Er passordene dine sikre?

I løpet av en vanlig dag benytter jeg mange passord og pinkoder for å verifisere meg mot ulike systemer. Jeg husker de aller fleste passord, men har funnet noen ulike metoder for å håndtere den uoversiktlige mengden av påloggingsinfo som er nødvendig gjennom både jobb og privat. For passord på jobb har jeg et passordbeskyttet regneark for de mindre kritiske passordene. Dette er delt med et par andre utviklere. Det største problemet er faktisk å huske passordet til regnearket, da dette ikke brukes i noen annen sammenheng.

Privat bruker jeg, dessverre, ofte det samme passordet. Jeg har rundt regnet 10 ulike passord jeg benytter privat, de fleste følger det samme mønsteret – alle er kryptiske. Etter at noen misbrukte PayPal kontoen min har jeg endret passord for alle nettsider som kan tappe kredittkortet mitt for penger. Passordene er genererte strenger bestående av masse bokstaver, tall og tegn, som jeg ikke kjenner til. De ligger lagret i et eget program som krever enda et passord for å logge seg inn i. Trenger jeg tilgang til en av disse nettsidene må jeg gå gjennom dette programmet, eller få tilsendt et nytt passord. De aller fleste private passord ligger i dette programmet. Mister jeg nøkkelen inn i programmet, må jeg resette de fleste passord.

Jeg er opptatt av sikkerhet, men også opptatt av brukervennlighet. Ofte blir det et kompromiss for at vil ta i bruk en løsning. For noen systemer og nettsider er ikke sikkerheten like kritisk, og jeg velger å ta i bruk et standard passord. For andre steder velger jeg et autogenerert passord eller en variant av tidligere passord.

Når jeg da velger å ta i bruk smarte løsninger for å ta vare på sikkerheten blir jeg veldig skuffet når store og små leverandører ikke ser ut til å ta sikkerhet på alvor. Min sikkerhet. Et eksempel på dette er strømleverandøren min, Vitel (Tidligere strømleverandør. De har som kjent sluttet med strøm nå.). Som de fleste andre leverandører tilbyr de en mulighet for å få tilsendt innloggingsinformasjon dersom brukeren har glemt dette. Og som så mange andre gjør de den samme feilen og sender en epost med brukernavn og passord jeg registrerte meg med. Som om det ikke er nok finner jeg den samme informasjonen på hver eneste faktura.

Nå er det ikke slik at man kan gjøre spesielt stor skade ved å logge seg inn hos en strømleverandør, men passordet er nok for mange det samme som brukes mange andre steder. Sammen med epostadressen kan dette misbrukes i stor skala.

Så hvordan bør dette løses? Mange har skjønt det, og oppbevarer ikke passord i klartekst. Ei heller kan de hente ut passord når brukeren har glemt det. Man kan kun sjekke inntastet passord mot det som er registrert, ved å gjøre den samme kryptering på inntastet passord som ble gjort når passordet ble lagret første gang. Dersom brukeren har glemt passordet må nytt passord settes, enten ved at et passord genereres automatisk eller at brukeren setter nytt via en link som kan brukes en gang. Uansett bør brukeren kunne velge seg et nytt passord et sted i prosessen. De aller fleste gjør det på denne måten, men veldig mange slurver.

Jeg har for lengst send en epost med min mening til min strømleverandør og flere andre. Gjør det du også, så kanskje de endrer sin praksis!

Dette er eposten jeg sendte dem:

Jeg har en forespørsel angående deres praksis med å lagre og sende passord i klartekst over epost. I tillegg er også mitt passord skrevet i klartekst på alle fakturaer tilsendt meg. Hvorfor har dere behov for å lagre mitt personlige passord i klartekst? Jeg stiller meg skeptisk til at dere har tilgang på mitt personlige passord og er bekymret over muligheten for at noen av deres ansatte eller andre tredjeparter kan få tilgang på passordet med å lytte på nettverket, lese mine faktura eller andre metoder. Når dere sender mitt passord på epost, blir det overført over nettverket i klar-tekst og er lett leselig på ulike nettverks-rutere og lokasjoner. Det burde ikke være noen tekniske eller funksjonelle behov som gjør at dere må lagre mitt personlig passord i klartekst eller med en reversibel kryptering. Det bør være nok med en ikke-reversibel hash av passordet. Håper dere tar forespørselen til etterretning og forstår min bekymring for mitt privatvern.

