Lagrer Terrengsykkel.no passord i klartekst?

Hei

Fikk mail fra IT i dag :
NorCERT  "har tilegnet seg informasjon de egentlig ikke vil ha tilgang til." - dvs passordet ditt. terrengsykkel.no sender passord i klartekst.

Er vel ikke helt i henhold til best practice?

Har vel vært oppe til diskusjon tidligere. UBBforumet støtter vel ikke HTTPS, så da blir det klartekst.

oki

har byttet passord da:)

Det nye passordet ditt kan sniffes like enkelt som det gamle, under overføring, om du fortsetter å bruke http protokollen.
Bruk heller https://terrengsykkel.no.

Lagring av passord er en helt annen sak igjen. Der bør det brukes enveis-hash krypteringsalgoritmer. Om et nettsted har en "Send meg passordet mitt på epost"-tjeneste, bør det ropes varsko, for da er pasordet ikke krypert på "riktig" måte, eller det lagres ukrypert.

Skill mellom passordgrupper.

En gruppe er tjenester som er sikre og gode og hvor du har data du ikke vil at uvedkommende skal ha, dvs. nettbank, mail, facebook, samt ev. nettbutikker (av den sikre typen) du handler så ofte at du legger igjen kortnummer. På disse legger du et bombesikkert passord, og med en liten variasjon mellom hver av tjenestene.

En gruppe er forum som terrengsykkel.no, nettbutikker du ikke har kort i osv osv, slikt det blir hundrevis av gjennom årene og hvis et passord du har brukt flere steder kommer på avveie er det ingenting av betydning å hente.

Eller så kan man bruke en passordtjeneste man stoler på, og ha et unikt passord for hver tjeneste.

Jeg har et supersterkt passord til passordvaulten min, resten av passordene mine kan jeg ca ingen av, da det er autogenererte sterke passord som automagisk fylles ut.

Go on...

(Les. Hvordan gjør man dette?)

Installerer LastPass-extension til nettlesern din. Lagrer, autofyller og generer skikkelige passord til deg.

Jeg bruker 1password på alle dingsene mine. Dermed har jeg alltid alle passord synket og tilgjengelig via dropbox eller icloud.

Det forutsetter så klart at du stoler på at de som har levert systemet kan sine saker. Men sammenlignet med å gjenbruke passord tror jeg det er en vesentlig lavere risk å benytte en av tungvekterne innen passordhåndteringssystem

Apple tilbyr jo sin egen løsning nå, men jeg har bare fortsatt med 1Password, synes det er greit å skille litt mellom hvem som håndterer infoen min. Så passordhvelv genereres av 1Password, synking foretas av Dropbox, og dingsene jeg bruker det på leveres av Apple.

1Password er fantastisk.

KeePass kan anbefales. Er open source

Dette er feil, UBB støtter https dersom man vil. Dette handler dog om flere ting:

1) går passord over nettet i klartekst eller ikke?
2) passord lagres i klartekst i databasen på serveren?
3) er tilgang til database sikret?
4) er database filene kryptert på disk?
5) er backup av database kryptert?

Bruk av https løser problem 1) [dersom alt er konfiguert riktig på webserver og klient og all software som er brukt er oppdatert]

Enig, men 1) bør jo være en lavthengende frukt her - https://terrengsykkel.no/ubb/ubbthreads.php?ubb=login funker jo uten problemer så jeg skjønner ikke hvorfor man i det hele tatt tilbyr innlogging over http.

Det tok litt tid før jeg stolte på en slik tjeneste, men når jeg tar hensyn til at jeg alltid må velge passord med eller annen relasjon til meg (for å huske dem) og at jeg gjenbruker passord uten kontroll så tar jeg heller sjansen på å legge alle eggene i en kurv.

Jeg bruker Lastpass, men der ser ut til at det er mange her som har peiling og bruker andre tjenester. Er det noen veldig god grunn til å velge den ene fremfor den andre. Først og fremst mht. sikkerhet og ikke så mye andre "kjekt å ha funksjoner".

Jeg har av en eller annen grunn vært tilbakeholden med å synke lastpass kontoen min over på mobilen, men ser at i praksis fører det til at jeg fortsatt har en del enkle passord for steder jeg går inn på utenfor PCen. Skal komme meg i synk.

Og sånn forøvrig: Fy, terrengsykkel.no, fiks kryptoen.
https://www.ssllabs.com/ssltest/analyze.html?d=terrengsykkel.no