2009-05-07

Why submitting clear text passwords is bad

Jeff Atwood reminds me why even submitting passwords in the clear to a web site can be dangerous: You basically have to trust that they are storing the password in a secure fashion.
Which they more often than not don't.
Coding Horror: I Just Logged In As You: How It Happened:
"I guess I can tell you, so you don't fall into this trap again. There's a site I help out with that doesn't salt their passwords. They're MD5 encrypted, but if you've got a dictionary password, it's very easy to use a reverse-MD5 site to get the original. I was able to figure out you were a user on the site some time back, and realized I could do this, if only I knew your openid provider..."
There are basically two ways of solving this:
  1. Use different passwords for different web sites. SuperGenPass takes the hassle out of this by generating a password based on a master password and the site's domain name.
  2. Hash the password in the browser before submitting. My blog entry Password Authentication Without Revealing Your Password demonstrates a solution to this one.
I really wish client side hashing was more prominent than it is. I have seen it in action only two or three times, one of those implemented by myself.
Lagt inn av kl 15:29 Koblinger til dette innlegget 0 kommentarer
Reaksjoner: 
Etiketter: , ,

2009-05-06

Hemmelig kjennelse i Stavanger Tingrett om piratkopiering

"Dagbladet skrev tirsdag at Stavanger tingrett har avsagt hemmelig kjennelse i spørsmålet om Lyse Tele må utlevere identiteten til en av sine bredbåndskunder som er mistenkt for piratkopiering av «Max Manus»-filmen.
Spørsmålet er svært betent, fordi piratjegerne som vil ha identiteten er advokater som jobber på vegne av en privat kunde.
Idag er det bare politiet som kan kreve dette, men i et byråkratvedtak av Post- og teletilsynet er det åpnet for at advokatfirmaet kan kreve utlevering på egenhånd, uten å måtte gå via politiet.
Reaksjonene på dette har kommet på nettet, men politikerne har så langt holdt seg unna på tross av mange oppfordringer om å komme på banen."
Hvor er politikerne? Er det slik vi vil ha det?
Dommeren som har avsagt kjennelsen har tatt ferie. Tilfeldig?
Se kommentarene på Twitter: #krevsvar
Lagt inn av kl 16:42 Koblinger til dette innlegget 0 kommentarer
Reaksjoner: 
Etiketter: , ,
Abonner på: Innlegg (Atom)