Webbutikker får bedre sikring
Hundrevis av norske webbutikker sender ut passord i klartekst til kundene sine. Men mange er i ferd med å stramme inn.
En rekke norske nettbutikker gir deg passordet ditt i klarttekst på epost, hvis du har glemt det. Men etter at sikkerhetsekspert Per Thorsheim i EDB Ergogroup har tatt opp sikkerhetsbristen på konferanser og på bloggen sin, strammer flere nå inn på sikkerheten.
Tragikomisk
Norske Webmercs har sitt webhandelssystem i over 120 norske nettbutikker og flere utenlandske. Flere av dem sender deg passord i klartekst når du i systemet huker av for å ha glemt det.
Det betyr at passordet enten er lagret i klartekst eller kryptert i et system der nøkkelen ligger i minnet. Passordekspert Per Thorsheim fra EDB Ergogroup berørte temaet på ISFs sikkerhetskonferanse tidligere i høst, han finner det tragikomisk med tanke på at EDB Ergogroups netthandel også er på kundelisten.
- Varsellampene bør blinke med en gang når du får tilsendt brukernavn og passord i klartekst, sa han på ISF-konferansen.
- Det her er jo et fruktfat som venter på å bli tatt, sier han til Computerworld.
Fri hash
Den andre bedriften er Multicase, som blant annet har Fotovideo og Netshop i stallen. Etter Thorsheims bloggpost har de forklart at det nå er mulig å slå på en 512-bits hash i løsningen, men at systemets brukere selv aktivt må velge dette.
At passordet er hashet betyr at det ikke direkte er reverserbart til klartekst.
Thorsheims mantra er imidlertid at hasher må "saltes" for å bli sikre nok, ettersom det finnes flere databaser der du kan sammenligne en hash med en hel database med ulike genererte hasher.
Ettersom en hash bestående av ordene ”123qwe” alltid vil bli den samme, er det dermed mulig å få treff om ”123qwe” også ligger i databasen. Slike forsøk på å knekke hasher kalles rainbow-angrep, men kan forhindres ved å salte hashen, som putter noen tegn før og etter hashen for å forvirre skurkene.
Thorsheim mener også bedrifter må hjelpe kundene sine til optimal sikkerhet.
- Standardsikkerheten må være bra. At kundene selv skal måtte sette på god sikkerhet blir feil, mener han.
Oppgraderer passordsystemet
Computerworld har testet løsningen hos enkelte at Webmercs kunder, som ilb.no og hpx.no. Begge steder fikk vi ganske riktig det registrerte passordet i klartekst. Hos auksjonsgiganten QXL, som også står på referanselisten, var systemet mer avansert og sendte ut et midlertidig passord da vi ba om det.
Ifølge Webmercs er imidlertid systemet i endring. De anslår å ha oppdatert alle webshoppene, over 300, med den nye løsningen i løpet av neste uke i henhold til Coda Hales dokument om passordlagring - med såkalt bcrypt.
At dette ikke har vært gjort før, begrunner de med samme årsak som Multicase har svart i Thorsheims blogg: Kundene har tilsynelatende syntes det har vært beleilig å få passordet i klartekst.
- Vi har gjort en del av kundene våre oppmerksomme på endringen som kommer, og den første reaksjonen har generelt vært veldig negativ – etter at vi forklarer så er de fleste ok med det. Men ikke alle, svarer Webmercs supportavdeling på Computerworlds spørsmål om passordsikkerhet.
- Uansett har vi gitt beskjed at de ikke lenger vil ha noe valg. ”Glemt passord”-funksjonen vil inneholde en midlertidig engangs-url for å endre passordet, og verken våre kunder eller vi vil ha muligheten til å finne ut hva passordet er.
PS1: Multicase har dessverre vært utilgjengelige for kommentar.
PS2: For ordens skyld: Computerworlds webtjenester sender også ut passordene i klartekst. Så vi er ikke mye bedre selv. Vi jobber med saken, vi også.
