Salasanojen talletus tietokantaan

vokkim

Käyttäjä
Liittynyt
27.6.2010
Viestejä
1
Terve.

Rekisteröidyin foorumin käyttäjäksi tuossa reilu viikko sitten ja rekisteröitymisen yhteydessä tervehdysviestin muodossa sähköpostiin kolahti varsinainen ylläri - sekä syöttämäni salasana että käyttäjätunnus selkokielisenä. Tämä viittaisi suoraan siihen, että foorumi tallettaa salasanat selkokielisenä taustalla hyrräävään tietokantaan, joten käyttäjätunnus&salasana-komboihin pääsee suoraan käsiksi tätä kautta.

Kovin suurta velhoa ei tarvita ennustamaan menettelyn aiheuttamaa valtavaa tietoturvariskiä, sekä foorumille itselleen että sen käyttäjille. Suosittelisinkin mahdollisimman ripeästi tutkimaan smf:ssä käytettyjä asetuksia. Mikäli tietokannasta löytyy selkokieliset salasanat, pitäisi käyttäjille luoda esim. generoimalla uudet hashätyt ja saltatut salasanat. Jos huoleni oli väärä ja kannassa on kryptatut salasanat, voisi tuosta mailista ainakin poistaa sen salasanan näkyvistä..
 
Tarkistin että tietokannassa on pelkkä md5-summa.
 
Jollakin tavallahan käyttäjälle pitää toimittaa salasana esim. silloin kun se unohtuu eli tuo tunnus+salasana -meili alussa on ihan hyvä ja sittenhän voi käydä vaihtamassa salasanansa jos pelkää omien meiliensä luottamuksellisuuden puolesta. Näin esim. itse olen toiminut.

Ja kuten tiedämme, niin MD5 ei ole mikään lopullinen suoja sekään, mutta foorumin käytön kannalta täysin riittävä. Eli jos joku pääsee käpelöimään kantaa niin salasanat saa kyllä selville jos niin haluaa.
 
Back
Ylös