Artikel top billede

Tegning: Lene Sekjær.

Så ringe er password-sikkerheden i webbutikker

Langt hovedparten af webbutikker sløser med password-sikkerheden på deres sites, hvor kundernes oplysninger ellers ligger og putter sig. Danske webbutikker afviser kritikken.

"Jeg sidder faktisk og bliver helt sur over det."

Sådan reagerer sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group, da Computerworld præsenterer ham for en britisk password-undersøgelse, der viser, at 66 ud af de 100 største e-handelsvirksomheder i Storbritannien er sløsede med password-sikkerheden.

E-butikkerne lader således brugerne slippe af sted med at afgive slappe passwords, uden at der tilsyneladende er sat simple mekanismer op for at forhindre password-misbrug.

I undersøgelsen foretaget af sikkerhedsselskabet Dashlane og beskrevet på The Register, viser det sig, to ud af tre britiske e-handelssites tillader usikre passwords som '123456' og 'password'.

Det sker, samtidig med at 66 procent af de store britiske e-handelssites ikke blokerer for gentagne forsøg på at logge ind med forskellige passwords.

Det betyder, at snydetampene på nettet kan køre lister med velkendte passwords og hele ordbøger igennem password-feltet, indtil de eventuelt slipper ind via den angrebsmetode, der går under betegnelsen 'brute-forcing'.

"Helt enkelt er det uforståeligt, da de netbutikker er ansvarlige for, at at alle kundernes informationer er beskyttet korrekt. Man gør brugerne en bjørnetjeneste ved at tillade nemme passwords. Det skriger faktisk til himlen," lyder vurderingen fra Peter Kruse.

Hvordan er det i Danmark?

Sikkerhedseksperten fortæller, at de britiske webshops næppe skiller sig markant ud fra resten af internet-forretningerne.

"Jeg tror, at det britiske billede er meget sammenligneligt med Danmark," siger Peter Kruse.

Computerworld har derfor taget et kig på sikkerheden hos nogle af de største danske e-handelssites, hvor Den Blå Avis (DBA) og Bilbasen, begge tilhørende amerikanske eBay, popper op som to store forbruger-hjemmesider, der ikke kræver særligt stærke password.

I Computerworlds quick'n'dirty-test viser det sig, at man kan slippe afsted med passwordet 'computer' på både DBA.dk og på Bilbasen.dk, hvilket er et ord, der findes i danske såvel i udenlandske ordbøger.

Det forklarer Flemming Laugesen, CTO hos eBay Classifieds Denmark, på følgende måde:

"Som udgangspunkt er DBA og Bilbasen åbne handelsplatforme, hvor det både skal være brugervenligt og sikkert. Vi er ikke et fængsel, hvor man skal gennem en metaldetektor for at komme ind, og derfor skal det også være nemt for brugerne at komme til at handle," siger han og fortsætter:

Sådan har Den Blå Avis indbygget flere sikkerhedsnøgler

"I princippet kan man måske slippe afsted med at købe funktionalitet hos DBA, hvor der er nogle gebyrer, men det er også det eneste. Hvis der bliver anmeldt et misbrug, bliver brugeren naturligvis holdt skadesfri," fortæller Flemming Laugesen.

Han understreger, at eventuelle hackere ikke kan få adgang til eksempelvis kreditkortoplysninger.

Flere sikkerhedsnøgler

It-direktøren hos eBay i Danmark fortæller samtidig, at selskabet har indført en lang række andre sikkerhedstiltag som eksempelvis NemID-validering.

Her er målet især at blokere for gengangere, der ved hjælp af nye profiler snyder brugere på DBA ved eksempelvis iPhone-salg.

Dertil kommer Paypal-beskyttelse, hvor man slipper for at betale, hvis varen aldrig dukker op, samt et proaktivt kundesupportteam, der kontakter brugerne, hvis der sker "mærkelige ændringer" på deres profiler, som Flemming Laugesen udtrykker det.

Herudover sikkerhedstester eBay hver nat sin kode, ligesom selskabet hver uge forsøger at angribe sine egne systemer med penetrationstest.

Hvis DBA-brugerne taster deres password forkert seks gange, udløser det en karantæne på én time, inden man kan forsøge at logge på igen, mens man har uendeligt mange forsøg på Bilbasen.

"Vi indsamler en masse kundeønsker til funktionalitet på Uservoice, Facebook og på vores egne sites med brugerafstemninger om funktionalitet. Generelt oplever vi det ikke som et problem, at brugerne ønsker mere sikre passwords. Det skal nok til, før vi overvejer at indføre en mere striks password-politik," fortæller Flemming Laugesen.

"Vi tager naturligvis sikkerhed meget alvorligt, men man skal også se på, hvad man kan opnå i forhold til sikkerheden. Hvorfor er pinkoden til dankortet eksempelvis ikke på 12 cifre fremfor fire tal? Det ville også være mere sikkert," fortsætter han.

Vil tage mange år at komme ind

På modetøjssitet Trendsales slipper brugerne af sted med at afgive et password på minimum otte tegn, hvor vi også slap af sted med at afgive ordet 'computer'.

Derfor vil det tage mange år at bryde koden

Her er, i lighed med eBay-sitene, heller intet krav til store og små bogstaver samt tal og specieltegn, som ellers gang på gang fremhæves som god skik og brug til udformning af passwords.

"Sikkerhedsmæssigt er det ikke smart, men det handler også om at finde en balance i tingene, for brugerne skal jo også kunne huske deres passwords til at logge ind med," forklarer Trendsales-medstifter Martin Andersen, der dermed er meget på linje med CTO Flemming Laugesen fra eBay Danmark.

Martin Andersen pointerer samtidig, at Trendsales har indbygget et tjek for fejlindtastninger af password, så brugerne efter tre fejlindtastninger får en karantæne på et kvarter.

"Det vil tage mange år at komme igennem en ordbog med 12 ord i timen, og så er man altså nået ret langt," lyder det fra Trendsales-medstifteren.

Måtte ikke bruge specialtegn 

Han medgiver samtidig, at virksomheden måske skal revurdere sin login-sikkerhed, der er fra 2002, hvor et password på minimum otte tegn var et relativt skrapt krav.

"Vi kan da godt være med til at lære brugerne bedre sikkerhed ved at kræve mere, men det er som sagt en balancegang, og vi kan ikke se problemet på nuværende tidspunkt, for vi har jo også andre parametre som uhensigtsmæssigheder i backenden, som vi kigger på," siger Martin Andersen. 

Trendsales-medstifteren fortæller, at han selv har et password på 10 tegn efter alle kunstens regler med små og store bogstaver samt specialtegn og tal.

"Jeg ændrer mit password en smule efter det domæne, som jeg besøger, så jeg ikke har det samme password alle steder. Men jeg har faktisk selv prøvet at skulle bruge et mere simpelt password, fordi et site ikke tillod mig at bruge specialtegn i passwordet."

Du kan selv få inspiration til at få bedre passwords her, der er lette at lære, men svære at bryde.

Og her er en række gode råd til at øge password-sikkerheden på dit site.

Hvad er din erfaring? Har du selv mødt sløset, mærkværdig eller ligefrem farlige password-sikkerhed ude på nettet? Eller er det bare irriterende, når virksomheder kræver 'besværlige' passwords til beskyttelse af brugernes informationer.

Læs også:
Galleri: Danske it-beslutningstagere tager et tjek på datasikkerhed

Undskyld, men må vi lige stjæle dine fortrolige filer?




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere