Pas på: CVR-registeret gemmer og sender passwords i klartekst

CVR-registret har siden 2005 sendt alle kodeord ud i klartekst. Fejlen bliver først lappet i løbet af året.

Det centrale virksomhedsregister CVR har en lemfældig omgang med folks personlige kodeord. CVR opbevarer nemlig brugernes kodeord som klartekst uden nogen form for kryptering.

Det opdagede Morten Hattesen, selvstændig it-konsulent, da han skulle oprette sig som bruger på www.cvr.dk. Han tastede i den forbindelse brugerinformation og password ind, men fik en ubehagelig oplevelse:

»Hvad der skræmte mig var, at jeg efterfølgende modtog en ukrypteret email-bekræftelse, der forklarede, at jeg var oprettet som bruger, og inkluderede mit password i clear-tekst.«

»Hvad der skræmte mig endnu mere var, da jeg skrev til webmaster hos cvr.dk og påpegede det oplagte sikkerhedsproblem i at sende fortrolige passwords via alverdens SMTP-servere, og efterfølgende modtog en email med svaret:

"Det er praksis, at der sendes email med password. Det, du skal gøre, er at gå ind på www.cvr.dk og logge på og herefter vælge 'ændre password'". De forholdt sig således slet ikke til, hvorvidt det var en sikkerhedsmæssig acceptabel praksis, de havde gang i.«

Ingen misbrug, så vidt vi ved

Da Version2 konfronterer Erhvervs- og Selskabsstyrelsen med problemet, erkender kontorchef i Center for CVR Salg og Support Carsten Ingerslev, at kodeords-behandlingen er problematisk:

»I 2005 var det en standardløsning, og det var almindeligt, at man gjorde det på den måde. Jeg siger ikke, at der ikke er noget problem, men vi er opmærksomme på det, og vi er på sagen. Man skal heller ikke glemme, at vi logger ip-adresser, så vi vil kunne finde hackeren, hvis der er nogen, der misbruger andres oplysninger.«

I øjeblikket er styrelsen ved at opdatere deres databaser og systemer, og CVR-registeret står først for skud, blandt andet fordi det er et af de ældste systemer. Det er endnu ikke besluttet, hvordan den nye log-on løsning kommer til at se ud. Men Carsten Ingerslev satser på, at CVR går væk fra en kodeordsløsning og over til for eksempel NemID eller andre digitale signatur-løsninger.

Der vil dermed gå op til et år, før brugernes private kodeord ikke længere bliver kastet rundt på diverse SMTP-servere i klartekst.

»Man kan altid diskutere, hvor hurtigt man kan gøre tingene, og i en perfekt verden, havde vi gjort det for lang tid siden,« siger han og fortsætter:

Kan man trække følsomme data ud af systemet?

»Nej, der er ingen følsomme data i systemet. Vi erkender, at det skal opdateres, men dataene er i princippet fuldt offentligt tilgængelige, der er kun en betalingsløsning, fordi vi skal have dækket vores omkostninger.«

Vil I skrive til folk at deres passwords kan være kompromitteret?

»Det vil vi da overveje.«

Følg forløbet

Kommentarer (8)

Jens Beltofte Sørensen

Ud fra overskriften på artiklen får man den opfattelse at CVR.dk gemmer passwords i klar tekst. Som både Mikkel Høgh og jeg skriver i kommentarer på http://www.version2.dk/artikel/pas-paa-utroskabs-datingtjeneste-er-usikk..., så behøver systemet ikke at gemme brugerens password fysisk for at kunne sende det pr. mail. De kan fint være gemt krypteret eller som en hash i systemet.

Jeg vil dog give jer ret i, at det er tåbeligt at sende password'et til brugeren når vedkommende selv har valgt det ifm. oprettelse af kontoen på CVR.dk.

Mark Gjøl

Jeg forstår det ikke helt. Hvordan kan man sende et password ud, hvis man kun har en hash af det? Og hvad hjælper det at have det liggende krypteret, hvis serveren automatisk kan dekryptere det? Så må nøglen jo ligge et eller andet sted, hvor den - og dermed en angriber (f.eks sysadmin) også kan bruge den.

Mark Gjøl

... Det kan selvfølgelig godt sende det ud første gang man opretter sig, uden at have det liggende nogen steder... Nu går jeg så ud fra (måske en fejl) at v2 ved mere end hvad de skriver i artiklen, så der rent faktisk er beviser for at de har kodeordet liggende på serveren. En "tryk for at få tilsendt dit password"-løsning ville eksempelvis være et bevis for dette.

Jesper Lund Stocholm

Hej Jens,

Jeg vil dog give jer ret i, at det er tåbeligt at sende password'et til brugeren når vedkommende selv har valgt det ifm. oprettelse af kontoen på CVR.dk.


Det er jeg ikke enig i. Det giver for mig rigtig fin mening, at mit valgte password sendes til mig i en email ved oprettelse - så kan det senere fremsøges i min mailbox, når jeg skal logge ind på den tjeneste, som jeg blev oprettet i for "et par år siden" og ikke kan huske password til.

Claus Waldersdorff Knudsen

Det er jeg ikke enig i. Det giver for mig rigtig fin mening, at mit valgte password sendes til mig i en email ved oprettelse - så kan det senere fremsøges i min mailbox, når jeg skal logge ind på den tjeneste, som jeg blev oprettet i for "et par år siden" og ikke kan huske password til.

Ville det ikke være bedre hvis et glemt password blev nulstillet, og kun en engangskode blev sendt via email, så næste gang man loggede ind, skulle man ændre password?

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Excel kursus grundlæggende

Hvornår: 2015-09-03 Hvor: Storkøbenhavn Pris: kr. 5100.00

Business Intelligence med SharePoint og Office 365

Hvornår: Hvor: Østjylland Pris: kr. Efter aftale

It-lederen

Hvornår: 2016-09-01 Hvor: Østjylland Pris: kr. 18000.00

Webinar: Word - Få styr på korrekturlæsningen

Hvornår: 2015-09-01 Hvor: Efter aftale Pris: kr. 990.00

Networking with Windows Server 2012 [10970]

Hvornår: 2015-11-23 Hvor: Storkøbenhavn Pris: kr. 19500.00