Er det noe man i alle fall burde ha fått med seg etter de senest årenes passordlekkasjer, så er det at brukerpassord aldri skal lagres i databasene til systemene hvor passordene brukes. Det som skal lagres, er en enveis kryptografisk hashverdi av passordet kombinert med et salt. Selv om hele systemet blir kompromittert, vil ingen uten videre kunne avsløre passordene til brukerne. Dette gjelder også dem som administrerer systemet.
I klartekst?
Den siste uken har det som startet som en enkelt Twitter-melding til T-Mobile Austria, fått stor oppmerksomhet. Twitter-brukeren Claudia Pellegrino spurte mobilselskapet om det lagrer brukernes passord i klartekst, noe en representant for selskapet deretter bekrefter. Hun forteller også at selskapets kundestøtterepresentanter har tilgang til å se de fire første tegnene i passordet.
_logo.svg.png){kind=logo}
Hello Claudia! The customer service agents see the first four characters of your password. We store the whole password, because you need it for the login for https://t.co/vJapgJ50qc ^andrea
— T-Mobile Austria (@tmobileat) 4. april 2018
Pellegrino takket for svaret, viste til denne siden som forteller at lagring av passord i klartekst er noe man ikke skal gjøre, for til slutt å spørre om hva som kan gjøres for å få utviklerne til T-Mobile Austria til å rette denne feilen.
«Utrolig bra sikkerhet»
Det er det som skjedde da, som har ført til mange hakeslepp. En annen supportmedarbeider overtok kommunikasjonen og begynte å argumentere for at problemet Pellegrino påpekte, ikke er noe reelt problem hos T-Mobile Austria fordi sikkerheten til selskapet er så god.
Hi @c_pellegrino, I really do not get why this is a problem. You have so many passwords for evey app, for every mail-account and so on. We secure all data very carefully, so there is not a thing to fear. ^Käthe
— T-Mobile Austria (@tmobileat) 5. april 2018
Dessverre holdt representanten på sitt, selv om andre forsøkte å forklare problemet.
@Korni22 What if this doesn't happen because our security is amazingly good? ^Käthe
— T-Mobile Austria (@tmobileat) 6. april 2018
@korni22 Well, I said amazingly good - not 100% secure. And I have to ask: Are you an employee? Is this some kind of warning? ^Käthe
— T-Mobile Austria (@tmobileat) 6. april 2018
Mye oppmerksomhet
Tråden hadde også blitt lagt merke til av kjente IT-sikkerhetspersoner. I løpet et par dager var den blitt spredt til svært mange brukere på Twitter.
I et forsøk på å dempe det hele, kom T-Mobile Austria med en ny uttalelse på lørdag. Denne gang undertegnet en tredje representant for selskapet, trolig på et litt høyere nivå.
Our comment on posts about password security @tmobileat: There is no data breach at T-Mobile Austria. Databases are encrypted and secured. However, we take the discussion about our security standards very serious and will take further steps for protection as necessary. ^Helmut
— T-Mobile Austria (@tmobileat) 7. april 2018
Men flere mener at selskapet her avviser påstander som ingen har kommet med, nemlig at det skal ha vært datainnbrudd hos T-Mobile Austria. Samtidig opplyses det om at databasene er krypterte, uten at det i denne omgang forklares nærmere hva som menes med dette.
Ikke i klartekst, men …
Forklaringen får man derimot i en tyskspråklig tvitring fra selskapet:
Einzelne Passwörter sind der Einfachheit halber für den Kunden reversibel verschlüsselt, z.B. das E-Mail Passwörter. Dies kann vom Kunden im Kundencenter eingesehen werden. Unser Kundenservice hat keinen Zugriff auf Klartext-Passwörter. Grüße Jana K.
— Deutsche Telekom AG (@deutschetelekom) 7. april 2018
Her fortelles det at de individuelle passordene til kundene er kryptert på en måte som kan reverseres. Passordene lagres altså ikke i klartekst i databasen, men er kryptert på en måte som gjør det mulig dekryptere passordene ved hjelp av en nøkkel.
Begrunnelsen er at kundene skal kunne få opplyst passordet sitt i kundesenteret.
Det å kryptere passordet før det lagres, er tross alt bedre enn å ha det lagret i ukryptert, altså i klartekst. Men beste praksis er det på ingen måte, da alle som har tilgang til krypteringsnøkkelen har mulighet til å se passordene, inkludert både enkeltansatte i T-Mobile Austria og uvedkommende som måtte greie å kompromittere systemet.
Flere reagerer også på begrunnelsen for å gjøre det på denne måten. Etter alt å dømme må kundene benytte det samme passord før de kommer inn i kundesenteret.
Dersom det kun lagres en hashverdi av passordet i databasen, vil verken kundene, ansatte eller uvedkommende kunne se passordet. Dersom kundene glemmer passordet, vil de ikke kunne få det oppgitt. Men det gjør ingenting. For i stedet kan de få tilsendt et nytt og midlertidig passord per epost eller SMS, for deretter å velge et helt nytt passord som de kan bruke i ettertid.
Avskjed eller opplæring?
Underveis var det flere som hadde begynt å kreve å kreve avgangen til supportmedarbeideren. Andre reagerer på dette og mener det er bedre å gi vedkommende bedre opplæring. Den virkelige feilen er jo tross alt gjort på et helt annet nivå i organisasjonen.
I en lengre tråd skriver Pellegrino blant annet at det nok er ganske vanlig i europeisk bedriftskultur å gi ansatte muligheten til å forbedre seg etter at de har gjort en feil, enn umiddelbart å avskjedige dem – blant annet fordi de fleste lærer av å ha gjort feil.
Hun er likevel ikke i tvil som at feilene som ble begått her utgjør en enorm PR-katastrofe for T-Mobile Austria. Men hovedårsaken til dette, er den usikre passordlagringen som selskapet har valgt.
Bare i Østerrike
Det er uklart om den samme måten å lagre passord på er felles for hele T-Mobile.
I et twittermelding til BBC-journalisten Dave Lee skriver John Legere, CEO for T-Mobile i USA, at kundeservicerepresentantene i USA ikke har tilgang til å se passordene, og at passordene ikke lagres i klartekst.
Det Legere derimot ikke forteller noe om, er hvordan passordene har blitt kryptert. Kan de leses ved hjelp av en krypteringsnøkkel, er situasjonen i praksis den samme i USA som i Østerrike.
Lagrer brukernes passord i klartekst. Sikkerhetsekspert: – Det er helt uakseptabelt å gjøre det sånn (Digi ekstra)
