Telmore om kodeord: »De tre første tegn ligger ikke længere i klartekst«

28. februar 2017 kl. 05:1110
Telmore om kodeord: »De tre første tegn ligger ikke længere i klartekst«
Illustration: Minerva Studio/Bickstock.
Tidligere har Telmore opbevaret en del af kundernes kodeord i klartekst, men det er slut nu, oplyser teleselskabet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det TDC-ejede teleselskab Telmore har tidligere lagret en del af kundernes kodeord i klartekst i virksomhedens database, men det er slut nu, oplyser selskabet.

Hash-funktion

En hash-funktion er en funktion, der kan bruges til at mappe vilkårlige datastørrelser til data med en fast størrelse. Værdierne, som en hash-funktion returnerer, refereres blandt andet til som hash-værdier eller digests. Hash-funktioner bruges ofte i data-strukturer kaldet en hash-tabel til hurtigt at slå data op med.

Kryptografiske hash-funktioner gør det på den ene side nemt at verificere, hvorvidt input-data - eksempelvis et kodeord - optræder i form af en given hash-værdi, og samtidig er kryptografiske hash-funktioner i udgangspunktet skruet bevidst sammen, så det er svært at gendanne det oprindelige input alene med kendskab til hash-værdien.

Kilde: blandt andet Wikipedia


Som flere vil vide, er klartekst og kodeord en dårlig kombination i tilfælde af nysgerrige ansatte med databaseadgang og succesfulde hackerangreb.

For når kodeordet ligger i klartekst, bliver det i den slags situationer også umiddelbart tilgængelig for uvedkommende.

Forleden fortalte Version2, at Telmore kan finde på at bede kunder om at sende de første tre tegn af deres kodeord i forbindelse med autentifikation. Altså: Hvis du kan de første tre tegn, så er du nok den bruger, du siger, du er.

Kodeord er i denne sammenhæng en del af det login, der giver adgang til Telmores selvbetjening-løsning, hvor alt fra puk-koder til en detaljeret oversigt over telefonsamtaler og sms'er er tilgængelig.

Læser undrede sig

Denne praksis fik en Version2-læser til at undre sig over, hvorvidt Telmore overhovedet lagrede kodeord på forsvarlig vis. For hvis hele kodeordet bliver kørt gennem det, der kaldes en kryptografisk hashfunktion, er det - hvis alt går rigtigt for sig - ikke længere muligt at validere dele af et kodeord. I dette tilfælde de første tre tegn.

Artiklen fortsætter efter annoncen

Direktør for Telmore Jens Grønlund Nielsen har i forbindelse med Version2's tidligere omtale via mail slået fast, at »selve passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«

Mail fra Telmore

Vi bekræfter at have modtaget din e-mail, som vi vil bestræbe os efter at behandle inden for 5 hverdage.

Bemærk venligst, at såfremt du ikke har angivet dit mobil-eller mobilbredbåndsnummer, bedes du venligst besvare denne e-mail med dette anført. Ligeledes bedes du sikre, at du skriver fra e-mailadressen anført under menuen "Min profil" på din personlige side "Mit TELMORE" på Telmore.dk. Skriver du fra en anden e-mail-adresse, bedes du af sikkerhedsmæssige årsager angive de tre første tegn i din adgangskode.

Ovenstående mail fik en Version2-læser til at undre sig over, hvorvidt Telmore opbevarede kodeord forsvarligt.


Det var dengang ikke muligt at få Telmore til at gå i nærmere tekniske detaljer om, hvordan kodeordet er krypteret.

Version2-blogger og it-sikkerhedskyndig Poul-Henning Kamp kom i stedet med nogle bud på, hvordan setuppet kunne være skruet sammen, så de første tre tegn kan valideres.

Poul-Henning Kamp gav i den forbindelse udtryk for, at ingen af de mulige løsninger var videre hensigtsmæssigt skruet sammen set med it-sikkerhedsbriller.

Eksempelvis giver det alt andet lige et noget svagere kodeord, når de første tre tegn er kendte, hvilket de bliver, hvis en kunde gør som Telmore opfordrer til og mailer support-medarbejdere hos teleselskabet med de første tre tegn af kodeordet.

Tweet fra 2014

Efter historien om Telmores autentifikation via de første tre kodeords-tegn, så gjorde en læser Version2 opmærksom på et tweet helt tilbage fra 2014 om netop autentifikation via de tre tegn.

Og dengang kunne Telmore fortælle, at de første tre tegn opbevares i klartekst, mens resten af kodeordet findes som en hash-værdi.

Remote video URL

Hvis de første tre tegn ligger i klartekst, så står det umiddelbart i skærende kontrast til Telmores tidligere melding om, at »passwordet er krypteret i databasen og ingen i Telmore har adgang til det.«

De første tre tegn ligger ikke længere opbevaret, som de gjorde i 2014, fremgår det af et udsagn fra Jens Grønlund Nielsen i en mail sendt via TDC’s presseafdeling.

