Vis mer

Nettsteder med dårlige passordrutiner

Har du registrert deg hos noen av disse? Da bør du være på vakt.

Når du registrerer deg med brukernavn og passord på et nettsted, er det god praksis om nettstedet krypterer passordet ditt når de lagrer det.

Dette bør gjøres med en såkalt hash-funksjon, som i praksis betyr at nettstedet lagrer en kryptert versjon av passordet ditt, der den krypterte versjonen ikke kan "oversettes" tilbake. Dersom nettstedet skulle bli hacket og de lagrede passordene eksponert, vil det derfor ikke være mulig for andre å finne passordet ditt.

Men.

Det er mange som slurver.

Les også: Her er de vanligste passordene

Sender de deg ditt gamle passord på forespørsel?

La oss si at du glemmer passordet ditt og trykker på glemt passord-lenken de fleste tilbyr. Du fyller inn epostadressen, ber om å få tilsendt passordet og mottar straks en epost.

Dersom passordet i eposten er det samme passordet du brukte da du registrerte deg, bør det lyse en rød varsellampe. Det betyr nemlig at nettstedet kan ha lagret passordet ditt i klartekst, eller at krypteringsalgoritmen som er brukt er reversibel, slik at passordet ditt potensielt kan fanges opp av andre.

Har du glemt passordet ditt på DinSides forum, får du tilsendt et helt nytt. Vis mer


(Den beste praksisen er således at du mottar en lenke der du kan legge inn et nytt passord, eller et nytt, tilfeldig generert, passord.)

Les også: Norske Facebook-passord stjålet

Hvorfor er dette skummelt?

Det er åpenbart at dårlige passordrutiner hos et nettsted kan få katastrofale følger for nettstedets registrerte brukere.

De siste årene har det vært flere hendelser der brukeres passord har blitt eksponert for offentligheten; sist bare for noen dager siden, der det amerikanske nettstedet RockYou ble hacket, med det resultat at 32 millioner brukernavn/passord-kombinasjoner lekket ut på nettet. Her er sikkerhetsmeldingen nettstedet sendte ut i etterkant.

Forsiden til RockYou.com. Hackere klarte å legge ut 32 millioner brukernavn og passord-kombinasjoner i klartekst. Vis mer


Med andre ord - hvem som helst kunne plukke et brukernavn og passord fra listen og logge inn som vedkommende, inntil de klarte å stenge systemet, selvsagt.

Det er imidlertid ikke den største faren.

Rekk opp hånda de som stort sett bruker det samme passordet overalt? Jeg vet i hvert fall om mange i min omgangskrets som gjør nettopp det, og da kan det virkelig være katastrofe. Hva hvis en som så den lange listen begynte å teste brukernavn/passord-kombinasjonene på andre nettsteder? La oss si...Facebook? Gmail? PayPal?

Les også: Slik finner du glemte passord

Passord på nett

Hvor mange passord bruker du på nettet? (Avsluttet)
En liten håndfull :/(69%)
Ett :((16%)
Ett passord pr nettsted, selvsagt! :D(16%)
Avstvemningen er ikke styrt og reflekterer kun lesernes egne meninger.


Bruk unike passord overalt

Jeg får ikke understreket nok hvor sterkt jeg oppfordrer deg til å bruke unike passord for hvert nettsted du registrerer deg på.

Selv bruker jeg LastPass, som er en såkalt password manager der jeg logger meg på i nettleseren med ett hovedpassord, og der LastPass fyller ut brukernavn og passord på nettstedene jeg vil logge meg inn på.

Tjenester som LastPass tar vare på krypterte utgaver av passordene dine, og alt du trenger å huske er master-passordet. Vis mer


Jeg kan ikke passordene til noen av de veldig mange nettstedene jeg har registrert meg på (OK, jeg har pugget noen få, da), og jeg kan registrere meg med lange, kryptiske og trygge passord overalt. Via webgrensesnittet kan jeg logge meg på og finne passordet dersom jeg ikke sitter ved min egen PC, som selvsagt skjer over en kryptert forbindelse.

PasswordFail viser usikre nettsteder

Nettstedet PasswordFail er laget av nordmannen Sondre Bjellås, der tanken er å samle opp alle nettstedene som har for dårlige passordrutiner. For hvert nettsted finnes det tre mulige ikoner:

  • Lås: Nettstedet sender ikke ut passord (bra)
  • Gul trekant: Nettstedet sender ut passordet i klartekst ved registrering. Dette trenger dog ikke å bety at passordet er lagret utrygt på serveren, siden dette kan være hentet fra skjemaet der du registrerte deg.
  • Rød sirkel med kryss: Nettstedet sender ut det samme passordet på forespørsel og lagrer derfor ikke passordet ditt på en trygg måte.

Foreløpig er det ikke så mange nettsteder å finne hos PasswordFail, men til gjengjeld er mange av dem norske. Eksempelvis får både Mittanbud.no, Netthandelen.no og Nettby.no rødmerking. Resten av listen finner du her.

Oppdatert: Netthandelen har kontaktet oss og meddelt at de har endret passordrutiner slik at passordet ikke lenger lagres i klartekst hos dem. Nettby har også endret passordpolitikk etter at DinSide publiserte denne artikkelen.

Hvis du bruker Twitter, kan du også bidra med nye nettsteder til listen. Alt du trenger å gjøre er å poste en tweet med lenke til nettstedet, samt hashtagen #pwdfail, og deretter sjekkes det om din påstand stemmer.