När jag i veckan hade lite tid över satt jag och rensade bland min e-post. Efter en stund insåg jag att jag har fått mitt lösenord till otroligt många hemsidor utskickade till en och samma adress. Detta gjorde mig lite skrämt och jag såg framför mig vad som skulle kunna hända om någon kommer åt just den e-postadressen.
Så jag bestämde mig för att göra en test för att se hur olika hemsidor där jag är registrerad går tillväga när man begär ut sitt lösenord och hur de lagras i deras databas. Hur många av dessa sidor skickar ut mitt befintliga lösenord och hur många skapar ett nytt eller ber mig skapa ett nytt? Lagrar de olika sidorna lösenorden i klartext eller är de krypterade, vad skulle hända med mitt lösenord om hemsidan blir hackad?
Jag begärde ut inloggningsuppgifterna från ett urval av de hemsidor som jag vet att jag finns registrerad på. Storleken på hemsidorna är olika, men de flesta har över 100 000 användare i sitt register.
Resultatet av mitt test är både glädjande och skrämmande. Det glädjande är att det bara är tre av de 26 testade hemsidorna som lagrar uppgifterna i klartext. Det som är skrämmande att det är så många som tre hemsidor som lagrar uppgifterna i klartext, och att det är stora hemsidor.
Följande 26 hemsidor har varit med i testet:
Adlibris РSkickar ut mitt l̦senord i klartext
Affiliator – Skickar ut länk där jag fÃ¥r bekräfta om jag vill genomföra bytet. Det nya lösenordet skickas sedan via e-post.
Binero – Skickar ut länk där jag fÃ¥r ett nytt lösenord
Bokus – Skickar ut länk där jag fÃ¥r välja nytt lösenord
DustinHome РSkickar ut mitt l̦senord i klartext
Facebook – Skickar ut en Ã¥terställningskod som jag använder för att kunna välja nytt lösenord
Fotosidan – Skickar ut länk där jag fÃ¥r välja nytt lösenord
Funbeat РSkapar nytt l̦senord och skickar ut det
Gymgrossisten – Skickar ut kundnummer och Ã¥terställningskod som jag använder för att kunna välja nytt lösenord
Katshing РSkapar nytt l̦senord och skickar ut det
Komplett РSkapar nytt l̦senord och skickar ut det
LastFM – Skickar ut länk där jag fÃ¥r välja nytt lösenord
MaxFPS РSkapar nytt l̦senord och skickar ut det
Onlinepizza РSkapar nytt l̦senord och skickar ut det
Resdagboken – Skickar ut länk där jag fÃ¥r välja nytt lösenord
SEO-forum – Skickar ut länk där jag fÃ¥r bekräfta om jag vill genomföra bytet. Det nya lösenordet skickas sedan via e-post.
SF – Skickar ut länk där jag kan logga in en gÃ¥ng och byta lösenord
SkÃ¥netrafiken – Ber mig fylla i personnummer, användarnamn och nytt lösenord. Skickar sedan ut meddelande med länk där jag ska godkänna ändringen.
Spotify – Skickar ut länk där jag fÃ¥r välja nytt lösenord
Studera.nu – Skickar ut länk där jag fÃ¥r välja nytt lösenord
Ticnet РSkickar ut mitt l̦senord i klartext
Tradedoubler – Skickar ut länk där jag fÃ¥r välja nytt lösenord
Twitter – Skickar ut länk där jag fÃ¥r välja nytt lösenord
Västtrafik – Ber mig fylla i e-post, användarnamn och nytt lösenord. Skickar sedan ut meddelande med länk där jag ska godkänna ändringen.
WN – Skickar ut länk där jag fÃ¥r bekräfta om jag vill genomföra bytet. Det nya lösenordet skickas sedan via e-post.
Zanox РSkapar nytt l̦senord och skickar ut det
Adlibris är ett företag som lagrar lösenord i klartext, DustinHome är även de ett företag som lagrar lösenord i klartext precis som Ticnet är ett företag som lagrar lösenord i klartext. Det finns möjlighet att det är fler företag på listan som inte krypterar lösenorden, men detta har jag ingen möjlighet att testa.
Samtidigt vill jag uppmärksamma er på lösenordsbytardagen som infaller den 20 januari varje år.
Skrämmande! Att företagen inte visar mer respekt för sina kunders säkerhet?
Och egentligen är det väl allt annat än omöjligt att ännu flera av sajterna också lagrar okrypterade lösenord, men har vett att inte mejla ut dem.
1Password tror jag är ett rätt vettigt verktyg för att generera lösenord och hålla reda på dem, för att värna om den egna säkerheten: http://bit.ly/1Golyl
Poolias CV-databas skickar ut en länk som leder direkt till en sida där användare är inloggad + lösenordet i klartext.
Lägg till Nabble på listan:
http://www.nabble.com/help/Answer.jtp?id=25
Det är ju riktigt kasst att det fortfarande finns de sidor som sparar lösenord i klartext. Har de inte lärt sig av andras misstag eller varför tar de inte tag i det? BÃ¥de DustinHome och Adlibris är ju inga smÃ¥företag direkt…
Även om de inte skickar ut ditt lösenord till dig så finns det fortfarande en stor risk att de faktiskt lagrar det i klartext i sin databas och med ännu lite mer otur så saknar de dessutom skydd mot sql-injections vilket skulle låta folk någorlunda enkelt plocka ut dessa rader.
Absolut är det så, skrämmande hur dålig säkerheten kan vara utan att vi användare vet om det.