Den britiske teleudbyder Virgin Media har vakt opsigt, efter en bruger på Twitter brokkede sig over processen med at få nulstillet sin konto.
Brugeren havde glemt sine informationer og måtte igennem en noget aparte nulstillingsprocedure:
Efter en telefonsamtale med kundeservice fik kunden at vide, at koden ville komme med posten.
Den kode, der kom med posten, viste sig oven i købet at være en kode, brugeren kunne genkende. Det er udtryk for, at Virgin Media bruger en yderst ildeset praksis i deres lagring af passwords.
For at kunne sende den oprindelige kode med posten er de nemlig nødt til at lagre den i et format, hvoraf den oprindelige kode kan afledes.
På Twitter svarede Verizon Medias konto, at:
»Det er sikkert at sende den til dig med posten, da det er ulovligt at åbne andres breve.«
Posting it to you is secure, as it's illegal to open someone else's mail. ^JGS
Verizons udsendelse af passwords i klartekst går imod almindelig praksis, som er at lagre passwords som saltede »hashes«.
Et passwords hash kan verificeres, men kan ikke uden videre føres tilbage til den oprindelige kode. Det betyder, at angribere, som får angreb til databasen, ikke kan se kodeordene, men det forhindrer også virksomheder i at sende brugeres oprindelige koder til dem, da de ikke har adgang til dem.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
