I helgen uppmärksammade en kund till datoråterförsäljaren Dustin att företaget inte lagrar kundernas lösenord i krypterad form. Det betyder att Dustins personal via företagets nuvarande säljsystem enkelt kan se de lösenord som används på webbplatsen Dustin.se.

Per Lengquist DustinPC för Alla kontaktade Dustins it-chef, Per Lengquist, och frågade honom om hur hanteringen sker i dag och hur företaget planerar att bättra på säkerheten framöver.

Stämmer det är att lösenord lagras i klartext i ert säljsystems databas?

– Det stämmer att lösenorden lagras i klartext i databasen. Korrekt hantering är hashade så att ingen – inte ens vi själva – kan återskapa kundens lösenord utan bara verifiera det.

Hur länge har det nuvarande säljsystemet varit i drift?

– Det har varit med sedan starten 1995.

När kommer ni att gå över till ert nya system, och hur hanteras lösenord där?

– Det nya systemet är färdigbyggt och nu arbetar vi intensivt med test och kvalitetssäkring inför övergången som är planerad till början av 2014. Där kommer lösenorden att lagras hashade med salt per kund.

Han tillägger att Dustin även vidtar en rad extra säkerhetsåtgärder som inkluderar möjligheten att kryptera lösenorden i företagets nuvarande säljsystem.

Så här skyddar du dig

Har du ett konto på Dustin och vet med dig att du har använt samma lösenord på andra tjänster bör du ändra dessa. Använder du exempelvis lösenordet 1234 på Dustins webbplats och samma lösenord på Facebook, bör du genast byta ut lösenordet på Facebook.

Som alltid när det handlar om lösenord bör du aldrig använda samma lösenord på flera webbtjänster. För att hålla reda på alla lösenord finns det flera bra appar du bör titta närmare på.