Telmore om kodeord: »De tre første tegn ligger ikke længere i klartekst«

Tidligere har Telmore opbevaret en del af kundernes kodeord i klartekst, men det er slut nu, oplyser teleselskabet.

Jakob Møllerhøj@jmollerhoj Tirsdag, 28. februar 2017 - 5:119

Det TDC-ejede teleselskab Telmore har tidligere lagret en del af kundernes kodeord i klartekst i virksomhedens database, men det er slut nu, oplyser selskabet.

Som flere vil vide, er klartekst og kodeord en dårlig kombination i tilfælde af nysgerrige ansatte med databaseadgang og succesfulde hackerangreb.

For når kodeordet ligger i klartekst, bliver det i den slags situationer også umiddelbart tilgængelig for uvedkommende.

Forleden fortalte Version2, at Telmore kan finde på at bede kunder om at sende de første tre tegn af deres kodeord i forbindelse med autentifikation. Altså: Hvis du kan de første tre tegn, så er du nok den bruger, du siger, du er.

Læs også: Telmore-autentifikation: Send de første tre tegn af dit kodeord i klartekst

Kodeord er i denne sammenhæng en del af det login, der giver adgang til Telmores selvbetjening-løsning, hvor alt fra puk-koder til en detaljeret oversigt over telefonsamtaler og sms'er er tilgængelig.

Læser undrede sig

Denne praksis fik en Version2-læser til at undre sig over, hvorvidt Telmore overhovedet lagrede kodeord på forsvarlig vis. For hvis hele kodeordet bliver kørt gennem det, der kaldes en kryptografisk hashfunktion, er det - hvis alt går rigtigt for sig - ikke længere muligt at validere dele af et kodeord. I dette tilfælde de første tre tegn.

Direktør for Telmore Jens Grønlund Nielsen har i forbindelse med Version2's tidligere omtale via mail slået fast, at »selve passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«

Det var dengang ikke muligt at få Telmore til at gå i nærmere tekniske detaljer om, hvordan kodeordet er krypteret.

Version2-blogger og it-sikkerhedskyndig Poul-Henning Kamp kom i stedet med nogle bud på, hvordan setuppet kunne være skruet sammen, så de første tre tegn kan valideres.

Poul-Henning Kamp gav i den forbindelse udtryk for, at ingen af de mulige løsninger var videre hensigtsmæssigt skruet sammen set med it-sikkerhedsbriller.

Eksempelvis giver det alt andet lige et noget svagere kodeord, når de første tre tegn er kendte, hvilket de bliver, hvis en kunde gør som Telmore opfordrer til og mailer support-medarbejdere hos teleselskabet med de første tre tegn af kodeordet.

Tweet fra 2014

Efter historien om Telmores autentifikation via de første tre kodeords-tegn, så gjorde en læser Version2 opmærksom på et tweet helt tilbage fra 2014 om netop autentifikation via de tre tegn.

Og dengang kunne Telmore fortælle, at de første tre tegn opbevares i klartekst, mens resten af kodeordet findes som en hash-værdi.

@heinodk Jeg har en lille rettelse, som er kommet fra IT: De 3 første tegn i PW opbevares ukrypteret. Resten er PW findes kun i hash-form.
— TELMORE (@TELMORE) July 1, 2014

Hvis de første tre tegn ligger i klartekst, så står det umiddelbart i skærende kontrast til Telmores tidligere melding om, at »passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«

De første tre tegn ligger ikke længere opbevaret, som de gjorde i 2014, fremgår det af et udsagn fra Jens Grønlund Nielsen i en mail sendt via TDC’s presseafdeling.

»Vi evaluerer løbende vores sikkerhedsniveau og har siden foretaget justeringer. De tre første tegn ligger ikke længere i klartekst. Desuden er vores password krypteret og hashet.«

Det har ikke været muligt at få svar på, hvornår Telmore droppede at opbevare dele af kundernes kodeord i klartekst.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (9)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

Simon Mikkelsen Tirsdag, 28. februar 2017 - 8:16

Svækker stadig sikkerheden

Det svækker stadig sikkerheden, at en angriber ved at man har de 3 første tegn korrekt. Med den viden er kodeordet effektivt gjort 3 tegn kortere.

Denne sag er i øvrigt endnu en god grund til at bruge en passende password-husker (med 2 faktor authentication) og rigtig lange og tilfældige kodeord. De fleste sider kan godt klare dem.
Og nej, de vigtigste ting såsom NemID mfl. betror jeg trods alt ikke til en passwordhusker.