Oppdatering! Jeg har fått svar på min henvendelse til Vitel:

Hei Vi har hatt oppe denne saken før med post og teletilsynet og vi har gjort endel endringer i vårt system som post og teltilsynet har funnet tilfredstillende godt nok. Jeg lister opp en del punkter under som viser hva som er gjort. – Ved å gå inn på «Mine sider» kan man velg bort at passord vises på faktura – Ingen ansatte i Vitel har tilgang til å se ditt passord – du kan selv velge passord på «Mine sider» Når det gjelder at passord blir sendt over nettverk via epost eller sms så er dette helt vanlig praksis og informasjonen som evt. kan leses kan skjelden være av interesse for en tredjepart. Vi har gått gjennom våre rutiner sammen med pt og dette skal være sikret tilstrekkelig godt nok. Håper dette var et beroligende svar. Med vennlig hilsen Kundesenter

De opererer med andre ord etter «godt nok»-taktikken. Jeg er ikke spesielt beroliget av en slik taktikk. Selvfølgelig har ansatte hos Vitel adgang til passord om de ønsker det, de sitter jo på dataene. Hvem som helst med tilstrekkelig adgang til riktige databaser kan hente ut denne informasjon. Utro tjenere finnes det mange av, og den beste måten å sikre seg mot disse er å ikke legge frem muligheter som dette. Nå er ikke jeg kunde hos Vitel lenger, da de ikke klarer levere strøm til meg uansett, men jeg endret fort passordet mitt når jeg fant ut av praksisen deres. Da er det greit med et kryptisk passord som jeg ikke kan selv engang. Eksempel på et slikt passord er (tilfeldig generert for meg nå): «cHQ^smX9G#sW».

Jeg jobber i et miljø hvor sikkerhet er utrolig viktig. Dårlige løsninger kan eksponere personsensitive og medisinske data. Skikkelig dårlige løsninger kan gi ledere en grunn til å pakke sammen på dagen, og utvikler følger nok med skulle det skje. Ofte må derfor det vurderes hvor godt disse dataene skal beskyttes. Vi kan velge å gjøre dette «godt nok» for å tilfredsstille lover og regler, eller vi kan sørge for å gjøre det så bra at vi sover godt om natten. Vi velger alltid sistnevnte, fordi det ikke koster så mye mer og fordi vi har et rykte å tenke på. Det finnes (dessverre) mange eksempler på brukernavn og passord på avveie, fordi løsningen har vært «god nok». Hva med å bare gjøre det bra med en gang? Så er også risikoen for feil fantastisk mye mindre!

8 tanker om “Er passordene dine sikre?

  1. Strekker

    Hvilke(t) programm(er) vil du anbefale for generering/håndtering av passord? Har lenge tenkt på å ordne dette, men prosjektet pleier å drukne i latskap. Jeg bli flinkere nå som jeg straks skal håndtere sensitivt materiale i studiesammenheng.

    Svar
  2. Yngve Thoresen Innleggsforfatter

    Jeg valgte å ikke inkludere navnet på programmet jeg bruker fordi jeg mener selve programmet ikke er det viktigste så lenge programmet gjør jobben det skal gjøre og er trygt. Personlig bruker jeg LastPass som er online. Mange er skeptiske til online varianter av programmer for passord, men denne stoler jeg på. Jeg lagrer kun personlige passord på denne tjenesten. Passord som tilhører jobb håndterer jeg innenfor jobben med dertil egne verktøy (som oftest det noe enkle Excel – men det fungerer!).

