CVR erkender dårlig sikkerhedspraksis: Bruger ukrypteret login-procedure

1 kommentar.  Hop til debatten
CVR erkender dårlig sikkerhedspraksis: Bruger ukrypteret login-procedure
Illustration: virk.dk.
Skal du logge på CVR-systemet, foregår det over en ukrypteret http-forbindelse. Erhvervsstyrelsen vil nu forbedre sikkerheden.
11. marts 2013 kl. 10:48
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er faldet Version2-læser og selvstændig it-konsulent Thomas Karlson for brystet, at login-proceduren på CVR-registrets selvbetjeningsside, cvr.dk, øjensynligt foregår over en HTTP-forbindelse uden kryptering.

I hvert fald ser der ikke ud til at være noget SSL-certifikat forbundet med login på hjemmesiden. Og det betyder som udgangspunkt, at de oplysninger, der bliver indtastet på siden, kan opsnappes af uvedkommende undervejs til cvr.dk-serveren.

»Hvis man er bruger af cvr.dk, så er det lidt en bekymrende ting, også fordi mange bruger de samme passwords forskellige steder. Så hvis der er nogen, der får opsnappet et password der bliver sendt til cvr, så er sandsynligheden for, det bliver brugt andre steder, jo høj,« siger Thomas Karlson, der som it-konsulent i firmaet Instinct blandt andet beskæftiger sig med sikkerhed og webudvikling.

Hos den ansvarlige myndighed for hjemmesiden, Erhvervsstyrelsen, medgiver teamleder Morten Kildevang Jensen, at det ikke er videre smart med ukrypteret login på hjemmesiden, men han forklarer samtidigt, sitet er på vej til at få både et designmæssigt og funktionelt løft.

Bad practice

Det kan vel nærmest kaldes bad practice ikke at kryptere login-data sådan et sted?

Artiklen fortsætter efter annoncen

»Fuldstændigt rigtigt. Det er også en af de ting, der bliver taget fat i nu,« siger Morten Kildevang Jensen.

Det er imidlertid ikke kun login-proceduren på cvr.dk, der er i færd med at få et servicetjek, men CVR-relaterede systemer generelt, fortæller han:

»Vi arbejder på at modernisere CVR-området, det har fortrinsret over alle andre områder lige i øjeblikket.«

Morten Kildevang Jensen fortæller, at det medfører, at der i løbet af det næste år vil ske kraftige moderniseringer, også af cvr.dk

Han ønsker ikke at give en eksakt dato for, hvornår loginproceduren får et sikkerhedsmæssigt løft, men han fortæller, at det nok bliver snart

Bliver det i år?

»Formentlig, ja.«

Den nye loginprocedure kan meget vel komme til at fungere via den fællesoffentlige loginløsning NemLog-in, forklarer han. Det kan dog give nogle udfordringer i forhold til opkoblinger fra udlændinge, som ikke umiddelbart har adgang via den danske login-løsning.

»Det kan være problematisk at spærre det alt for hårdt af,« siger han.

I 2011 kunne Version2 fortælle om en anden sikkerhedsudfordring forbundet med CVR.dk, hvor brugere kunne opleve at få deres login-kodeord sendt via email i klartekst. Noget der i it-sikkerhedsmæssige kredse også ville kunne presses ind under hatten ‘bad-practice’. Den fremgangsmåde bliver dog ikke anvendt længere, forsikrer Morten Kildevang Jensen.

»Det er blevet ændret på baggrund af artiklen,« siger han.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
11. marts 2013 kl. 11:46

Som den linkede artikel fra 2011 klart viser http://www.version2.dk/artikel/cvr-registeret-gemmer-og-sender-passwords-i-klartekst-29093 er det ikke første gang cvr.dk har været eksponeret for lemfældig omgang med sikkerhed (passwords).

På det tidspunkt (juni 2011) var beskeden, at "Der vil dermed gå op til et år, før brugernes private kodeord ikke længere bliver kastet rundt på diverse SMTP-servere i klartekst".

Det er ikke bare pinligt, det er nærmest kriminel lemfældighed, og burde være ansvarspådragende.