SIKKERHET

Mobiloperatør fikk massiv oppmerksomhet for usikker passordlagring

Til tross for at passordene ikke ble lagret som klartekst.

Det er ikke nok å kryptere brukerpassordene før de lagres i systemets database. De må heller ikke kunne dekrypteres i ettertid.
Det er ikke nok å kryptere brukerpassordene før de lagres i systemets database. De må heller ikke kunne dekrypteres i ettertid. Bilde: Brian Jackson/Alamy/All Over Press
Harald BrombachHarald BrombachNyhetsleder
10. apr. 2018 - 05:00

Er det noe man i alle fall burde ha fått med seg etter de senest årenes passordlekkasjer, så er det at brukerpassord aldri skal lagres i databasene til systemene hvor passordene brukes. Det som skal lagres, er en enveis kryptografisk hashverdi av passordet kombinert med et salt. Selv om hele systemet blir kompromittert, vil ingen uten videre kunne avsløre passordene til brukerne. Dette gjelder også dem som administrerer systemet. 

I klartekst?

Den siste uken har det som startet som en enkelt Twitter-melding til T-Mobile Austria, fått stor oppmerksomhet. Twitter-brukeren Claudia Pellegrino spurte mobilselskapet om det lagrer brukernes passord i klartekst, noe en representant for selskapet deretter bekrefter. Hun forteller også at selskapets kundestøtterepresentanter har tilgang til å se de fire første tegnene i passordet.

Pellegrino takket for svaret, viste til denne siden som forteller at lagring av passord i klartekst er noe man ikke skal gjøre, for til slutt å spørre om hva som kan gjøres for å få utviklerne til T-Mobile Austria til å rette denne feilen. 

«Utrolig bra sikkerhet»

Det er det som skjedde da, som har ført til mange hakeslepp. En annen supportmedarbeider overtok kommunikasjonen og begynte å argumentere for at problemet Pellegrino påpekte, ikke er noe reelt problem hos T-Mobile Austria fordi sikkerheten til selskapet er så god.

Dessverre holdt representanten på sitt, selv om andre forsøkte å forklare problemet.

Mye oppmerksomhet

Tråden hadde også blitt lagt merke til av kjente IT-sikkerhetspersoner. I løpet et par dager var den blitt spredt til svært mange brukere på Twitter. 

I et forsøk på å dempe det hele, kom T-Mobile Austria med en ny uttalelse på lørdag. Denne gang undertegnet en tredje representant for selskapet, trolig på et litt høyere nivå. 

Men flere mener at selskapet her avviser påstander som ingen har kommet med, nemlig at det skal ha vært datainnbrudd hos T-Mobile Austria. Samtidig opplyses det om at databasene er krypterte, uten at det i denne omgang forklares nærmere hva som menes med dette. 

Ikke i klartekst, men …

Forklaringen får man derimot i en tyskspråklig tvitring fra selskapet: 

Her fortelles det at de individuelle passordene til kundene er kryptert på en måte som kan reverseres. Passordene lagres altså ikke i klartekst i databasen, men er kryptert på en måte som gjør det mulig dekryptere passordene ved hjelp av en nøkkel. 

Begrunnelsen er at kundene skal kunne få opplyst passordet sitt i kundesenteret.

Det å kryptere passordet før det lagres, er tross alt bedre enn å ha det lagret i ukryptert, altså i klartekst. Men beste praksis er det på ingen måte, da alle som har tilgang til krypteringsnøkkelen har mulighet til å se passordene, inkludert både enkeltansatte i T-Mobile Austria og uvedkommende som måtte greie å kompromittere systemet.

Flere reagerer også på begrunnelsen for å gjøre det på denne måten. Etter alt å dømme må kundene benytte det samme passord før de kommer inn i kundesenteret. 

Dersom det kun lagres en hashverdi av passordet i databasen, vil verken kundene, ansatte eller uvedkommende kunne se passordet. Dersom kundene glemmer passordet, vil de ikke kunne få det oppgitt. Men det gjør ingenting. For i stedet kan de få tilsendt et nytt og midlertidig passord per epost eller SMS, for deretter å velge et helt nytt passord som de kan bruke i ettertid.

Avskjed eller opplæring?

Underveis var det flere som hadde begynt å kreve å kreve avgangen til supportmedarbeideren. Andre reagerer på dette og mener det er bedre å gi vedkommende bedre opplæring. Den virkelige feilen er jo tross alt gjort på et helt annet nivå i organisasjonen. 

I en lengre tråd skriver Pellegrino blant annet at det nok er ganske vanlig i europeisk bedriftskultur å gi ansatte muligheten til å forbedre seg etter at de har gjort en feil, enn umiddelbart å avskjedige dem – blant annet fordi de fleste lærer av å ha gjort feil. 

Hun er likevel ikke i tvil som at feilene som ble begått her utgjør en enorm PR-katastrofe for T-Mobile Austria. Men hovedårsaken til dette, er den usikre passordlagringen som selskapet har valgt.

Bare i Østerrike

Det er uklart om den samme måten å lagre passord på er felles for hele T-Mobile.

I et twittermelding til BBC-journalisten Dave Lee skriver John Legere, CEO for T-Mobile i USA, at kundeservicerepresentantene i USA ikke har tilgang til å se passordene, og at passordene ikke lagres i klartekst. 

Det Legere derimot ikke forteller noe om, er hvordan passordene har blitt kryptert. Kan de leses ved hjelp av en krypteringsnøkkel, er situasjonen i praksis den samme i USA som i Østerrike. 

Lagrer brukernes passord i klartekst. Sikkerhetsekspert: – Det er helt uakseptabelt å gjøre det sånn (Digi ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.