Det TDC-ejede teleselskab Telmore har tidligere lagret en del af kundernes kodeord i klartekst i virksomhedens database, men det er slut nu, oplyser selskabet.
Som flere vil vide, er klartekst og kodeord en dårlig kombination i tilfælde af nysgerrige ansatte med databaseadgang og succesfulde hackerangreb.
For når kodeordet ligger i klartekst, bliver det i den slags situationer også umiddelbart tilgængelig for uvedkommende.
Forleden fortalte Version2, at Telmore kan finde på at bede kunder om at sende de første tre tegn af deres kodeord i forbindelse med autentifikation. Altså: Hvis du kan de første tre tegn, så er du nok den bruger, du siger, du er.
Kodeord er i denne sammenhæng en del af det login, der giver adgang til Telmores selvbetjening-løsning, hvor alt fra puk-koder til en detaljeret oversigt over telefonsamtaler og sms'er er tilgængelig.
Læser undrede sig
Denne praksis fik en Version2-læser til at undre sig over, hvorvidt Telmore overhovedet lagrede kodeord på forsvarlig vis. For hvis hele kodeordet bliver kørt gennem det, der kaldes en kryptografisk hashfunktion, er det - hvis alt går rigtigt for sig - ikke længere muligt at validere dele af et kodeord. I dette tilfælde de første tre tegn.
Direktør for Telmore Jens Grønlund Nielsen har i forbindelse med Version2's tidligere omtale via mail slået fast, at »selve passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«
Det var dengang ikke muligt at få Telmore til at gå i nærmere tekniske detaljer om, hvordan kodeordet er krypteret.
Version2-blogger og it-sikkerhedskyndig Poul-Henning Kamp kom i stedet med nogle bud på, hvordan setuppet kunne være skruet sammen, så de første tre tegn kan valideres.
Poul-Henning Kamp gav i den forbindelse udtryk for, at ingen af de mulige løsninger var videre hensigtsmæssigt skruet sammen set med it-sikkerhedsbriller.
Eksempelvis giver det alt andet lige et noget svagere kodeord, når de første tre tegn er kendte, hvilket de bliver, hvis en kunde gør som Telmore opfordrer til og mailer support-medarbejdere hos teleselskabet med de første tre tegn af kodeordet.
Tweet fra 2014
Efter historien om Telmores autentifikation via de første tre kodeords-tegn, så gjorde en læser Version2 opmærksom på et tweet helt tilbage fra 2014 om netop autentifikation via de tre tegn.
Og dengang kunne Telmore fortælle, at de første tre tegn opbevares i klartekst, mens resten af kodeordet findes som en hash-værdi.
@heinodk Jeg har en lille rettelse, som er kommet fra IT: De 3 første tegn i PW opbevares ukrypteret. Resten er PW findes kun i hash-form.
— TELMORE (@TELMORE) July 1, 2014
Hvis de første tre tegn ligger i klartekst, så står det umiddelbart i skærende kontrast til Telmores tidligere melding om, at »passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«
De første tre tegn ligger ikke længere opbevaret, som de gjorde i 2014, fremgår det af et udsagn fra Jens Grønlund Nielsen i en mail sendt via TDC’s presseafdeling.
»Vi evaluerer løbende vores sikkerhedsniveau og har siden foretaget justeringer. De tre første tegn ligger ikke længere i klartekst. Desuden er vores password krypteret og hashet.«
Det har ikke været muligt at få svar på, hvornår Telmore droppede at opbevare dele af kundernes kodeord i klartekst.