Google har lagret en del passord i G Suite, som blant annet gir tilgang til e-post for bedriftskunder, i klartekst helt siden 2005.
Google har lagret en del passord i G Suite, som blant annet gir tilgang til e-post for bedriftskunder, i klartekst helt siden 2005. (Foto: Stein Jarle Olsen, Tek.no)

Google har lagret passord i klartekst siden 2005

Google varslet tirsdag at de har oppdaget at enkelte brukere har fått lagret passordene sine i klartekst helt tilbake til 2005. 

Det skal kun dreie seg om bedriftskunder som har brukt Googles såkalte G Suite.  Google presiserer at passordene har vært lagret på krypterte servere, men de jobber likevel med å forsikre seg om at de omfattede kundene resetter sine passord. 

Lagret passordkopi 

Google skriver også i en bloggpost at de ikke har funnet noen tegn på at noen har hatt tilgang til innloggingsinformasjonen, men at de likevel vil resette kontoene til de brukerne som ikke endrer passord selv. 

Selve feilen lå i en funksjon som lot domeneadministratorer manuelt sette passord for brukere i selskapet. Administrasjonskonsollen lagret nemlig en kopi av passordet såkalt unhashed, altså i klartekst. 

Vanligvis lagres nemlig ikke passord på Googles servere på samme måte som brukerne taster dem inn. Om passordet ditt er «Password123» kan det bli noe som «72i32hedgqw23328» når det lagres på Googles servere, men i dette tilfellet ble det altså lagret en kopi som var nettopp «Password123». 

De sier de oppdaget feilen i april, og ytterligere en feil hvor passord ble lagret i klartekst i mai.

I det siste tilfellet ble det igjen lagret passord i klartekst når brukere registrerte seg for G Suite, et problem som oppsto i januar i år. Disse passordene ble imidlertid bare lagret i maksimalt 14 dager. 

Ikke den første 

Google er heller ikke den første giganten som har lagret passord i klartekst.

Tidligere i år ble det klart at Facebook hadde lagret hundrevis av millioner av passord til Facebook og Instagram i klartekst på sin egen interne plattform. Facebook-ansatte kunne dermed i teorien lete dem opp. 

I 2018 fortalte også Twitter at de hadde oppdaget en bug hvor passord ble lagret i klartekst på et internt system.

Løsningen på de fleste passordproblemer er imidlertid ganske enkel: Sett opp såkalt tofaktorautentisering eller tostegsverifisering, hvor du ved nye innlogginger må bekrefte at du er deg ved å oppgi en kode sendt i SMS eller liknende. Dermed er det ikke nok kun å ha passordet ditt for å få tilgang til kontoene dine på ulike tjenester. 

I denne saken kan du for eksempel se hvordan du gjør det hos Facebook. 

Norges beste mobilabonnement

Sommer 2019

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Sponz 1 GB


Jeg bruker middels mye data:

GE Mobil Leve 6 GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen