En undersøkelse gjort av Espen Didriksen viser at passordskikken til norske nettbutikker ikke er helt som den burde være.
De fleste av oss er registrert på flere sider med brukernavn og passord. Forhåpentligvis har du fulgt vår veiledning om passord og har dermed forskjellige passord til forskjellige nettsider. Hvis du ikke har det, så bør du lese videre.
Når vi registrerer oss på en nettside, legger mye tillit til tjenesten. Mange har samme passord på mange forskjellige tjenester, men har ingen anelse hvordan passordene behandles på nettsiden. Siden man ikke har noen tilgang til systemene man registrerer seg på, er det umulig å få noen garanti på om passordene lagres sikkert.
En liten tegneserie om farene vedrørende gjenbruk av passord hos xkcd.com. Nå vil jeg påstå at passordstyrke også er veldig viktig.
Grovt sett kan du dele passordsikring inn i tre grupper:
- Klartekst
- Hash uten salt
- Hash med salt
Klartekst vil si at passordene lagres som det er, altså ingen sikring. En hash er en verdi du får ved å kjøre passordet gjennom en enveisfunksjon. For å finne ut hva passordet er, må man kjøre alle mulige passord gjennom samme enveisfunksjon helt til man finner en lik hash. Salt er en tilfeldig verdi som genereres når man første gang krypterer passordet, denne lagrs sammen med hashen for å forhindre noen type angrep, spesielt “rainbow tables”. NSM har tidligere lagt ut en god forklaring på hash og salt, du kan lese den her.
Listen over er en grov generalisering og det finnes noen hash-funskjoner som er bra til passord og noen som er dårlige, som MD5. Det er også anbefalt å bruke noe som kalles “key stretching”, som kort fortalt gjør at passordsjekk er kjapt nok til at bruker ikke merker en forsinkelse, men for tregt til at en angriper kan effektivt gjette seg fram.
Den verste måten å lagre passordene på, er å lagre de i klartekst. Hvis en angriper får tilgang til serveren, så har de umiddelbar tilgang til kontoen samt andre kontoer der du bruker samme passord. Jevnlig hører vi om datainnbrudd der brukernavn og passord har kommet på avveier. Vi trenger ikke å gå tilbake lenger enn forrige uke, Ubisoft ble kompromittert og brukernavn og passord kom på avveier (passordene var i dette tilfellet hashet). Hvis passordet er hashet derimot, så kan et sterkt passord hindre at angriperen finner ut av det, men her er vi avhengig av at leverandøren gjør jobben sin riktig.
Hvor mange nettbutikker lagrer passordene i klartekst?
Det er dette spørsmålet Espen Didriksen har prøvd å finne ut av. I en test av 100 nettbutikker, har han funnet 25 nettbutikker som definitivt lagrer passordene i klartekst.
Måten han har funnet det ut på er ved å bruke nettsiders “glemt passord” funksjon. Hvis passordet er lagret sikkert, finnes det ingen måte å komme tilbake til det originale passordet og brukeren må lage et nytt passord. Hvis det er lagret i klartekst derimot, kan nettsiden sende passordet på e-post, som ble gjort av 25 av nettbutikkene.
NorSIS anbefaler:
- Bruk forskjellige passord på forskjellige nettsider.
- Hvis du er utvikler og jobber med slike løsninger, sørg for at du lagrer passord på en sikker måte. Les mer hos owasp.org.
- Hvis du har satt noen andre til å styre/utvikle systemet ditt, sørg for at leverandøren ivaretar sikkerheten på en god måte.
- Les egen veiledning om passord.
Les mer:
- Les hele blogginnlegget til Espen Didriksen hos didriksen.im.
- Les mer om angrepet på Ubisoft hos blog.ubi.com.
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.