03/2 2010

Lösenordshantering – skärpning!

TAGGAD MED: Företag, Kryptering, Säkerhet

POSTAD I: Företag,Säkerhet

Lösenordshantering är ett ämne som tydligen behöver behandlas och utbildas mer om inom svenska organisationer. Jag var nyligen i kontakt med en IT-chef för en svensk organisation som på en fråga om hur organisationen hanterade sina lösenord gav högst anmärkningsvärda svar. Jag vill inte gå in i detalj på vilken organisation det är, men frågan grundade sig i att organisationen hade möjlighet att på diverse utskick skriva ut användares lösenord. Hur kom det sig? Kan det verkligen vara så att lösenorden sparas i klartext? IT-chefen svarade ja utan att blinka.

Min spontana reaktion var ”detta kan inte vara sant!”. Jag ställde frågan hur det kunde komma sig, då implementering av funktioner för att hasha lösenorden och arbeta med dem på ett säkert sätt inte betyder en ökad komplexitet. Svaret var att det trotsallt var ännu lättare att hantera dem i klartext och det bara var IT-avdelningen som hade tillgång till databasen. Jag ställde då en till fråga och undrade vad som skulle hända om databasen trots detta skulle bli exponerad och lösenorden läckte ut. Då kom nästa bombshell.

- ”Ja det skulle innebära problem givetvis, men användarna riskerar trotsallt inga pengar.”, var svaret.

Jag höll med om att inga pengar skulle vara i fara, men att den personliga integriteten däremot var i farozonen. Detta i form av att användares mail inom systemet skulle bli exponerade samt andra områden som också är privata med relativt känslig information som kan orsaka personlig skada för den enskilde användaren. Jag tog upp Spray’s pinsamma incident med hur de, med samma mindset om att det endast var deras tekniker som hade tillgång till lösenorden, råkade ut för intrång och att personer fick tillgång till alla mailkonton hos Spray. Borde inte svenska organisationer ha lärt sig att hantera lösenord på ett korrekt sätt? Svaret är givetvis ja, de – borde – ha gjort det .. och IT-chefen insåg nog att de borde veta bättre.

Det ska bli intressant att följa hur snabbt problemet blir åtgärdat. Fakta kvarstår dock att det fortfarande finns en alltför slapp och naiv syn på lösenordshantering. Av många skäl borde det vara lag på att hantera lösenord korrekt. Om företag A sköter sin hantering men företag B slarvar och en användare har samma lösenord på båda tjänsterna riskeras därmed användares konto på båda tjänsterna på grund av företag B’s dåliga hantering. Även om det är rekomenderat att man aldrig använder samma lösenord på mer än en tjänst så gör väldigt många användare det fortfarande och företag behöver ta sitt ansvar och skydda lösenorden!