Jag mailade Family:s kundtjänst med en undran om varför de läser mitt lösenord.
Här är svaret:
”Hej,
Mycket information är av värde för att avgöra om en annons är seriös eller
inte. Tyvärr kan det någon gång leda till att vi tar fel beslut vilket jag
verkligen beklagar om så varit fallet.
Med vänliga hälsningar,
XXXXXX – Family.se Kundservice”
Det är nu alltså helt bekräftat att de läser folks lösenord.
augusti 9th, 2007 at 1:33 e m
Larma pressarna! Det här är ju helt sinnessjukt.
augusti 9th, 2007 at 2:02 e m
Hmm, jag jobbade som supportare hos en av sveriges största internetlevarntörer för ett antal år sedan och där hade vi full insyn i våra kunders anvädaruppgifter, inklusive lösenord. Jag har aldrig reflekterad över att detta skulle vara något konstigt och förustätter att mitt lösenord kan läsas av alla som adminsistrerar systemen när jag registrerar mig på nån sida på internet.
Nån med lite mer kunskap får gärna berätta vad som är så enastående med detta
augusti 9th, 2007 at 3:13 e m
Andres, det är ett problem därför att många användare har samma lösenord överallt. Du kanske är ärlig men det säger ingenting om alla andra som arbetar med sådana uppgifter.
Genom någons lösenord och kanske även deras primära email så kan du åsamka rätt mycket skada; tex om de har ett paypalkonto registrerat till addressen. Ebay, amazon osv, i princip alla tjänster där kreditkort är knutna till en user och inte måste fyllas i varje gång (betänk scenariot att man ändrar addressen, köper något och tar bort bekräftelseemail).
Det skall väl dock sägas att de flesta andra databaser har fram tills för några år sen lagrat PASSWORD() som MD5.. vilket är ungefär lika säkert som att lagra det i klartext, bara lite struligare. Se tex http://us.md5.crysm.net/ där man kan dekryptera (ohashade) md5-summor och nästan omedelbart få ett svar. En liknande databas är enkel att skapa.
Det finns dessutom liknande tjänster för SHA1() även om de inte är lika kompletta som MD5().
augusti 9th, 2007 at 4:02 e m
OK, jag fattar.
Personligen var det många år sen jag slutade använda ”universallösenord”, jag kör tom med en skräp e-postadress när jag registrerar mig på lite ”mindre seriösa” tjänster som allmänna forum och dylikt i stil med family.se.
Det vore kul att veta hur vanligt detta är. Aftonbladet nästa kanske? ;F
augusti 9th, 2007 at 4:55 e m
Trots allt är det många ovana internetanvändare som gör just så, använder samma lösenord på många ställen.
Att lösenordet sparas i klartext är inte bara en chans för oärliga anställda att komma över lösenord, utan gör dig också känsligare mot stulen data.
Lösenord sparas lämpligen som MD5 hash med salt, ett slumpat värde. På så vis kan man inte jämföra med befintliga ordlistor osv.
augusti 9th, 2007 at 5:02 e m
Det värsta av allt tycker jag är att de granskar folks lösenord systematiskt. En sak att kunna kolla upp folks lösenord i en databas, men att alltid läsa det när folk skickar in annonserna är bara oseriöst.
augusti 9th, 2007 at 5:52 e m
Lösenord till bredband idag lär knappast vara lika känsligt som t.ex. 020 dialups, men jag är ändå förvånad över att läsa det du skriver Andres. Vad fanns det för vikt av att Ni visste det? Om kunden ringde och frågade, gav ni dem deras lösenord?
Dan – vad använde du EGENTLIGEN för lösenord? Jag förstår om du vill hålla det rumsrent i bloggen, men du kan väl höra av dig privat!
augusti 9th, 2007 at 6:04 e m
Jag använde lösenordet ”schibstedsuger”, det är inget skämt eller lögn. Dock väldigt komiskt
augusti 9th, 2007 at 6:53 e m
Tobbe, kunderna hade möjlighet att att styrka att dom var ägare till sitt konto, när dom hörde av sig via mail, genom att uppge lösenord och anvädarnamn vilket vi sedan kontrollerade. Vi gav aldrig ut lösenord på telefon utan skickade dom till den e-postadress som var registrerad på kontot/abonnemanget.
Dan, var det en seriös annons du förökte lägga ut eller? Tänkte på det här med att granska lösenorden systematiskt.