Dandomain sender passwords i klartekst

Glemte passwords bliver sendt til brugerne i klartekst, og session-keys deles på tværs af krypterede og ukrypterede forbindelser på Dandomains website. En løsning er undervejs, forsikrer direktøren.

Er du en af de 67.000 kunder hos web- og domænefirmaet Dandomain, gør du bedst i ikke at glemme dit password, hvis du ikke vil have det tilsendt i klartekst via en ukrypteret e-mail.

Det fandt Nils Lück, kandidatstuderende i softwareudvikling og -teknologi, ud af og endte derfor med at foretage et lille rutinemæssigt sikkerhedstjek af Dandomains hjemmeside, hvorefter han henvendte sig først til firmaet selv og sidenhen til Version2 med det, han havde fundet ud af. Der var flere forhold på hans liste, der ikke lever op til almindelig sikkerhedsskik i dag.

I en e-mail til Version2 udtrykker Nils Lück blandt andet bekymring for deling af session-id på tværs af henholdsvis http- og https-protokoller, samt at Dandomain ikke gør brug af énvejs-kryptering med hashing, der er en stærk form for kryptering, som ville gøre det umuligt for hackere at gendanne adgangskoderne, hvis de fik fingrende i databasen med passwords.

Ud fra e-mailen med det glemte password, han modtog fra Dandomain, kunne han regne ud, at firmaet, der er Danmarks største domæneregistrator, har muligheden for at dekryptere passwordet, for ellers kunne de ikke sende det afsted til brugeren i klartekst.

Dandomain: Forbedringer på vej

Hos Dandomain skal man til at forbedre sikkerheden, forklarer firmaets direktør, da han bliver præsenteret for kritikken.

»Det er sådan, det har været konstrueret fra gamle dage, og det er faktisk nogle ting, vi er ved at stramme op på, så brugeren i stedet får tilsendt et link, han kan klikke på,« siger Ronnie Bach Nielsen, administrerende direktør hos Dandomain, til Version2.

Han understreger samtidig, at brugernes passwords ikke ligger i databasen i klartekst, og at de er krypteret med et dynamisk unikt salt, der er en tilfældig genereret tilføjelse til passwordet, som gør det sværere at gætte. Saltet ligger ligeledes gemt separat fra databasen.

Ronnie Bach Nielsen forklarer, at der i øjeblikket sidder udviklere og arbejder på en password-reset løsning, hvilket betyder, at adgangskoder fremover vil være énvejshashet. En løsning, der gerne skulle være på plads inden for 14 dage.

»Det har været sådan af hensyn til at kunne yde en enkel service over for kunden, og det er da heller ikke noget, vi har oplevet problemer med tidligere. Men jeg kan sagtens følge bekymringen omkring det, da sikkerhedssituationen i verden er en anden end for bare 5 år siden, hvilket også er årsagen til, at vi gennem den seneste tid har igangsat flere initiativer til at højne sikkerheden,« siger Ronnie Bach Nielsen til Version2.

Samme session-ID hjælper hackerne

Den bekymrede læser retter ligeledes en kritik imod Dandomains håndtering af login-sessions. Websitet kører nemlig henholdsvis http på forsiden og https i kundecenteret. Men den session-key, som brugeren får tildelt ved logon, deles på tværs af de to protokoller.

Det gør systemet mere sårbart, hvis en hacker skulle have held til at sætte et såkaldt ‘Man in the Middle’-angreb ind. Dermed ville uvedkommende have nem adgang til sessionens id i http-protokollen, hvilket gør det muligt at overtage kommunikationen (session hijacking).

»Det er klart, at hvis man bliver ramt af et Man in the Middle-attack, så er trafikken selvfølgelig nemmere at sniffe i ukrypteret form, men alle de steder, hvor der foregår indtastning af følsomme oplysninger, der er man inde i https-universet,« forklarer Ronnie Bach Nielsen til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin Westergaard Lassen

Det er klart, at hvis man bliver ramt af et Man in the Middle-attack, så er trafikken selvfølgelig nemmere at sniffe i ukrypteret form, men alle de steder, hvor der foregår indtastning af følsomme oplysninger, der er man inde i https-universet

Er det bare mig, eller virker det som om han slet ikke har forstået spørgsmålet?

  • 11
  • 0
#2 Thomas Jespersen

Det er ikke bare dig. UnoEuro har/havde samme problem og de var komplet uforstående over for problemet.

Som mange andre brugte jeg samme password til forskellige websites. Og jeg havde selvfølgelig forskelige grader af passwords. Et til random sites, et til vigtige sites og et til netbank, hosting osv. Og UnoEuro sendte mit top secret password i clear text, når jeg klikkede glemt adgangskode.

UnoEuro og åbentbart DanDomain tror det handler om sikkerhed på DERES site, og forstår ikke at det OGSÅ handler om at beskytte deres kunder på ANDRE sites... i mit tilfælde NemId, Produktions websites o.l.

