Adgangskode

Hvordan er reglerne for danske hjemmesider der gemmer på adgangskoder, små hobbysider er nok ikke af betydning, men jeg har for kort tid siden bedt QXL om at slette min bruger, hvor de bl.a. bad om at oplyse de sidste 3 tegn af min adgangskode.

Nu er jeg selv web programmør, og ved at det er normal kotume at man minimum gemmer alle adgangskoder som md5-hash, somregel sammen med nogle flere kriterier, da man ikke kan genoprette koden til læselig tekst igen. Så i og med at QXL kan bruge de sidste 3 tegn til noget, så kan jeg altså kun konkludere at de har mulighed for at se alle personer i databasens kodeord, da et md5-hash er unikt som hel tekst og ikke kan testes for enkelte sætninger eller udsnit deraf.

Det er da virkelig for dårligt, så må jeg nøjes med at sende en mail videre som oplysning og klage til lovgivningen.

Men er stadig forundret over, hvor, i mine øjne, et stykke amatørarbejde QXL har lavet og, hvor let de tager på sikkerheden.

Men tak.

Har du forresten link el. til mere information om, hvad man må gemme og hvornår og hvordan det skal behandles? Det er jo altid godt at være på forkant, selvom man mener at man gør sit bedste.