De senaste veckorna har flera uppmärksammade intrång skett mot sajter som Aftonbladet, Efterfesten och Bilddagboken. Hundratusentals lösenord har därigenom läckt ut. Allt som oftast är lösenorden svaga, eller har lagrats i klartext.

IT-säkerhetstudenten Kristoffer Forsgren kritiserar i sin blogg webbhotellet Loopia för att hantera lösenord på ett bristande sätt, och därigenom riskerar kundernas säkerhet.

- Av en kompis fick jag höra att Loopia inte gör skillnad på stora och små bokstäver i lösenordet. Jag abonnerar själv på deras DNS-tjänst, och testade när jag loggade in på kontrollpanelen om det han sa stämde, och det gjorde det. Jag provade att skriva in mitt lösenord i enbart versaler, enbart gemener och en blandning. Alla varianter accepterades, säger Kristoffer Forsgren till TechWorld Säkerhet.

Kristoffer säger vidare att lösenordslängden är begränsad till sexton tecken, och att specialtecken inte accepteras överhuvudtaget. Det enda som är okej är bokstäverna a till z och siffror.

Den allvarligaste kritiken mot Loopia riktar dock Kristoffer mot att lösenordet tycks lagras i klartext, eller att de kan dekryptera det.

- När jag använde funktionen "glömt lösenord" så fick jag en länk mejlad till mig, där syntes lösenordet i klartext. Det betyder att lösenordet antingen inte krypteras alls eller att det på något sätt är dekrypterbart. Jag tycker det är väldigt allvarligt ur en säkerhetssynpunkt. Lösenorden borde lagras som en saltad hash, och inte vara dekrypterbart.

TechWorld Säkerhet har varit i kontakt med Loopia, som ber att få återkomma. När så sker kommer denna artikel att uppdateras.

Läs mer i Kristoffer Forsgrens blogg Gate 303.