Her er ditt brukernavn og passord

Jeg bruker en god del tjenester på nett, og de aller fleste av disse krever en form for registrering. Som oftest skal brukernavn, epost og passord fylles ut i registreringsprosessen. I etterkant kan jeg ved eventuelle problemer få tilsendt brukernavn og passord på min registrerte epostadresse. Men hvordan bør denne prosessen håndteres?

Det finnes mange måter å løse problemet med et glemt/mistet passord, og de aller fleste nettsider håndterer dette på en god måte. Ved å oppgi epostadressen som ble brukt ved registrering kan en epost bli sendt til brukeren med nødvendige skritt for å komme inn i tjenesten igjen. Og det er her det er stor forskjell på nettsidene. De fleste vil da sende ut en epost med en link eller et automatisk generert passord for å komme seg inn til tjenesten igjen, der man vil bli bedt om å skrive inn et nytt passord for fremtidig bruk. Noen vil kanskje be om ekstra sikkerhetsinformasjon, som f.eks mors mellomnavn, før man lar brukeren gå videre. Noen få vil bare sende passordet brukeren la inn ved registrering. Det er denne metoden jeg vil til livs. Ikke bare betyr dette at en som kan lese eposten min nå har full tilgang, men det betyr også at passordet ligger lagret på en slik måte at det kan hentes ut i systemet til tjenesten. Kanskje som klartekst i en tabell.

Noen nettsider sender også ut brukernavn og passord i klartekst til brukerens epost ved registrering, slik at de lettere kan finne den til senere. Dermed ligger alt man trenger for å få tilgang til tjenesten i klartekst i eposten. Med andre ord: får jeg tilgang til eposten din, får jeg tilgang til tjenestene dine. Tjenester hvor det kanskje oppbevares sensitive data, bilder og informasjon ikke ment for hvem som helst. I tillegg har jeg epost, brukernavn og passord som helt sikkert er knyttet til andre tjenester. Det er bare å prøve seg frem på f.eks hotmail, gmail, facebook, msn, blogger, flickr og andre tjenester man kanskje ikke vil dele administrativ tilgang til.

Det hender jeg hjelper familie og venner med problemer på dataen, det være seg virus og datahavari til små problemer som å bestille en flybillett på nettet. Ikke sjelden ser jeg epost av typen som inneholder brukernavn og passord side om side for tjenester de har registrert seg på ((Dette er selvsagt mest i tilfeller som sistnevnte problem, da jeg venter på en bekreftelse tilsendt på epost hos f.eks svigermor. Jeg snoker ikke rundt i epost når jeg skal fjerne virus eller trojanere.)).

Jeg sletter all mail som inneholder passord umiddelbart. Jeg har selv skrevet inn passordet, jeg trenger ikke å ha det lagret flere steder enn i topplokket. Skulle jeg glemme det forventer jeg at ikke noen andre kan hente det frem, men jeg vil ha en mekanisme som lar få sette et nytt passord. Enten i form av midlertidig passord eller en lenke generert kun for dette formålet. Passordet mitt skal aldri være i klartekst på skjermen eller i annet format, ikke engang for meg. Aldri.

3 tanker om “Her er ditt brukernavn og passord

  1. Audun Sæther

    Snedig at du skriver om akkurat dette. Jeg skrev nettopp et innlegg på et forum jeg er medlem av – og de sender ut passordet jeg registrerte meg med i klartekst. Jeg gjorde det klarte at dette både er unødvendig og veldig usikkert, og håper at de endrer praksisen. Det finnes trossalt andre metoder som sørger for at brukere får tilgang, selv om de glemmer passordet sitt.

    Svar
  2. XmasB Innleggsforfatter

    Jeg er selv ikke noe flink til å bruke forskjellige passord. Det blir gjerne til at jeg bruker et fåtall passord på mange steder, om det er jobb eller privat. Dette er enda mer grunn til at jeg ikke ønsker passordet mitt i klartekst, for jeg kan i verste fall miste så altfor mye på grunn av det. Dårlig sikkerhet av, men enda dårligere av de som sender passordet mitt rundt omring i klartekst.

    Svar

Legg inn en kommentar