Britisk cybertjeneste om kodeords-blokering i NemID-app: »Det er en dårlig idé«
Den britiske cybermyndighed National Cyber Security Centre (NCSC) advarer webudviklere mod at blokere for, at brugere kan paste deres kodeord direkte ind i det respektive login-felt fra styresystemets udklipsholder.
En Version2-læser har i den forbindelse gjort redaktionen opmærksom på, at den danske NemID-app netop indeholder en funktion, der forhindrer brugeren i at paste et kodeord ind i app’ens dertilhørende felt.
I et blogindlæg under under titlen 'Let them paste passwords’ begrunder NCSC, hvorfor kodeordspraksissen, der altså blandt andet lader til at blive anvendt i NemID, er en dårlig idé.
»Vi mener, at stoppe password pasting (eller SPP) er en dårlig idé, der reducerer sikkerheden. Vi mener, at kunder bør tillades at paste deres kodeord ind i formularer, og at det forøger sikkerheden,« står der i indlægget.
NCSC fortsætter med at skrive, at ingen åbenbart ved, hvor idéen med SPP stammer fra.
Der er således ikke nogen tekniske specifikationer, der dikterer sådan en praksis, eller andet, der kan indikere, hvordan det begyndte. I den forbindelse efterlyser NCSC svar på, hvor SPP faktisk kommer fra. Her står det naturligvis Version2’s læsere frit for at byde ind - eventuelt i debatten herunder.
Derfor
Når NCSC mener, det er en god idé at tillade pasting af kodeord, så hænger det primært sammen med at reducere, hvad organisationen kalder 'password overload'. Begrebet dækker blandt andet over situationen, hvor brugere begynder at skrive kodeord ned på gule sedler, eller hvor brugere anvender det samme kodeord alle steder.
Som hjælp til at mindske overloadet fremhæver NCSC kodeordshusker-software. Altså som LastPass og deslige.
»At tillade pasting af kodeord betyder, at web-formularer fungerer godt med password managers (på dansk også kaldet kodeordshuskere, red.). Password managers er software (eller tjenester), der vælger, lagrer og indtaster passwords i onlineformularer for dig.«
Og kodeordshuskere er ifølge NCSC nyttige af følgende grunde, hvoraf Version2’s læsere sikkert er bekendt med flere:
De gør det langt lettere at have forskellige kodeord for hvert website, man besøger
De forbedrer din produktivitet og reducerer frustrationer ved at forhindre tastefejl under login
De gør det simplere at anvende lange, komplekse kodeord.
»Uden kodeordshuskere vil det være nødvendigt at gøre slemme (eng. bad) ting,« bemærker NCSC og bringer i den forbindelse følgende liste:
genbruge de samme kodeord på forskellige websites
vælge simple (og derfor let gætbare) kodeord
skrive kodeord steder, der er lette at finde (såsom post-it sedler ved siden af skærmen)
»Det er derfor, vi mener, SPP er slemt, og at tillade pasting er kodeord er godt. Fordelene vejer langt tungere end ulemperne,« oplyser NCSC.
Mulige SSP-forklaringer
Herefter fortsætter indlægget med at skyde tre argumenter i sænk, der handler om at forsvare blokering for pasting af kodeord.
Helt kort, læs evt. original-indlægget for detaljer:
Det første argument er, at passwords-pasting gør brute forcing lettere. Her peger NCSC på, at det ikke er nødvendigt med et felt i en formular for at brute force med en masse kodeordsgæt.
Det andet argument er, at pasting af kodeord betyder, at brugerne har lettere ved at glemme kodeordene - da de jo aldrig selv skal indtaste dem. Her anfører NCSC, at folk i den virkelige verden tvinges til at anvende kodeord til sjældent brugte tjenester, mens der til andre - og måske oftere brugte tjenester - konstant skal skiftes kodeord.
»Kodeordshuskere er en krykke, folk kan støtte sig til, og SPP sparker den væk igen.«
Det sidste argument for at anvende SPP, som NCSC skyder i sænk, handler om, at kodeordet ligger i clipboard, når det bliver kopieret og pasted. Altså hvor alle mulige ondsindede folk og programmer kan få fat i det.
Her bemærker NCSC, at det mest vil være et problem, hvis folk kopierer det fra et dokument, da de fleste kodeordshuskere sletter indholdet af clipboardet igen, når kodeordet er sat ind. Andre kodeordshuskere skulle ifølge NCSC helt undlade at anvende clipboardet for så i stedet at inputte kodeordet via et virtuelt keyboard.
I slutningen af NCSC-indlægget bliver der henvist til et blogindlæg fra sikkerhedsmanden Troy Hunt og til en artikel hos Wired. Begge handler om, hvorfor det er en dårlig idé at blokere for kodeordsindsættelse.
Digitaliseringsstyrelsen er tavs »af hensyn til sikkerheden.«
Version2 har spurgt Digitaliseringsstyrelsen til, hvilke sikkerhedsmæssige overvejelser, der ligger bag, at der i NemID er blokeret for pasting af kodeord. Digitaliseringsstyrelsen har været i kontakt med Nets.
Hverken hos Digitaliseringsstyrelsen eller hos NemID-leverandøren brænder man dog umiddelbart efter at forklare, hvorfor NemID ikke tillader pasting af kodeord - modsat anbefalingerne fra blandt andet NCSC.
»Det er vigtigt, at ens password er beskyttet bedst muligt. Et af vores sikkerhedstiltag omfatter bl.a., at man ikke kan copy/paste passwords ind i NemID login-feltet. De nærmere forhold og detaljer, der ligger bag vores valg af sikkerhedsforanstaltninger, kan vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen,« oplyser Digitaliseringsstyrelsen i et skriftligt svar, der skulle stamme fra en ikke nærmere specificeret kilde i Nets.
Det hører med til historien også, at det danske NemID som bekendt er beskyttet med 2-faktor-autentifikation, blandt andet i form af nøglekortet. Og derfor er login-løsningen i udgangspunktet også bedre sikret end så mange andre login-løsninger, der måske kun er beskyttet af et svagt kodeord, der aldrig bliver skiftet. Når det er sagt, så er der - som Version2 tidligere har fortalt - intet der teknisk forhindrer brugere i at vælge et særdeles svagt NemID-kodeord, som tilmed ikke skal skiftes.
Men hvad tænker Version2’s læsere? Har NCSC overhovedet en valid pointe i, at det er dårlig praksis at forhindre pasting af kodeord i webformularer? Eller det i virkeligheden den britiske cyber-sikkerhedstjeneste, der er galt afmarcheret?