UnoEuro syntes de løste problemet ved at indføre mulighed for "Højt sikkerhedsniveau", hvor man mister adgang til alle sine data, hvis man glemmer sit password. Men det er et tilvalg, som man jo først bliver opmærksom på man skal lave, når skaden er sket.

Jeg er flov over at IT firmaer som DanDomain og UnoEuro har så lidt forståelse for grundliggende sikkerhed, og at der skal en Version 2 artikel til, for at få dem til at forstå, at de bør være forgangsmænd. Hvordan kan vi så forlange at en online tøjbutik e.l. gør det rigtigt?

Og Ronnie... hvis du mener at disse krav ikke var gældende for 5 år siden, så er du ikke kompetent til at udføre dit job! Det samme gælder hvis det skal tage 5 år at rette op på det, når det nu viser sig at I kan lave det på 14 dage.

FYI: Jeg ved ikke om UnoEuro har rettet problemet. http://plaintextoffenders.com/post/32456331409/unoeuro-com-danish-webhot...

  • 3
  • 0
#3 Frederik Dam Sunne

Mange CMS'er - inklusiv Drupal 6, benytter MD5 hashing som standard, som bestemt ikke er sikker. Godt nok er kodeordene ikke til at læse i klartekst, men at generalisere en-vejs-kryptering som sikkert: "samt at Dandomain ikke gør brug af énvejs-kryptering med hashing, der er en stærk form for kryptering, som ville gøre det umuligt for hackere at gendanne adgangskoderne, hvis de fik fingrende i databasen med passwords." er decideret forkert.

http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/

  • 1
  • 0
#4 Per Møller Olsen

DanDomain har længe svigtet at holde deres produkter up-to-date. F.eks. har deres almindelige mailhoteller ikke mulighed for SSL, så alle mails (og passwords) sendes i klartekst. De har da også overfor mig indrømmet, at deres produkter ikke lever op til nutidens krav - men at deres fokus har været andetsteds (webshop og Hosted Exchange).

  • 0
  • 0
#5 Martin Westergaard Lassen

Version 2 artiklen her vidner i virkeligheden også bare om hvor ligegyldige diverse branche mærkninger er. Fra http://blog.dandomain.dk/?p=776

  • Levere sikre ydelse. Alle processer vedr. informationssikkerhed skal dokumenteres og kontrolleres for at opnå en certificeret revisorerklæring

Det overgår mig, hvordan det kan være vigtigere at dokumentere at man gør ting forkert, end rent faktisk at implementere sikre løsninger.

Udover de problemer som Version 2 artiklen nævner så har de også problemer med at udstille versioner af deres software (http header, X-AspNet-Version: 4.0.30319) og forcering af http (http redirect hvis man forsøger https). Sidstnævnte forhindrer kunder i at tage deres egne forholdsregler omkring sikker kommunikation.

  • 2
  • 0
#6 Nils Lück

Du har naturligvis helt ret Frederik. Salter man sit password og kører det gennem en sikker hashfunktion (gerne en langsom itereret udgave) kommer man langt. Men at alle hashfunktioner er sikre er vel bare en lille kunstnerisk generalisering - men godt at du pointerer det, jeg lagde ikke lige selv mærke til det første gang jeg læste artiklen igennem.

  • 0
  • 0
#8 Thue Kristensen

Version2 skriver i titlen "Dandomain sender passwords i klartekst".

Også version2 selv sender jo password-remindere i emails i klartekst - det er en ret standard ting at gøre. Så det er nok ikke det problem, Nils Lück prøver at påpege. Problemet er snarere, at passwordene ligger i klartekst eller reversibelt krypteret i databasen, så man kan få fat i brugernes passwords ved at hugge databasen + salt.

Brugere har det med at genbruge passwords, så man skal helst ikke på nogen måde kunne få fat i et password som brugeren selv har valgt. Autogenerede passwords i Password-remindere er ikke helt så kritiske.

  • 0
  • 0
#9 Kenneth Dalbjerg

Har tidligere haft abonoment hos Børsen, og der jeg så nu har signed op over telefonen, hvor jeg ikke har angivet et password, modtager jeg et almindelig brev med min password stående i ukrypteret form.

Altså må de jo gemme password i cleartekst, eller en form for krypertingen som nemt kan dekrypteres.

  • 1
  • 0
#10 Deleted User

Først og fremmest en tak til Nils Lück, for at gøre os opmærksomme på dette. For at understrege, at sikkerhed bestemt er noget, vi er meget optaget af, vil jeg her gerne kaste lidt lys over tingene.

Først kan jeg dog afvise helt, at vi skulle have nogen som helst form for tilknytning til UnoEuro, som det fremgår af en kommentar.