»Vi evaluerer løbende vores sikkerhedsniveau og har siden foretaget justeringer. De tre første tegn ligger ikke længere i klartekst. Desuden er vores password krypteret og hashet.«

Det har ikke været muligt at få svar på, hvornår Telmore droppede at opbevare dele af kundernes kodeord i klartekst.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
20. februar 2020 kl. 15:48

For et par dage siden skulle jeg opdatere min Telmore konto telefonisk og blev bedt om at give mit gamle password. Da jeg nægtede at give mit kodeord telefonisk, fik jeg at vide at jeg "kun behøver de tre første tegn"...

9
26. september 2017 kl. 10:08

Hvis de tre første tegn er '123' eller 'pas' så kan jeg godt gætte resten! :)

8
28. februar 2017 kl. 12:39

forsmåede eks-kærester og andre stalkere ringer til supporten og beder om at få nulstillet dit password til selvbetjening alene ved at oplyse dit cpr-nummer

Det gør de jo netop heller ikke. Du får besked på at nulstille via selvbetjeningen. Her kan du vælge at få en ny adgangskode, der bliver tilsendt via email eller sms. Begge dele er iøvrigt omfattet af loven om brevhemmelighed.

Ved nyt SIM-kort, så sendes det jo til folkeregisteradressen. Her sker valideringen via CPR registeropslag.

Det er jo et spørgsmål om at lave processer, der kan gennemføres, UDEN man er 100% sikker på, hvem der er i den anden ende. Det er vi ikke vandt til som koncept i DK med NemId, men I f.eks. Sverige er der mulighed for at få en BankId token på sin smartphone, som gør at man kan skabe federation til services ud to-faktor sikkerheds paradigmet...

7
28. februar 2017 kl. 12:25

Man kan vel ikke forestille sig et scenarie, hvor det er nødvendigt med andet en identifikation via telefonen og altså ikke autentifikation.

Tal for dig selv. Jeg går ud fra, det betyder, at du ikke har noget imod, at forsmåede eks-kærester og andre stalkere ringer til supporten og beder om at få nulstillet dit password til selvbetjening alene ved at oplyse dit cpr-nummer, så de kan logge ind og se, hvilken regningsadresse, du har oplyst, hvem du har ringet til hvornår eller måske de ændrer den tilknyttede e-mailadresse, opsiger dit abonnement eller opgraderer til en dyrere pakke uden adgang til vederlagsfri international roaming.

Der står jo netop i Telmores support-besked, at hvis man "skriver fra en anden e-mailadresse", er det som nødvendig sikkerhedsforanstaltning et krav, at en del af passwordet oplyses. Hvis man antager, at Telmore fastholder muligheden for support via andre telefonnumre end ens eget (det behov kan jo opstå, hvis man f.eks. skal have sendt et nyt SIM-kort fordi den gamle telefon er blevet stjålet el. lign.), er der jo stadig behov for en valideringsmulighed, som ikke forudsætter, at man er i besiddelse af telefonen/SIM-kortet.

6
28. februar 2017 kl. 11:02

Man kan vel ikke forestille sig et scenarie, hvor det er nødvendigt med andet en identifikation via telefonen og altså ikke autentifikation. Det er klart, at man skal overvåge mængden af misbrug, men som hos de fleste selskaber, så pålægges kunden sjældent økonomisk ansvar for misbruget.

5
28. februar 2017 kl. 10:35

Det undrer mig meget, at der hverken i artiklen eller i kommentarerne til den spørges til, hvad Telmore nu bruger til telefonisk validering af, at brugerne er dem, de udgiver sig for at være. Er man gået tilbage til CPR-baseret validering eller hvad?

4
28. februar 2017 kl. 09:27

Måske han med kryptering mener, at passwords er krypteret efter hashing med en nøgle som peber.

Dog er det også sandsynligt at han ikke kender forskellen på kryptering og hashing og blander dem sammen.

3
28. februar 2017 kl. 08:54

Vi evaluerer løbende vores sikkerhedsniveau og har siden foretaget justeringer. De tre første tegn ligger ikke længere i klartekst. Desuden er vores password krypteret og hashet.

Hvis vi nu antager at han mener "vores kunders password" så kan de nu tilgå hele passwordet eftersom de krypterer det. Enten det eller også ved Jens ikke hvad han taler om og bruger så mange fine ord han kan i håb om at lyde klog - jeg ved ikke hvad der er værst.

Denne kommentar fra Telmores CEO gør mig ikke mere tryg. Tværtimod.

2
28. februar 2017 kl. 08:36

Selvom Telmore tilsyneladende har ændret praksis for, hvordan de gemmer de tre første tegn fra passwordet i deres database, ligger de tre første tegn nok stadig i en fælles kundeservice-postkasse et sted, sammen med de øvrige personlige oplysninger, kunderne har givet, så som e-mail og kundenummer.

1
28. februar 2017 kl. 08:16

Det svækker stadig sikkerheden, at en angriber ved at man har de 3 første tegn korrekt. Med den viden er kodeordet effektivt gjort 3 tegn kortere.

Denne sag er i øvrigt endnu en god grund til at bruge en passende password-husker (med 2 faktor authentication) og rigtig lange og tilfældige kodeord. De fleste sider kan godt klare dem. Og nej, de vigtigste ting såsom NemID mfl. betror jeg trods alt ikke til en passwordhusker.