Tek.no

Artikkel

– Ta nå og skift passord, for svingende

Det er naivt å tro at norske nettsider passer på det for deg, mener vår journalist.

iStock/16428789
26 Mai 2014 20:00

Med svimlende store sikkerhetshull som Heartbleed-feilen og eBay-hackingen friskt i minne, skulle man tro at helt grunnleggende sikkerhetsmekanismer som å lagre passord skikkelig slik at ingen kan stikke av med dem, burde være førsteprioritet for alle seriøse aktører.

Det viser seg imidlertid å være ganske langt fra sannheten. Fra offentlige direktorater til store private selskaper: Å lagre brukernes passord uten noen som helst form for beskyttelse, forekommer fremdeles i Norge i 2014.

Kan viske ut ditt digitale liv

Denne dårlige passordhåndteringen kan raskt få uante konsekvenser. For til tross for alle advarsler og sikkerhetsfiaskoer de siste årene, er og blir det vanlig for folk flest å bruke samme passord flere steder. Sjansene er store for at du har det samme passordet på Facebook-kontoen din, i nettbanken og på Google sine mange tjenester. I så fall trenger bare én av nettstedene du stoler på å tabbe seg ut med sin sikkerhet, for at skurker skal få tilgang til hele ditt digitale liv.

Med stadig større deler av livene våre i nettskyen kan det bli rent katastrofalt om noen bryter seg inn. For Wired-journalisten Mat Honan gikk det slik – han fikk utslettet alt fra telefonlisten sin til hvert eneste barnebilde han noen gang hadde tatt av datteren, bare fordi noen først kom seg inn i hans iCloud.

Ren vandalisme av et slikt kaliber er dessverre bare én av farene. Vel så ille er det at vi ofte lagrer så mye på våre skytjenester og sosiale nettverk at identitetstyveri blir en smal sak. Man kan også ramme venner og familie ved å selv ha dårlig sikkerhet: Kriminelle som logger seg på et uvitende offer sin Facebook- eller Gmail-konto vil få en glimrende plattform å svindle alle som stoler på offeret fra.

Lar «alle» se passordet

Det enkleste og beste ville kanskje vært om alle bare skaffet seg sterke, unike passord til hver eneste av tjenestene de benyttet – og det finnes flere programmer som gjør det til en smal sak å gjøre. Enn så lenge er det dog lite som tyder på at folk flest vil gjøre det, så da er det enda viktigere at de som oppbevarer passordene dine gjør det på en trygg måte.

Det er imidlertid opp til hvert enkelt nettsted å bestemme hvordan passord skal lagres. Mange velger løsninger av laber kvalitet – og det er klartekst som er aller verst. Når passordet lagres i klartekst puttes det inn i en database akkurat sånn som du skrev det.

Alle som har tilgang – eller skaffer seg det på uærlig vis – vil kunne lese passordet, klart som dagen.

Kryptering av forskjellige slag gjør ting mye bedre, for da vil i alle fall ikke noen rent tilfeldig kunne se hva passordet ditt er. Da holder man kundebehandlere på en armlengdes avstand, men alt som er kryptert kan i utgangspunktet dekrypteres. Innbitte tjuveradder som er ute på tokt vil da ikke la seg stoppe av annet enn skikkelig kryptografisk beskyttelse – i form av både hashing og salting.

Selv staten slurver med sikkerhet

Nå er det mange flere måter bedrifter kan slurve på enn hvordan de lagrer passord, og vi kunne også tatt for oss temaer som hvem som sender og mottar data over usikre tilkoblinger – for dem er det også en god del av fremdeles. En må likevel starte et sted, og i lys av sikkerhetsskandalene den siste tiden, samt en rekke gode tips som har kommet inn fra leserne, valgte vi å starte med å sjekke hvordan norske nettsider håndterer passord.

Første besøk var Direktoratet for byggkvalitet sine nettsider. Alle som har tenkt å bygge om huset på en måte som krever godkjenning må registrere seg, og benytte deres tjeneste «ByggSøk».

En skjermdump vi mottok viser at innloggede brukere kan se sitt eget passord lyse mot seg når de vil redigere sin profil, noe som ikke ville vært mulig hvis passordene der var sikret.

Vi har gjentatte ganger forsøkt å kontakte direktoratets presseansvarlige for en kommentar, uten hell.

Europark lover bot og bedring

Staten er ikke alene om å lagre passord i klartekst, og vi testet blant annet parkeringsgiganten Europark sine nettjenester. Her lagde vi en bruker som skulle få parkeringskvitteringer digitalt – som blant annet betød at vi var påkrevd å legge inn et kredittkort samtidig som vi registrerte oss – og testet deretter hva som skjedde da vi sa til nettsiden at vi hadde glemt passordet.

Da sendte nettsiden ut det samme passordet vi hadde tastet inn litt tidligere, i klartekst, og i en helt ordinær e-post. Når passordet ble behandlet såpass lemfeldig ble vi med ett litt urolige for kredittkortene som Europark har lagret, så vi spurte deres administrasjonssjef Pål Gleditsch hvordan de oppbevares.

