Visa obesvarade inlägg | Visa aktiva trådar Aktuellt datum och tid: 21 feb 2020, 13:53



Svara på tråd  [ 8 inlägg ] 
 Kryptering? 
Författare Meddelande
Användarvisningsbild

Blev medlem: 07 sep 2006, 17:33
Inlägg: 2291
Ort: Svalsta
OS: Ubuntu
Svara med citat
Inlägg Kryptering?
Varför går det inte att välja att lösenord m.m. ska kunna mailas till mig, krypterat? Med gpg, genom att man laddar upp sin publika nyckel hit.
Man skulle även kunna använda SSL, ett självsignerat certifikat är gratis, så varför inte?


10 okt 2009, 22:10
Profil

Blev medlem: 30 dec 2007, 23:19
Inlägg: 3093
OS: Ubuntu
Utgåva: 19.10 Eoan Ermine
Svara med citat
Inlägg Re: Kryptering?
Rasmus skrev:
Varför går det inte att välja att lösenord m.m. ska kunna mailas till mig, krypterat? Med gpg, genom att man laddar upp sin publika nyckel hit.

Tycker du verkligen att det är en bra idé att forumets användarlösenord förvaras i klartext? Alternativt vet du någon annan metod på hur lösenorden, krypterade eller ej, skulle kunna mailas till dig?
Rasmus skrev:
Man skulle även kunna använda SSL, ett självsignerat certifikat är gratis, så varför inte?

Ett osignerat certifikat må rent strikt sett vara en säkerhetsvinst. Frågan är dock om det inte generellt sett är ett större problem att man "lär" folk att det är okej att klicka undan certifikatvarningar hej vilt? Certifikat handlar ju som bekant inte enbart om att skydda trafiken, utan även om att veta att man verkligen pratar med den webbplats man tror man pratar med.

(Sen så behöver det ju faktiskt inte vara alltför dyrt att faktiskt köpa ett certifikat, om man nu skulle tycka att det vore viktigt.)


10 okt 2009, 23:55
Profil WWW
Användarvisningsbild

Blev medlem: 07 sep 2006, 17:33
Inlägg: 2291
Ort: Svalsta
OS: Ubuntu
Svara med citat
Inlägg Re: Kryptering?
Nej, inge lösenord i klartext. Jag tänkte inte riktigt, tyckte bara att det verkade smart när launchpad mailade mig krypterat. Fast det så klart, det mailas ju sällan någon känslig information, var lite för ivrig där :-[

Det beror ju på, man måste ju kolla adressbaren "Är det rätt sida jag är på?" samt så ska man aldrig godkänna ett självsignerat certifikat hos banker osv.
Fast du kanske har rätt, svår fråga. Dock tycker jag man bör använda kryptering då lösenorden lätt kan sniffas.
Vi är ju inte speciellt många dagliga användare så servern borde klara det och om det inte medför problem bör man använda kryptering som standard, oavsett om det behövs eller ej.

Finns det inget annat sätt än certifikat för att kryptera trafiken? Med publika nycklar som servern och användaren kan byta., utan någon funktion för att kontrollera att webplatsen verkligen är den den utger sig för att vara.


11 okt 2009, 00:19
Profil

Blev medlem: 14 jan 2007, 18:31
Inlägg: 6191
Ort: Stockholm
OS: Ubuntu
Utgåva: 20.04 Focal Fossa LTS
Svara med citat
Inlägg Re: Kryptering?
Det är iofs en kul idé att kryptera lösenordsmail, men det känns inte riktigt som att det är värt mödan. Om man vill sniffa lösenord så kan man ju lika gärna göra det på HTTP-trafiken.


11 okt 2009, 08:34
Profil

Blev medlem: 10 feb 2007, 03:08
Inlägg: 1818
OS: Ubuntu
Utgåva: 19.10 Eoan Ermine
Svara med citat
Inlägg Re: Kryptering?
andol skrev:
Alternativt vet du någon annan metod på hur lösenorden, krypterade eller ej, skulle kunna mailas till dig?
Jag är inte så insatt, men kan man inte förvara lösenorden krypterade med den publika nyckeln och sedan skicka dessa v.b. till användaren som kan öppna meddelandet med sin privata nyckel? Då slipper man väl lagra lösenorden i klartext?

Eller har jag missförstått problemet ;)

_________________
Ubuntu/Linux - Grunder: En introduktion till Ubuntu och Linux
Ubuntu/Linux - Basics: An introduction to Ubuntu and Linux (experimental, automated translation)


15 okt 2009, 12:15
Profil WWW
Användarvisningsbild

Blev medlem: 07 sep 2006, 17:33
Inlägg: 2291
Ort: Svalsta
OS: Ubuntu
Svara med citat
Inlägg Re: Kryptering?
Dock är det ju en fördel om servern kan kontrollera lösenordet när man loggade in. Eller ska det sparas två ggr?


15 okt 2009, 14:30
Profil

Blev medlem: 05 jun 2007, 13:03
Inlägg: 1471
Ort: Täby
OS: Debian
Utgåva: 19.10 Eoan Ermine
Svara med citat
Inlägg Re: Kryptering?
Lars skrev:
Det är iofs en kul idé att kryptera lösenordsmail, men det känns inte riktigt som att det är värt mödan. Om man vill sniffa lösenord så kan man ju lika gärna göra det på HTTP-trafiken.


15 okt 2009, 23:21
Profil ICQ YIM

Blev medlem: 10 feb 2007, 03:08
Inlägg: 1818
OS: Ubuntu
Utgåva: 19.10 Eoan Ermine
Svara med citat
Inlägg Re: Kryptering?
Rasmus skrev:
Dock är det ju en fördel om servern kan kontrollera lösenordet när man loggade in. Eller ska det sparas två ggr?

Att göra om hela systemet så att servern publikt krypterar vår inloggning och jämför med en databas är väl möjligt, såvitt jag kan begripa, men kanske en onödigt stor förändring. (Då sparar man ju bara en gång.)

Eftersom frågan väckts så är det ju kul att diskutera vilka möjligheter som finns. Jag tycker det funkar bra som det gör nu. (Jag vill minnas man får tillfälligt lösenord?) Det viktiga är väl att aldrig ha lösenord i klartext sparade.

Jag gissar att MD5 av våra lösen sparas nu. Behåller man det systemet så skulle man alltså behöva spara två gånger för att kunna skicka krypterade lösenord.

Edit: språkl.

_________________
Ubuntu/Linux - Grunder: En introduktion till Ubuntu och Linux
Ubuntu/Linux - Basics: An introduction to Ubuntu and Linux (experimental, automated translation)


16 okt 2009, 07:11
Profil WWW
Visa inlägg nyare än:  Sortera efter  
Svara på tråd   [ 8 inlägg ] 

Vilka är online

Användare som besöker denna kategori: Inga registrerade användare och 3 gäster


Du kan inte skapa nya trådar i denna kategori
Du kan inte svara på trådar i denna kategori
Du kan inte redigera dina inlägg i denna kategori
Du kan inte ta bort dina inlägg i denna kategori
Du kan inte bifoga filer i denna kategori

Sök efter:
Hoppa till:  
cron
Main Engineer for phpBB3: Bertie at phpBB.com © 2000 - 2002, 2005 - 2007, the Group behind the Open Source code of phpBB.
Designed by STSoftware, modified by Katt, Konservburk & Peetra. Swedish translation by Peetra & phpBB Sweden © 2006-2011