Billet system / data sikkerhed
Billet system / data sikkerhed
Igen i år har jeg modtaget en mail fra AaB med tilbud om forlængelse af sæsonkort. I denne mail skriver AaB min bruger samt adgangskode til billet systemet.
Det er, så vidt jeg kan se, en soleklar overtrædelse af alle regler og best practices omkring datasikkerhed. Om det er direkte ulovligt iht person data loven har jeg ikke indsigt i, men der er måske andre, der har denne indsigt ?
Under alle omstændigheder pisser det mig så meget af, at man ikke kan tænke længere, at jeg har tænkt mig at droppe billet systemet fuldstændigt fremover.
Det er, så vidt jeg kan se, en soleklar overtrædelse af alle regler og best practices omkring datasikkerhed. Om det er direkte ulovligt iht person data loven har jeg ikke indsigt i, men der er måske andre, der har denne indsigt ?
Under alle omstændigheder pisser det mig så meget af, at man ikke kan tænke længere, at jeg har tænkt mig at droppe billet systemet fuldstændigt fremover.
- MrBangDK
- Allstar
- Indlæg: 5089
- Tilmeldt: 30. apr 2007, 10:06
- Geografisk sted: 2730 - det mondæne Herlev..
Re: Billet system / data sikkerhed
Har du skrevet til AaB og gjort dem opmærksom på det? Eller bare skrevet det herinde?seamann skrev:Igen i år har jeg modtaget en mail fra AaB med tilbud om forlængelse af sæsonkort. I denne mail skriver AaB min bruger samt adgangskode til billet systemet.
Det er, så vidt jeg kan se, en soleklar overtrædelse af alle regler og best practices omkring datasikkerhed. Om det er direkte ulovligt iht person data loven har jeg ikke indsigt i, men der er måske andre, der har denne indsigt ?
Under alle omstændigheder pisser det mig så meget af, at man ikke kan tænke længere, at jeg har tænkt mig at droppe billet systemet fuldstændigt fremover.
Ska' vi hak'?
Re: Billet system / data sikkerhed
Jeg forstår ikke helt problemet?
AaB sender din er mail (som formodes at være privat) hvor de oplyser dit brugernavn og kodeord, eller hvordan?
AaB sender din er mail (som formodes at være privat) hvor de oplyser dit brugernavn og kodeord, eller hvordan?
http://www.youtube.com/watch?v=bx1wypIgVrE
Altid for AaB, Altid for Aalborg, Nordjylland det er mit hjem.
Altid for AaB, Altid for Aalborg, Nordjylland det er mit hjem.
Re: Billet system / data sikkerhed
Problemet er nok først og fremmest, at de ikke gemmer passwordet krypteret. Det burde altså være et mindstekrav! Mange mennesker bruger samme password til flere forskellige ting, så med en mailadresse og et password, kan man måske have fat i eksempelvis et komplet login til en mailkonto... For ikke at tale om webbanken...! Jeg er overbevist om, at sikkerhed ikke er prioriteret særligt højt hos AaB, eftersom de ikke engang har hørt om kryptering af passwords, så mon ikke det ville være barnemad for en bebumset teenage-hacker wannabe at få fat på de oplysninger?jonas386 skrev:Jeg forstår ikke helt problemet?
AaB sender din er mail (som formodes at være privat) hvor de oplyser dit brugernavn og kodeord, eller hvordan?
Contra [1 2 3 4 5 6 7 8 9 10] Pro <-Mit Hilje-indeks
Re: Billet system / data sikkerhed
Ja, jeg har skrevet det til dem. Både sidste år og igen i år.MrBangDK skrev:Har du skrevet til AaB og gjort dem opmærksom på det? Eller bare skrevet det herinde?seamann skrev:Igen i år har jeg modtaget en mail fra AaB med tilbud om forlængelse af sæsonkort. I denne mail skriver AaB min bruger samt adgangskode til billet systemet.
Det er, så vidt jeg kan se, en soleklar overtrædelse af alle regler og best practices omkring datasikkerhed. Om det er direkte ulovligt iht person data loven har jeg ikke indsigt i, men der er måske andre, der har denne indsigt ?
Under alle omstændigheder pisser det mig så meget af, at man ikke kan tænke længere, at jeg har tænkt mig at droppe billet systemet fuldstændigt fremover.
Re: Billet system / data sikkerhed
Det er simpelthen for ringe. Alle der sætter den slags systemer op, bør som minimum have krypteret passwords.
Et brugersystem må aldrig kunne oplyse brugere om deres password, men blot give mulighed for at nulstille det.
Et brugersystem må aldrig kunne oplyse brugere om deres password, men blot give mulighed for at nulstille det.
-
- Allstar
- Indlæg: 1913
- Tilmeldt: 15. apr 2006, 23:00
Sv: Billet system / data sikkerhed
Jeg er enig I, at det ikke er god stil at sende en mail med passwordet i, men det betyder jo ikke nødvendigvis, at passwords ikke er opbevaret krypteret på AaBs server. De kan bare være blevet dekrypteret inden afsendelse.
Re: Sv: Billet system / data sikkerhed
Det tror jeg simpelthen ikk på. Desuden så hasher man normalt passwords, og har man gjort det, så kan man ikk få den oprindelige værdi tilbage. Så sikkerheden er nok ca. lig 0.A_Strandfelt skrev:Jeg er enig I, at det ikke er god stil at sende en mail med passwordet i, men det betyder jo ikke nødvendigvis, at passwords ikke er opbevaret krypteret på AaBs server. De kan bare være blevet dekrypteret inden afsendelse.
-
- Allstar
- Indlæg: 1913
- Tilmeldt: 15. apr 2006, 23:00
Sv: Re: Sv: Billet system / data sikkerhed
Jeg ved skam udmærket godt, hvad man gør og hvordan hashes fungerer. Min pointe var, at vi ikke ved, om passwords er krypterede i databasen, som folk ellers nærmest konkluderede her i tråden. Men vi ved, at der ikke er brugt one way hashing, hvilket ellers er den typiske løsning på opbevaring af passwords.Zee skrev:Det tror jeg simpelthen ikk på. Desuden så hasher man normalt passwords, og har man gjort det, så kan man ikk få den oprindelige værdi tilbage. Så sikkerheden er nok ca. lig 0.A_Strandfelt skrev:Jeg er enig I, at det ikke er god stil at sende en mail med passwordet i, men det betyder jo ikke nødvendigvis, at passwords ikke er opbevaret krypteret på AaBs server. De kan bare være blevet dekrypteret inden afsendelse.