Telmore om kodeord: »De tre første tegn ligger ikke længere i klartekst«

Tidligere har Telmore opbevaret en del af kundernes kodeord i klartekst, men det er slut nu, oplyser teleselskabet.

Det TDC-ejede teleselskab Telmore har tidligere lagret en del af kundernes kodeord i klartekst i virksomhedens database, men det er slut nu, oplyser selskabet.

Som flere vil vide, er klartekst og kodeord en dårlig kombination i tilfælde af nysgerrige ansatte med databaseadgang og succesfulde hackerangreb.

For når kodeordet ligger i klartekst, bliver det i den slags situationer også umiddelbart tilgængelig for uvedkommende.

Forleden fortalte Version2, at Telmore kan finde på at bede kunder om at sende de første tre tegn af deres kodeord i forbindelse med autentifikation. Altså: Hvis du kan de første tre tegn, så er du nok den bruger, du siger, du er.

Læs også: Telmore-autentifikation: Send de første tre tegn af dit kodeord i klartekst

Kodeord er i denne sammenhæng en del af det login, der giver adgang til Telmores selvbetjening-løsning, hvor alt fra puk-koder til en detaljeret oversigt over telefonsamtaler og sms'er er tilgængelig.

Læser undrede sig

Denne praksis fik en Version2-læser til at undre sig over, hvorvidt Telmore overhovedet lagrede kodeord på forsvarlig vis. For hvis hele kodeordet bliver kørt gennem det, der kaldes en kryptografisk hashfunktion, er det - hvis alt går rigtigt for sig - ikke længere muligt at validere dele af et kodeord. I dette tilfælde de første tre tegn.

Direktør for Telmore Jens Grønlund Nielsen har i forbindelse med Version2's tidligere omtale via mail slået fast, at »selve passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«

Det var dengang ikke muligt at få Telmore til at gå i nærmere tekniske detaljer om, hvordan kodeordet er krypteret.

Version2-blogger og it-sikkerhedskyndig Poul-Henning Kamp kom i stedet med nogle bud på, hvordan setuppet kunne være skruet sammen, så de første tre tegn kan valideres.

Poul-Henning Kamp gav i den forbindelse udtryk for, at ingen af de mulige løsninger var videre hensigtsmæssigt skruet sammen set med it-sikkerhedsbriller.

Eksempelvis giver det alt andet lige et noget svagere kodeord, når de første tre tegn er kendte, hvilket de bliver, hvis en kunde gør som Telmore opfordrer til og mailer support-medarbejdere hos teleselskabet med de første tre tegn af kodeordet.

Tweet fra 2014

Efter historien om Telmores autentifikation via de første tre kodeords-tegn, så gjorde en læser Version2 opmærksom på et tweet helt tilbage fra 2014 om netop autentifikation via de tre tegn.

Og dengang kunne Telmore fortælle, at de første tre tegn opbevares i klartekst, mens resten af kodeordet findes som en hash-værdi.

Hvis de første tre tegn ligger i klartekst, så står det umiddelbart i skærende kontrast til Telmores tidligere melding om, at »passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«

De første tre tegn ligger ikke længere opbevaret, som de gjorde i 2014, fremgår det af et udsagn fra Jens Grønlund Nielsen i en mail sendt via TDC’s presseafdeling.

»Vi evaluerer løbende vores sikkerhedsniveau og har siden foretaget justeringer. De tre første tegn ligger ikke længere i klartekst. Desuden er vores password krypteret og hashet.«

Det har ikke været muligt at få svar på, hvornår Telmore droppede at opbevare dele af kundernes kodeord i klartekst.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Det svækker stadig sikkerheden, at en angriber ved at man har de 3 første tegn korrekt. Med den viden er kodeordet effektivt gjort 3 tegn kortere.

Denne sag er i øvrigt endnu en god grund til at bruge en passende password-husker (med 2 faktor authentication) og rigtig lange og tilfældige kodeord. De fleste sider kan godt klare dem.
Og nej, de vigtigste ting såsom NemID mfl. betror jeg trods alt ikke til en passwordhusker.

  • 7
  • 1
Morten W. Jørgensen

Vi evaluerer løbende vores sikkerhedsniveau og har siden foretaget justeringer. De tre første tegn ligger ikke længere i klartekst. Desuden er vores password krypteret og hashet.

Hvis vi nu antager at han mener "vores kunders password" så kan de nu tilgå hele passwordet eftersom de krypterer det. Enten det eller også ved Jens ikke hvad han taler om og bruger så mange fine ord han kan i håb om at lyde klog - jeg ved ikke hvad der er værst.

Denne kommentar fra Telmores CEO gør mig ikke mere tryg. Tværtimod.

  • 6
  • 2
Peter Hansen

Man kan vel ikke forestille sig et scenarie, hvor det er nødvendigt med andet en identifikation via telefonen og altså ikke autentifikation.


Tal for dig selv. Jeg går ud fra, det betyder, at du ikke har noget imod, at forsmåede eks-kærester og andre stalkere ringer til supporten og beder om at få nulstillet dit password til selvbetjening alene ved at oplyse dit cpr-nummer, så de kan logge ind og se, hvilken regningsadresse, du har oplyst, hvem du har ringet til hvornår eller måske de ændrer den tilknyttede e-mailadresse, opsiger dit abonnement eller opgraderer til en dyrere pakke uden adgang til vederlagsfri international roaming.

Der står jo netop i Telmores support-besked, at hvis man "skriver fra en anden e-mailadresse", er det som nødvendig sikkerhedsforanstaltning et krav, at en del af passwordet oplyses. Hvis man antager, at Telmore fastholder muligheden for support via andre telefonnumre end ens eget (det behov kan jo opstå, hvis man f.eks. skal have sendt et nyt SIM-kort fordi den gamle telefon er blevet stjålet el. lign.), er der jo stadig behov for en valideringsmulighed, som ikke forudsætter, at man er i besiddelse af telefonen/SIM-kortet.

  • 2
  • 0
Claus Mattsson

forsmåede eks-kærester og andre stalkere ringer til supporten og beder om at få nulstillet dit password til selvbetjening alene ved at oplyse dit cpr-nummer

Det gør de jo netop heller ikke. Du får besked på at nulstille via selvbetjeningen. Her kan du vælge at få en ny adgangskode, der bliver tilsendt via email eller sms. Begge dele er iøvrigt omfattet af loven om brevhemmelighed.

Ved nyt SIM-kort, så sendes det jo til folkeregisteradressen. Her sker valideringen via CPR registeropslag.

Det er jo et spørgsmål om at lave processer, der kan gennemføres, UDEN man er 100% sikker på, hvem der er i den anden ende. Det er vi ikke vandt til som koncept i DK med NemId, men I f.eks. Sverige er der mulighed for at få en BankId token på sin smartphone, som gør at man kan skabe federation til services ud to-faktor sikkerheds paradigmet...

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize