, men det råder ingen tvekan om att krypteringen i varje fall är reversibel. Med tanke på hur det sett ut hos Efterfesten och Mecenat AB så är det ju knappast helt osannolikt att de lagrar det som klartext däremot.

Supportens svar lämnar rätt mycket att önska, men av svaret att döma så rör det sig ju om ett aktivt val att sänka säkerheten på det här sättet. Deras säkerhetsaspekter vad gäller den här biten verkar ju inte fått sig någon nämnvärd översyn det senaste halvåret i alla fall.

Tack för din kommentar och utdraget från svaret från Loopias support!

Emil: Nej, man kan tycka att det är rätt konstigt att de aktivt har förbjudit sådana lösenord i sitt system…

/Christofer

”Det är bra att du är säkerhetsmedveten. Du behöver dock inte vara orolig
över att säkerheten på något sätt skulle vara låg hos oss.
Man kan använda både gemener och versaler vid inloggning i LoopiaKundzon,
men det är för att förenkla för kunden.
Eftersom det fortfarande går att variera i längd och att man inte enbart ska
ha bokstäver i lösenordet, begränsas möjligheten att gissa lösenord baserat
på ord. Det är alltså ett medvetet val att ignorera gemener och versaler i
inloggningen till Loopia Kundzonen.

Vi håller på att se över säkerhetsaspekterna på alla kundsystem i samband
med en större uppgradering av systemen och det är absolut möjligt att vi tar
bort den möjligheten om den inte används.

Tackar för dina synpunkter. Med din hjälp kan vi bli bättre och leverera en
förbättrad tjänst till våra kunder.

Hör gärna av dig om du har fler förbättringsförslag.”

(Namnet på supporten hos Loopia är bortklippt från svaret för att inte hänga ut någon enskild person som antagligen ändå inte har något beslut i frågan.)