Magnus Kragelund Tirsdag, 28. februar 2017 - 8:36

De tre første tegn ligger stadig i e-mailen

Selvom Telmore tilsyneladende har ændret praksis for, hvordan de gemmer de tre første tegn fra passwordet i deres database, ligger de tre første tegn nok stadig i en fælles kundeservice-postkasse et sted, sammen med de øvrige personlige oplysninger, kunderne har givet, så som e-mail og kundenummer.

Morten W. Jørgensen Tirsdag, 28. februar 2017 - 8:54

Så nu gemmer de hele passwordet eller hvordan?

Vi evaluerer løbende vores sikkerhedsniveau og har siden foretaget justeringer. De tre første tegn ligger ikke længere i klartekst. Desuden er vores password krypteret og hashet.

Hvis vi nu antager at han mener "vores kunders password" så kan de nu tilgå hele passwordet eftersom de krypterer det. Enten det eller også ved Jens ikke hvad han taler om og bruger så mange fine ord han kan i håb om at lyde klog - jeg ved ikke hvad der er værst.

Denne kommentar fra Telmores CEO gør mig ikke mere tryg. Tværtimod.

Esben Bjerre Tirsdag, 28. februar 2017 - 9:27

Re: Så nu gemmer de hele passwordet eller hvordan?

Måske han med kryptering mener, at passwords er krypteret efter hashing med en nøgle som peber.

Dog er det også sandsynligt at han ikke kender forskellen på kryptering og hashing og blander dem sammen.

Peter Hansen Tirsdag, 28. februar 2017 - 10:35

Hvad er sikkerheden på telefonhenvendelser så nu?

Det undrer mig meget, at der hverken i artiklen eller i kommentarerne til den spørges til, hvad Telmore nu bruger til telefonisk validering af, at brugerne er dem, de udgiver sig for at være. Er man gået tilbage til CPR-baseret validering eller hvad?

Claus Mattsson Tirsdag, 28. februar 2017 - 11:02

Re: Hvad er sikkerheden på telefonhenvendelser så nu?

Man kan vel ikke forestille sig et scenarie, hvor det er nødvendigt med andet en identifikation via telefonen og altså ikke autentifikation. Det er klart, at man skal overvåge mængden af misbrug, men som hos de fleste selskaber, så pålægges kunden sjældent økonomisk ansvar for misbruget.

Peter Hansen Tirsdag, 28. februar 2017 - 12:25

Re: Hvad er sikkerheden på telefonhenvendelser så nu?

Man kan vel ikke forestille sig et scenarie, hvor det er nødvendigt med andet en identifikation via telefonen og altså ikke autentifikation.

Tal for dig selv. Jeg går ud fra, det betyder, at du ikke har noget imod, at forsmåede eks-kærester og andre stalkere ringer til supporten og beder om at få nulstillet dit password til selvbetjening alene ved at oplyse dit cpr-nummer, så de kan logge ind og se, hvilken regningsadresse, du har oplyst, hvem du har ringet til hvornår eller måske de ændrer den tilknyttede e-mailadresse, opsiger dit abonnement eller opgraderer til en dyrere pakke uden adgang til vederlagsfri international roaming.

Der står jo netop i Telmores support-besked, at hvis man "skriver fra en anden e-mailadresse", er det som nødvendig sikkerhedsforanstaltning et krav, at en del af passwordet oplyses. Hvis man antager, at Telmore fastholder muligheden for support via andre telefonnumre end ens eget (det behov kan jo opstå, hvis man f.eks. skal have sendt et nyt SIM-kort fordi den gamle telefon er blevet stjålet el. lign.), er der jo stadig behov for en valideringsmulighed, som ikke forudsætter, at man er i besiddelse af telefonen/SIM-kortet.

Claus Mattsson Tirsdag, 28. februar 2017 - 12:39

Re: Hvad er sikkerheden på telefonhenvendelser så nu?

forsmåede eks-kærester og andre stalkere ringer til supporten og beder om at få nulstillet dit password til selvbetjening alene ved at oplyse dit cpr-nummer

Det gør de jo netop heller ikke. Du får besked på at nulstille via selvbetjeningen. Her kan du vælge at få en ny adgangskode, der bliver tilsendt via email eller sms. Begge dele er iøvrigt omfattet af loven om brevhemmelighed.

Ved nyt SIM-kort, så sendes det jo til folkeregisteradressen. Her sker valideringen via CPR registeropslag.

Det er jo et spørgsmål om at lave processer, der kan gennemføres, UDEN man er 100% sikker på, hvem der er i den anden ende. Det er vi ikke vandt til som koncept i DK med NemId, men I f.eks. Sverige er der mulighed for at få en BankId token på sin smartphone, som gør at man kan skabe federation til services ud to-faktor sikkerheds paradigmet...