Salasanojen talletus tietokantaan

vokkim

Käyttäjä
Liittynyt
27.6.2010
Viestejä
1
Terve.

Rekisteröidyin foorumin käyttäjäksi tuossa reilu viikko sitten ja rekisteröitymisen yhteydessä tervehdysviestin muodossa sähköpostiin kolahti varsinainen ylläri - sekä syöttämäni salasana että käyttäjätunnus selkokielisenä. Tämä viittaisi suoraan siihen, että foorumi tallettaa salasanat selkokielisenä taustalla hyrräävään tietokantaan, joten käyttäjätunnus&salasana-komboihin pääsee suoraan käsiksi tätä kautta.

Kovin suurta velhoa ei tarvita ennustamaan menettelyn aiheuttamaa valtavaa tietoturvariskiä, sekä foorumille itselleen että sen käyttäjille. Suosittelisinkin mahdollisimman ripeästi tutkimaan smf:ssä käytettyjä asetuksia. Mikäli tietokannasta löytyy selkokieliset salasanat, pitäisi käyttäjille luoda esim. generoimalla uudet hashätyt ja saltatut salasanat. Jos huoleni oli väärä ja kannassa on kryptatut salasanat, voisi tuosta mailista ainakin poistaa sen salasanan näkyvistä..
 

rajani

Käyttäjä
Liittynyt
18.2.2007
Viestejä
12 789
Kaupunki
Lahti
Tarkistin että tietokannassa on pelkkä md5-summa.
 

vaakko

Käyttäjä
Liittynyt
21.7.2006
Viestejä
9 146
Kaupunki
Vantaa
Jollakin tavallahan käyttäjälle pitää toimittaa salasana esim. silloin kun se unohtuu eli tuo tunnus+salasana -meili alussa on ihan hyvä ja sittenhän voi käydä vaihtamassa salasanansa jos pelkää omien meiliensä luottamuksellisuuden puolesta. Näin esim. itse olen toiminut.

Ja kuten tiedämme, niin MD5 ei ole mikään lopullinen suoja sekään, mutta foorumin käytön kannalta täysin riittävä. Eli jos joku pääsee käpelöimään kantaa niin salasanat saa kyllä selville jos niin haluaa.
 
Ylös