– Vi kan bekrefte at kredittkort lagres kryptert i vår database. Rutinene for lagring og kryptering er utviklet av et anerkjent programvareselskap og følger gjeldende standarder for datalagring, forteller Gleditsch til Hardware.no.

Om kortdataene er kryptert, hashet, eller hashet og saltet ville han imidlertid ikke si noe om, da Europark anser dette som konfidensiell informasjon. Samtidig fikk vi likevel en forsikring om at noe vil komme til å skje på passordsiden også.

– Vi har iverksatt en prosess for gjennomgang av våre IT-systemer i forbindelse med oppgraderinger, og har også nylig gått over til et nytt bookingsystem. Som en konsekvens av dette vil nåværende løsning for e-kvittering bli faset ut i løpet av kort tid. Sikkerhet er en prioritert oppgave hos oss, og i særlig grad sikkerhet knyttet til vår kundebehandling. Vi er derfor takknemlige for alle tilbakemeldinger vedrørende informasjonssikkerhet, avslutter Gleditsch.

Alt er ikke bare sorgen

Heldigvis er det ikke alle som en dag i fremtiden vil komme til å oppgradere systemene sine – mange har faktisk gjort det allerede. Hos Haugen Bok ble passord lagret i klartekst frem til for et års tid siden, forteller internettansvarlig Stein Tore Eikeset, men de skal være godt sikret i deres nye løsning. Han understreker samtidig at de aldri har lagret informasjon om bankkort på noen måte selv.

Vi bet oss likevel merke i en ting – på Haugen Bok sine nettsider så vi et ikon med påskriften «Trygg E-Handel»; en sertifiseringsordning som skal gjøre det trygt å handle på nett i Norge. Ordningen omfatter over 140 nettbutikker, flere av dem blant landets største, og på listen finner vi også Dustin Home – som vi før jul kunne avsløre at lagret alle kundenes passord i klartekst.

En nærmere titt på kravene for å bli sertifisert viser også at det IT-hoder gjerne tenker på som sikkerhet nesten ikke er omtalt. Istedet handler de fleste kravene om å sikre at sertifiserte butikker følger alle lover og regler; og man blir dermed forsikret om at de ikke drives av noen som vil lure deg.

Vil bli krav fra i sommer

Gerhard Anthun er daglig leder i Distansehandel Norge, som har tatt initiativ til sertifiseringsordningen Trygg E-handel. Han bekrefter at kravene for å bli sertifisert først og fremst dreier seg om at vanlige kjøpsvilkår og lovverk faktisk blir fulgt, og forteller at det årlig tas stikkprøver hos butikkene for å se om de holder reglene.

IT-sikkerheten har til nå ikke vært prioritert, men det skal nå endres på.

– Den saken om Dustin var helt ny for meg, og jeg kan derfor ikke uttale meg spesifikt om den, men høres ut som stort overtramp, forteller Anthun, og slår umiddelbart fast at sertifiseringskravene skal oppdateres.

– Det kommer jo ny angrerettslov som skal tre i kraft fra juni; og da har vi berammet for nettbutikkene at vi kommer til å forandre på våre krav. Ut fra denne typen saker må vi visst gå mye nøyere inn i å sikre personopplysninger. Jeg må si at det er veldig beklagelig, og vi må bare få rettet opp i. Det passer godt å gjøre disse endringene i forbindelsene med de endringene som kommer nå. Så dette vil jeg prioritere.

Det skal med andre ord bli mye tryggere å handle på nett i Norge, og å ha en konto hos butikker med Trygg E-Handel sitt symbol vil etter hvert innebære at de også garantert sikrer passordet ditt skikkelig. Og bevares, mange av dem gjør det allerede.

For vår del benytter vi selvfølgelig både hashing og salting av alle brukernes passord på alle tjenester i Tek-nettverket. Men det er ingen unnskyldning for å fortsette å bruke det samme passordet på andre sider likevel. Sett nå derfor i gang, gå inn i vår guide til å håndtere passordene dine på godt og sikkert vis, og gjør deg selv en tjeneste. For svingende.

Det er ikke vanskelig, og tar ikke lang tid:
Bruk fem minutter, og så slipper du å huske alle de forskjellige passordene »

Les også
Dette skal bli Norges fremste digitale våpen
Les også
Massivt Facebook-eksperiment skaper raseri
Les også
eBay har blitt angrepet – store mengder data stjålet
Les også
Bruk 5 minutter – slipp å huske passord igjen
Les også
Dustin snur: Nå sikrer de passordene dine likevel
Les også
Stjal 42 millioner passord fra datingtjeneste
Les også
Stort amerikansk Apple-forum hacket
Les også
Kriminelle står bak over 9 av 10 påloggingsforsøk
Les også
Millioner av hackede Adobe-konti hadde «123456» som passord
Les også
Adobe hacket: Kontoinformasjon er stjålet
Les også
Det er skremmende lett å cracke trådløse nett
Les også
Her avslører vi alle passordene i nettleseren
Les også
Se de gigantiske sikkerhetsfiaskoene
annonse