    Svar
  3. Strekker

    Jeg skjønte jo det, men setter likevel pris på tips. Tidligere når jeg har lagt i vei med gode hensikter, har jeg blitt så usikker når jeg ser utvalget av programmer. Og utsetter det til senere, hvorpå det samme gjentar seg. Selv om jeg kan google programmene enkeltvis og se hva folk skriver, har jeg ikke nok teknisk innsikt til å vurdere sikkerheten deres. Nettbasert løsning har jeg vært skeptisk til av samme grunn.

    Jeg holder ikke deg ansvarlig for programmet som ble nevnt, men kjenner til deg som nerd fra nettsammenheng (f.eks. borte hos Ivers) og tenker at ditt tips kan være et sted å starte. 😉

    Svar
  4. Yngve Thoresen Innleggsforfatter

    Jeg har også forsøkt noen enkeltstående programmer, men har ikke vært tilfreds med de jeg har forsøkt der. Enten har de vært tungvinte i bruk, eller lite egnet til online bruk. I tillegg er det deilig å kunne få tilgang til et kryptisk passord uten en bestemt fysisk maskin tilgjengelig iblant.

    LastPass er også integrert med nettleseren, så jeg kan automatisk få utfylt feltene jeg trenger (individuelle innstillinger for hver nettside) for å logge inn. Fungerer til og med der jeg trenger brukernavn, pin OG passord, noe flere andre tilsvarende ikke har støttet. Har tidligere også brukt Sxipper, som er et verktøy for å automatisk fylle ut forms på nett, til å også fylle ut brukernavn og passord, men LastPass er mye flinkere på passordbiten. Så får det heller være litt gamlemåten å fylle ut forms når det trengs. De to Firefox-tilleggene fungerte nemlig ikke optimalt sammen.

    Hyggelig at jeg er gjenkjent som nerd på nett. Ikke alle tar det som noe positivt, men av uante grunner gjør jeg det. Så lenge jeg ikke ser ut som en. 🙂 Twitterlistene jeg har havnet i kan jo også peke på at jeg har fått dette stempelet.

    Svar
  5. Audun Sæther

    Jeg har 5+ passord som jeg bruker på tjenester jeg liker å ha tilgang til uansett hvor jeg er i verden. Alt annet får egne random-passord generert av Revelation, passordhåndtereren jeg bruker.

    Slik som deg stoler jeg heller ikke på andres sikkerhet, og liker tanken på at selv om èn side skulle bli utsatt for usle knep, risikerer jeg ikke noe annet enn tilgangen til den bestemte tjenesten.

    Har forøvrig variert erfaring med å varsle om dårlig passord-håndtering. På et ikke-navngitt forum sendte de ut orginalpassordet i e-post når man brukte glemt-passord-funksjonen. Jeg påpekte problemet, og ble igrunn bare oversett både av administratorer og tekniske ansvarlige.

    Svar
  6. Yngve Thoresen Innleggsforfatter

    @Audun Sæther Det er det fine med tjenester som LastPass, Audun. Jeg har alltid tilgang uansett hvor jeg er. Det krever en ekstra innlogging når jeg ikke logger inn direkte, men det er det verdt.

    Jeg vurderte å lage en oversikt over de tjenester jeg kommer borti som har for dårlig sikkerhet, men dette har noen selvsagt allerede gjort med tjenesten PasswordFail.com.

    Jeg sendte en epost til Vitel, som er navnet på strømleverandøren jeg snakker om i denne posten, og fikk raskt et svar tilbake. Jeg har lagt min epost og svaret inn i posten over. Håpløst.

    Svar
  7. Yngve Thoresen Innleggsforfatter

    @Marius Krinnan Og nettopp derfor finnes det flust av verktøy som hjelper med dette.

    Et godt triks å bruke passord som er laget etter faste regler og tilpasset hver nettside. For eksempel et standardpassord pluss deler av domenenavnet. Da er det lett å huske, unikt for hver nettside, og ganske sikkert. Må bare sørge for et godt utgangspunkt. Som comRowW51H7xmasb, bestående av «passordet» RowW51H7 og pakket inn i xmasb.com.

    Svar

Legg inn en kommentar