Telia skrotter kodeord i klartekst efter syv år: »Det kan lyde vanvittigt i dag«

Illustration: Bigstock
Bredbåndskunder har i syv år rutinemæssigt modtaget kodeord på mail i klartekst. Det lyder måske vanvittigt i dag, erkender selskabet.

En Version2-læser – der er bredbåndskunde hos Telia – bestilte for nylig en ny kode til en selvbetjeningsportal og modtog efterfølgendende koden i klartekst i en mail.

»I sig selv ikke optimalt, men nok stadig praksis mange steder,« skriver læseren i sin mail til redaktionen.

Da læseren efterfølgende ændrede sit kodeord, kom der imidlertid endnu en mail – denne gang med det selvvalgte kodeord igen i klar tekst. En praksis, som Version2’s læser kalder »højst utraditionel og bekymrende«.

Læs også: Telmore om kodeord: »De tre første tegn ligger ikke længere i klartekst«

Telia selv ønsker dog heller ikke at forsvare sikkerhedsstrategien, som selskabet i år har besluttet at ændre.

»Det er ikke vores stolteste øjeblik,« medgiver pressechef Rasmus Avnskjold.

»Og det kan man måske grine af, for det kan lyde vanvittigt i dag. Vi kan se, at tiden har ændret sig. Det generelle syn på datasikkerhed er en anden i dag end dengang.«

Brugere glemte kodeord

Årsagen til, at systemet – der gælder en gruppe af Telias bredbåndskunder – er sat op, som det er, er historisk betinget, forklarer Rasmus Avnskjold.

»Det var en beslutning man tog for syv år siden, fordi mange bredbåndskunder ikke kunne huske deres kodeord. Det gjorde at kundeservice blev lagt ned, og kunderne blev sure, fordi kundeservice ikke kunne oplyse kodeordene.«

Læs også: MD5, SHA-1 eller Scrypt: Er dine brugeres kodeord (forsvarligt) krypteret?

Telia valgte på det tidspunkt at opbevare oplysningerne krypteret internt, og sende dem til kunden i klar tekst, forklarer pressechefen.

Telia har tilsyneladende været så opsatte på, at kunder ikke skulle glemme deres kodeord, at det blev inkluderet i den månedlige faktura-mail. Ifølge Version2’s læser stoppede den praksis i januar i år.

Ingen misbrug

Rasmus Avnskjold understreger, at selskabet ikke er bekendt med nogle misbrugssager. Det er muligt, at kunder har henvendt sig tidligere om praksissen, men der er ikke blevet oprettet nogle sager om det, oplyser han.

Det er uklart, hvilken afvejning selskabet har lavet, da man besluttede at hjælpe kundeservice af med de glemsomme bredbåndskunder.

Læs også: SHA-1-kollision: Nogle gange kommer ulven faktisk

»Jeg har ikke stødt på nogen, der var en del af den beslutning dengang. Nu sidder vi i dag og gætter på, hvad man har tænkt dengang,« forklarer Rasmus Avnskjold.

»Man kan sige, at før man får adgang til kodeordet i klartekst, skulle man have adgang til kundens mail, og så er der mere sårbare ting end login til selvbetjening. Men om det har været tanken er spekulation.«

I glemmebogen

Beslutningen – og den medfølgende sikkerhedspraksis – har altså holdt ved i syv år.

»Jeg ved ikke, om det var gået lidt i glemmebogen, vi har i hvert fald ikke været opmærksomme på det. Men efter nogle år bliver vi opmærksomme på, at det er en uhensigtsmæssig måde at gøre tingene på,« siger Rasmus Avnskjold og fortsætter:

Læs også: Dataforsyningsstyrelsen dropper kodeord i klartekst efter kritisk fokus

»Vi er blevet enige om at ændre praksis, for den er out of date. Det gik vi i gang med i starten af året, og det er en proces, vi stadig er i gang med.«

»Målsætningen er at ingen kunder modtager kodeord i klartekst,« slutter han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mark Klitgaard

Vi er blevet enige om at ændre praksis, for den er out of date.

I de syv år de tilsyneladende har kørt med den praksis har den aldrig haft sin gang på jorden! Den var out of date fra starten!

Altid noget de sadler om - langt om længe.

Dertil finder jeg det imponerende at man synes det var en bedre ide at gemme koder i klartekst end implementere en "glemt password" funktion som generede et tilfældigt kodeord til kunden?

  • 8
  • 1
Jimmy B. Carlsen

Jeg oplever stadig ikke-IT-personer, som forventer, at jeg kan grave deres kodeord frem, ligesom de ikke forstår behovet for aktiveringskoder på mail og i særdeleshed på SMS.
Hvordan kan vi nå ind til disse personer og uddanne dem i datasikkerhed?

  • 8
  • 0
Allan S. Hansen

Ja det er dumt lavet. Alligevel er det forfriskende at se Telia erkende problemet og ændre praksis uden at pakke det ind i "corporate speak". Alle laver fejl, men kun kujoner erkender dem ikke (jeg kigger på jer: KMD).

Ja - tænker ikke der er mange som har været i branchen gennem en årrække ikke mindst kender til problem med legacy kode og / eller beslutninger der efter en årrække ser dumme ud.

  • 1
  • 0
Kristian Rastrup

Jeg oplever stadig ikke-IT-personer, som forventer, at jeg kan grave deres kodeord frem, ligesom de ikke forstår behovet for aktiveringskoder på mail og i særdeleshed på SMS.
Hvordan kan vi nå ind til disse personer og uddanne dem i datasikkerhed?

I det øjeblik vi lærer at omprogrammere mennesker kan det lade sig gøre (læs aldrig).
Problemet er beslægtet med at lægge sin hovednøgle under dørmåtten og sætte en kile i branddøren.
Begge dele er pga. menneskets natur for bekvemmelighed på bekostning af en ikke-følt sikkerhedstrussel.

  • 2
  • 0
Ditlev Petersen

Thi der er større glæde i Himmerige over én omvendt synder, end over ...

Hvad man i Himmerige måtte mene om de forhærdede syndere, der nok ser splinten i andres øjne, men ikke bliver bjælken i deres eget øje var, får stå hen i det uvisse. Men jeg har en anelse om, at denne sidste gruppe er kilde til evindelig fryd i Hackerrige!

  • 0
  • 1
Ebbe Hansen
  • 2
  • 0
Jacob Rasmussen

Dertil finder jeg det imponerende at man synes det var en bedre ide at gemme koder i klartekst end implementere en "glemt password" funktion som generede et tilfældigt kodeord til kunden?


Der er vidst ikke nogen der har påstået at Telia gemmer koden i klar tekst.
De sender den blot ud via mail i klar tekst, når du ændrer koden.

»Det var en beslutning man tog for syv år siden, fordi mange bredbåndskunder ikke kunne huske deres kodeord. Det gjorde at kundeservice blev lagt ned, og kunderne blev sure, fordi kundeservice ikke kunne oplyse kodeordene.«

  • 0
  • 0
Log ind eller Opret konto for at kommentere