Jag har följt diskussionen om inloggning/säkerhet här på pellesoft. För att bilda mig en uppfattning om just säkerheten bestämde jag mig för att försöka hacka mig in på ett konto.

Vad jag vet om inloggningsproceduren:
-5 tecken typ aaa00 räcker för att logga in.

Tillvägagångssätt:
-testa slumpvisa kombinationer med 5 tecken. Detta görs manuellt med pekfingervalsen..

Tid för att logga in via en annans konto:
-5 försök, ca 30 sekunder. Lyckades logga in som en eric brxxxx

Att överhuvudtaget inte kräva både användarnamn samt lösenord är ju snudd på amatörmässigt. Sen borde man få göra max 3 inloggningsförsök under 1 dygn. OK jag testade 5 och det kanske är någon spärr på 6 försök.

<b>Det finns inget lösenord oavsett antal tecken som man inte kan "knäcka" på 1 sekund!</b>

Pelle: kräv både e-post samt lösenord för att kunna logga in. Viktigt är dock en maxgräns för antal försök per dygn, annars kan man ju testa en specifik användare vars e-post man känner till. 3, 4,5 eller 6 tecken i lösenordet torde vara relativt oväsentligt i detta fall.
Inte idiotsäkert men fullt tillräckligt för denna site. Vore det en bank så är fiaskot ett faktum.

Frågan är vem som skrev detta inlägg?

[edit] beställde precis ett bonusmedlemskap för 200 + moms utan några krav på extra inloggning som den uppges att det krävs. Inte bra :-(

Jag har aldrig påstått detta är ett idiotsäkert system, däremot väldigt smidigt och enkelt och lätt att komma ihåg. Det är klart det är en säkerhetsbrist när det går att knäcka på 5 försök. Dock är det lite konstigt, den skall säga till efter tre missar.

Att spärra en ip-adress är lite svårt eftersom det under många år varit modemanvändare och där byts ip ideligen och då har jag inte tyckte det varit en bra lösning. Idag är det en annan femma - så ha i tankarna att det aldrig varit meningen som fort knox, och likaså - det var ändå 9 år sen ..

Jag kommer se till att det här med inloggningar kommer ändras vartefter..

Men lösningen är ju tämligen enkel. Kräv alltid email som inloggning (precis som för de med bytta lösenord).
Då är säkerheten plötsligt en nivå högre.

Att uppnå Fort Knox säkerhetsnivå är ju kanske inte så aktuellt, men så länge man kan handla ex bonusmedlemskap utan vidare uppgifter bör du nog fixa detta snarast. Jag vill iallafall inte få någon okynnesfaktura där någon beställt massa bonusmedlemskapar a 200:- på rent djävulskap.