Britisk teleudbyder sender klartekst-passwords – med posten

7 kommentarer.  Hop til debatten
Britisk teleudbyder sender klartekst-passwords – med posten
Illustration: MI Grafik.
Den britiske televirksomhed Virgin Media gemmer brugeres adgangskoder i klartekst og sender dem til glemsomme brugere med brevpost.
19. august 2019 kl. 11:02
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den britiske teleudbyder Virgin Media har vakt opsigt, efter en bruger på Twitter brokkede sig over processen med at få nulstillet sin konto.

Brugeren havde glemt sine informationer og måtte igennem en noget aparte nulstillingsprocedure:

Efter en telefonsamtale med kundeservice fik kunden at vide, at koden ville komme med posten.

Den kode, der kom med posten, viste sig oven i købet at være en kode, brugeren kunne genkende. Det er udtryk for, at Virgin Media bruger en yderst ildeset praksis i deres lagring af passwords.

Artiklen fortsætter efter annoncen

For at kunne sende den oprindelige kode med posten er de nemlig nødt til at lagre den i et format, hvoraf den oprindelige kode kan afledes.

På Twitter svarede Verizon Medias konto, at:

»Det er sikkert at sende den til dig med posten, da det er ulovligt at åbne andres breve.«

Remote video URL

Artiklen fortsætter efter annoncen

Verizons udsendelse af passwords i klartekst går imod almindelig praksis, som er at lagre passwords som saltede »hashes«.

Et passwords hash kan verificeres, men kan ikke uden videre føres tilbage til den oprindelige kode. Det betyder, at angribere, som får angreb til databasen, ikke kan se kodeordene, men det forhindrer også virksomheder i at sende brugeres oprindelige koder til dem, da de ikke har adgang til dem.

7 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
20. august 2019 kl. 13:36

Jeg ved ikke hvad det er for et login der skulle stå på din (eller min) el-regning, men det er vel næppe et password som du selv har valgt?

Når jeg gemmer et password hos en eller anden form for udbyder, så er det på et eller andet plan indforstået at det er en hemmelighed jeg deler med udbyderen. Det er et klar brud på min tillid hvis udbyderen ikke behandler den som så.

5
20. august 2019 kl. 13:34

De kan jo bare sige at det er ulovligt at logge ind som andre end dig selv.

4
20. august 2019 kl. 13:25

Plejer der ikke også stå login på vores el regninger?

Nu siger artiklen ikke hvad password giver adgang til, men inden for nogle brancher er det da mere eller mindre normal praksis.

3
20. august 2019 kl. 09:36

Mon ikke der er faldet et par ord ud af sætningen på den post?

... som i indbrud sker sjovt nok alligevel - til trods for det er ulovligt.

Personligt synes jeg ikke indbrud er sjovt. Jeg har trods alt prøvet det to gange.

2
19. august 2019 kl. 20:30

Hvorfor synes du det er sjovt at bryde ind hos andre? Skummelt !

1
19. august 2019 kl. 19:07

Det er også ulovligt at bryde ind hos andre, men det sjovt nok alligevel.