Flere ministres kodeord ligger åbent tilgængeligt på nettet: »Det er hovedrystende«

Illustration: vladwel/Bigstock
Syv ud af 20 danske ministre har fået deres kodeord offentliggjort på internettet.

Syv ud af 20 danske ministre har kodeord, der ligger frit tilgængeligt på nettet.

Det skriver DR, der har gennemgået lækkede kodeord fra onlinetjenester såsom LinkedIn, Dropbox og fitness-apps.

Fundet møder kritik fra Peter Brahe, der er tidligere operativ chef i Forsvarets Efterretningstjeneste (FE) og nuværende direktør i den europæiske del af cybersikkerhedsfirmaet NCC Group.

»Det er et kæmpe problem, og det er hovedrystende. Det er jo børnelærdom for alle borgere, som er blevet tudet ørene fulde, at vi skal passe på vores passwords,« siger Peter Brahe til DR.

Ifølge ham er det særligt problematisk, at flere ministre har genbrugt de samme kodeord i op til syv år. Derudover får ministrene også kritik for, at deres kodeord er for simple og for korte.

En af de ministre, der har fået lækket kodeord, er transportminister Benny Engelbrecht (S). Ministeren mener dog, at han har styr på cybersikkerheden med den begrundelse, at han aldrig har opbevaret fortrolige oplysninger på de tjenester, hvor de lækkede kodeord stammer fra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin Kofoed

DR har fundet passwords fra flere år gamle leaks i en offentlig database. Intet nyt i det. Det kan alle gøre, og flere tusinde danskeres (forhåbentligt gamle) passwords er at finde deri. Nu har man så matchet nogle brugere til nogle ministre, og så bryder helvede løs med en ærgerlig forudsigelighed.

Panik er sjældent en god reaktion på noget - og da slet ikke, hvis man sidder i en sikkerhedstjeneste.

  • 10
  • 1
 
#3 Christian Nobel

Panik er sjældent en god reaktion på noget - og da slet ikke, hvis man sidder i en sikkerhedstjeneste.

Helt enig.

Og udsagnet:

»Det er et kæmpe problem, og det er hovedrystende. Det er jo børnelærdom for alle borgere, som er blevet tudet ørene fulde, at vi skal passe på vores passwords,« siger Peter Brahe til DR.

er jo sådan set i sig selv også hovedrystende.

Det er jo hamrende ligegyldigt hvor godt man laver et password, hvis det site man har brugt det på bliver kompromitteret.

Det er langt, langt vigtigere at alle lærer at have en "password politik" hvor man har forskellige passwords til forskellige sites - og hvis man så har problemer med at huske sine passwords, så må man sørge for at have en passwordhusker som f.eks KeePassX, hvor man selvfølgelig skal passe rigtig godt på masterpasswordet.

Og så skal man huske at holde skæg for sig og snot for sig - det er lidt ligegyldigt med passwordet til lastfm, som man så bare skal glemme alt om, hvorimod andre passwords bør have en langt højere kvalitet.

Endvidere bør man lære at oprette dummy mailkonti til alt det ligegyldige skrammel.

Det vigtige er at man har mange sikkerhedsniveauer, ligesom man har en nøgle til haveskuret, og en anden, og langt bedre, til bankboksen - det er så iøvrigt her hele "NemID" konceptet (også) fejler med et ordentligt brag.

  • 16
  • 0
#5 Niels Danielsen

et vigtige er at man har mange sikkerhedsniveauer, ligesom man har en nøgle til haveskuret, og en anden, og langt bedre, til bankboksen - det er så iøvrigt her hele "NemID" konceptet (også) fejler med et ordentligt brag.

Nu ved jeg ikke havd du specifikt er imod NemID konceptet, udover at vi nok er enige om at hvis nogen får fat i ens NemID så er vi på skideren..

Jeg vil ikke adskille identiteterne, jeg vil gøre det mere sikket.

Der er mange ting jeg ikke kan lide ved NemID, dette er ikke en af dem. Ens idenditet over for staten må nødvendigvis være en singleton, det kan ikke hjælpe at jeg opstår som en ny skatteyder blot jeg har glemt mit password, nøgler etc. Der er mange ting der bliver bundet sammen (det er både godt og skidt) af personnummeret, f.eks. skal min arbejsgivers lønkontor bruge personnummeret for at binde Niels den ansatte, sammen med Niels -Skatteyderen, -Bank kunden, -Pensions opsparen, og -forsikrings tageren. Jeg kan også risikere (jeg håber det ikke) at Niels forsikrings tageren og Niels patient journal indehaveren skal kende lidt til hinanden gennem en læge. Det gode er også at vi i Danmark ikke burde midste værdien af en konto, pension, eller forsikring blot fordi vi eller vores efterkommere har glemt alt om den. I USA er der mange arvinger der går glip af arv pga. dette.

Da disse identiteter hænger sammen som ærtehalm, giver det ikke mening at adskille disse logins på samme måde som ens identitet i kanin avler foreningen, twitter, og swinger klubben holdes adskildt :-). Det at have flere udbydere der kan tilbyde autentication af om jeg er indehaveren af et givet personnummer vil gøre systemet mere usikket. Det er lidt det samme problem som at min brower er fyldt med rodcertificater, og en CA i Uzbekistan kan i principet generere certifikater til et vilkårligt domaine. (Jeg ved godt at man i DNS kan specificere CA)

Mine forbedrings forslag: Forbedre sikkerheden omkring NemID, specielt reautentication efter tab af nøgler/password, det at sende nøgler af den ene eller anden art til postkasen er et meget svagt punkt. Jeg finder det paradoksalt an man ifm. Kend Din Kunde, skal logge ind med NemID og sende billeder af pas/kørekort/sygesikrings kort. NemID burde gøres så sikkert at det ikke er nødvendigt.

Muligheden for at generere egne X509 nøgle par hvis man har lyst til dette, og/heller at anvende hardware tokens som FIDO.

Jeg vil gerne fjerne denne opgave med autentientikere personen bag et personnummer, fra Nets og lade denne blive varetaget af tjæneste mænd på CPR kontoret der har noget at midste hvis de misbruger systemet. (Jo færre parter der er involveret, jo mere sikket er det)

Mere neded-to-know samtykke for adgang til data der er linket til Personnummer, evt. med adskildte aliaser, således at f.eks. bank og Forsinkrings ikke kan se at det er den samme kunde de har, blot med forskelligt alias.

Et system således at Bank, læge etc. kan validre hvem man taler med over telefonen.

  • 4
  • 0
#6 Christian Nobel

Nu ved jeg ikke havd du specifikt er imod NemID konceptet, udover at vi nok er enige om at hvis nogen får fat i ens NemID så er vi på skideren..

Det er ikke en digital signatur.

Det er under kontrol af en amerikansk kapitalfond.

Der er kun et sikkerhedsniveau, alt eller intet.

Det er sårbart over for MiM angreb.

Det kan ikke benyttes mellem private parter (som en digital signatur vil kunne).

Etc, etc, etc.

  • 7
  • 0
Log ind eller Opret konto for at kommentere