Pas på: CVR-registeret gemmer og sender passwords i klartekst

16. juni 2011 kl. 12:378
Pas på: CVR-registeret gemmer og sender passwords i klartekst
Illustration: virk.dk.
CVR-registret har siden 2005 sendt alle kodeord ud i klartekst. Fejlen bliver først lappet i løbet af året.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det centrale virksomhedsregister CVR har en lemfældig omgang med folks personlige kodeord. CVR opbevarer nemlig brugernes kodeord som klartekst uden nogen form for kryptering.

Det opdagede Morten Hattesen, selvstændig it-konsulent, da han skulle oprette sig som bruger på www.cvr.dk. Han tastede i den forbindelse brugerinformation og password ind, men fik en ubehagelig oplevelse:

»Hvad der skræmte mig var, at jeg efterfølgende modtog en ukrypteret email-bekræftelse, der forklarede, at jeg var oprettet som bruger, og inkluderede mit password i clear-tekst.«

»Hvad der skræmte mig endnu mere var, da jeg skrev til webmaster hos cvr.dk og påpegede det oplagte sikkerhedsproblem i at sende fortrolige passwords via alverdens SMTP-servere, og efterfølgende modtog en email med svaret:

Artiklen fortsætter efter annoncen

"Det er praksis, at der sendes email med password. Det, du skal gøre, er at gå ind på www.cvr.dk og logge på og herefter vælge 'ændre password'". De forholdt sig således slet ikke til, hvorvidt det var en sikkerhedsmæssig acceptabel praksis, de havde gang i.«

Ingen misbrug, så vidt vi ved

Da Version2 konfronterer Erhvervs- og Selskabsstyrelsen med problemet, erkender kontorchef i Center for CVR Salg og Support Carsten Ingerslev, at kodeords-behandlingen er problematisk:

»I 2005 var det en standardløsning, og det var almindeligt, at man gjorde det på den måde. Jeg siger ikke, at der ikke er noget problem, men vi er opmærksomme på det, og vi er på sagen. Man skal heller ikke glemme, at vi logger ip-adresser, så vi vil kunne finde hackeren, hvis der er nogen, der misbruger andres oplysninger.«

I øjeblikket er styrelsen ved at opdatere deres databaser og systemer, og CVR-registeret står først for skud, blandt andet fordi det er et af de ældste systemer. Det er endnu ikke besluttet, hvordan den nye log-on løsning kommer til at se ud. Men Carsten Ingerslev satser på, at CVR går væk fra en kodeordsløsning og over til for eksempel NemID eller andre digitale signatur-løsninger.

Artiklen fortsætter efter annoncen

Der vil dermed gå op til et år, før brugernes private kodeord ikke længere bliver kastet rundt på diverse SMTP-servere i klartekst.

»Man kan altid diskutere, hvor hurtigt man kan gøre tingene, og i en perfekt verden, havde vi gjort det for lang tid siden,« siger han og fortsætter:

Kan man trække følsomme data ud af systemet?

»Nej, der er ingen følsomme data i systemet. Vi erkender, at det skal opdateres, men dataene er i princippet fuldt offentligt tilgængelige, der er kun en betalingsløsning, fordi vi skal have dækket vores omkostninger.«

Vil I skrive til folk at deres passwords kan være kompromitteret?

»Det vil vi da overveje.«

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
6. marts 2013 kl. 15:37

Vi er et kvartal inde i 2013. Problemet må da helt klart være løst nu...

*** Efter 5 minutter og en tur forbi cvr.dk ***

Hvor svært kan det være at få krypteret den forbindelse?

2
17. juni 2011 kl. 11:10

Ud fra overskriften på artiklen får man den opfattelse at CVR.dk gemmer passwords i klar tekst. Som både Mikkel Høgh og jeg skriver i kommentarer på https://www.version2.dk/artikel/pas-paa-utroskabs-datingtjeneste-er-usikker-19372, så behøver systemet ikke at gemme brugerens password fysisk for at kunne sende det pr. mail. De kan fint være gemt krypteret eller som en hash i systemet.

Jeg vil dog give jer ret i, at det er tåbeligt at sende password'et til brugeren når vedkommende selv har valgt det ifm. oprettelse af kontoen på CVR.dk.

5
17. juni 2011 kl. 20:22

Hej Jens,

Jeg vil dog give jer ret i, at det er tåbeligt at sende password'et til brugeren når vedkommende selv har valgt det ifm. oprettelse af kontoen på CVR.dk.

Det er jeg ikke enig i. Det giver for mig rigtig fin mening, at mit valgte password sendes til mig i en email ved oprettelse - så kan det senere fremsøges i min mailbox, når jeg skal logge ind på den tjeneste, som jeg blev oprettet i for "et par år siden" og ikke kan huske password til.

6
17. juni 2011 kl. 23:50

Det er jeg ikke enig i. Det giver for mig rigtig fin mening, at mit valgte password sendes til mig i en email ved oprettelse - så kan det senere fremsøges i min mailbox, når jeg skal logge ind på den tjeneste, som jeg blev oprettet i for "et par år siden" og ikke kan huske password til.

Ville det ikke være bedre hvis et glemt password blev nulstillet, og kun en engangskode blev sendt via email, så næste gang man loggede ind, skulle man ændre password?

3
17. juni 2011 kl. 11:40

Jeg forstår det ikke helt. Hvordan kan man sende et password ud, hvis man kun har en hash af det? Og hvad hjælper det at have det liggende krypteret, hvis serveren automatisk kan dekryptere det? Så må nøglen jo ligge et eller andet sted, hvor den - og dermed en angriber (f.eks sysadmin) også kan bruge den.

4
17. juni 2011 kl. 11:43

... Det kan selvfølgelig godt sende det ud første gang man opretter sig, uden at have det liggende nogen steder... Nu går jeg så ud fra (måske en fejl) at v2 ved mere end hvad de skriver i artiklen, så der rent faktisk er beviser for at de har kodeordet liggende på serveren. En "tryk for at få tilsendt dit password"-løsning ville eksempelvis være et bevis for dette.

1
17. juni 2011 kl. 10:52

"vi logger ip-adresser, så vi vil kunne finde hackeren, hvis der er nogen, der misbruger andres oplysninger"

...forudsat at vi opdager at et misbrug har fundet sted, samt at hackeren er smart nok til at opsnappe en email men dum nok til ikke at bruge en anonym proxy server til sit misbrug.