Varför gör företag så här, 2026? 🤔
Lagrar de lösenord i klartext? Det spelar ju absolut ingen som helst roll om användaren trycker in 64, 256, 512 eller 1024 tecken som lösenord vad gäller leverantörens plattform.
#wtf #cybersec #itsec #infosec #fortnox #passwords #cybersecurity #ffs
@dotmavriq Pinsamt är det, men inte "lite" ... 👀 😎
Det är klart att det är en ryggsäck från förr, men ... "förr" var ganska länge sedan nu, kan jag tycka.
Jag har inga problem med att de sätter en gräns för just formuläret, men det behöver ju
a) Ändå valideras/hanteras i back-end
och
b) En hash eller liknande blir ju liksom inte längre för att du räknar den på 256 tecken 😉
@joho Det finns anledningar att hantera klartextlösenord som jag har varit med och implementerat, och det är när lösenordet ska kunna hanteras av flera olika system.
Systemen i fråga var flera kerberosservrar + AD(kerberos+hashverifiering). Lösenorden behöver då hashas på olika sätt, varav vissa i proprietär Microsoftkod.
Så jag löste det var att asymmetriskt kryptera lösenorden med varje systems nyckel och lagra det tills mottagande system var klar med det.
Joaquim Homrighausen
Jonatan Jansson
Magnus Ahltorp