Hvad angår tovejskryptering, så valgte vi i tidernes morgen den metode ud fra en kundecentrisk tænkning. Det var et spørgsmål om at hjælpe kunderne bedste muligt. Vi mener dog samtidig også, at vi designmæssigt har valgt en implementering med et fornuftigt højt sikkerhedsniveau. Hver krypteret streng er dannet med en unik dynamisk key kombineret med en runtime key, der kun findes på det afviklende system. Det betyder, at en evt. hacker ikke kan dekryptere passwords alene ved at stjæle databasen. Det vil kræve kompromittering af flere systemer.

Når det er sagt, så har vi forståelse for, at det ikke er en rar tanke for vores kunder, at vi rent teknisk kan dekryptere deres password. Det er baggrunden for, at vi laver det om til one-way hashes. Sagen har været drøftet i vores sikkerhedsråd, og på baggrund af ændringens kompleksitet og vores vurdering af de sikkerhedsmæssig risici har det været undervejs den seneste tid. Men der hersker da ingen tvivl om, at den øgede interesse fra vores kunder har gjort, at resten af implementeringen er blevet prioriteret op. I vores implementering benytter vi os af best-practise indenfor dette, som bl.a. er en iterativ algoritme.

Hvad angår citatet: "...sniffe i ukrypteret form, men alle de steder, hvor der foregår indtastning af følsomme oplysninger, der er man inde i https-universet". Her vil jeg godt medgive, at det kan læses som om, vi ikke forstår budskabet. Vi er fuldt ud klar over, at man kan aflure session-ID i http kontekst, hvilket kan føre til en overtagelse af hele denne session - uanset http/https kontekst. Til det kan jeg tilføje, at vi arbejder på en separering af disse to sessionscopes.

Jeg håber, vi hermed har skabt mere klarhed over situationen. Vi lytter til vore kunder, og er ikke bange for at erkende, når tingene kan gøres bedre. Jeg står på mål for, at vi får disse ting ændret hurtigst muligt, og kunderne kan forvente at se forbedringer inden for de næste 14 dage.

Enhver, der har flere spørgsmål, er desuden velkommen til at kontakte mig direkte.

Ronnie Bach Nielsen Adm. Direktør DanDomain A/S

  • 1
  • 0
#11 Tom Sommer

UnoEuro har intet med DanDomain at gøre.

Angående UnoEuro's password sikkerhed, kan man se http://blog.unoeuro.com/2011/10/forhojet-sikkerhed-i-kontrolpanelet/

Som beskrevet i ovenstående, er det nødvendigt for UnoEuro's system at kunne læse kunders adgangskoder, så vi kan oprette produkterne på vores servere og fx. lave 1-click installationer. Man kan derfor ikke sammenligne et webhotel med en normal SaaS/CMS løsning (hvor et firma ikke har nogen grund til at kende kunders adgangskoder).

Fordi adgangskoder kan læses i klartekst af systemet, betyder det ikke de opbevares sådan. Endvidere er der enormt mange kunder som er glade for at kunne få deres adgangskoder tilsendt i klar-tekst, så de ikke skal ændre koden til hele deres webhotel (FTP, MySQL osv.) hvis de har glemt den. Til dem som forståeligt nok ikke ønsker deres adgangskoder tilsendt, kan man blot aktivere den ekstra sikkerhed i UnoEuro's kontrolpanel.

  • 0
  • 1
#12 Michael Thomsen

Københavns svømmeklub gør det fx også, og når de bliver gjort opmærksom på problemet (at brugernavn og adgangskode bliver sendt til brugeren lige efter oprettelsen) får man blot følgende svar:

---:<--- Mailen er tiltænkt som en venlig service og der er jo tale om en adgangskode til en svømmeklub. Men der er intet til hindre for at du går ind og ændre brugenavn og password. ---:<---

Så meget respekt for andres fortrolige oplysninger har de ikke. Heldigt, at jeg ikke bruger det samme kodeord flere steder.

  • 0
  • 0
#13 Jørgen L. Sørensen

Det er "næsten normalt" at man kan få tilsendt sit eget kodeord i klar tekst, så en del sider må åbenbart gemme kodeordet i klartekst, eller i en form så det kan dekrypteres

Jeg har lige tjekket disse med glemt-kodeord-funktionen, og de kan stadig se hvad mit password er: e-julemærket, ofir.dk, jks.dk og findsmiley.dk --- med hensyn til den sidste ville det klæde staten om den passede lige så godt på vore oplysninger som egne!

  • 0
  • 0
#14 Mikkel Jacobsen

Dandomain har for ganske nylig manuelt korrigeret i mine kodeord og efterfølgende sendt dem til mig pr mail. Dandomain har for ganske nylig lovet præmier ved lodtrækning for besvarelse af spørgeskema, men undladt at annoncere om vinderen er fundet. Til gengæld har Dandomain efterhånden sagt mange fine ord om deres sikkerhed og troværdighed.

  • 2
  • 0
Log ind eller Opret konto for at kommentere