Hur många sidor måste bli hackade innan utvecklare och sajtägare börjar inse att de måste se över sin säkerhet?
Nyligen gick jag med i ett affiliatenätverk där lösenordshanteringen är väldigt väldigt osäker. Jag känner mig manad att belysa detta och kunna referera till detta blogginlägg när jag stöter på sånt här förfarande igen.
Det börjar med att de skapar mitt konto och sätter mitt förnamn som lösenord. Okej, tänker jag. Det ändrar jag sedan. Men när jag väl skall byta lösenord finns det ingen sådan funktion. Jag ser även att mitt lösenord står som klartext i kontrollpanelen. Det blir helt enkelt till att maila supporten och fråga var jag byter mitt lösenord. Redan här får jag riktigt onda aningar.
Svaret jag får är rent av chockerande:
Du kan inte ändra lösenordet själv, utan allt måste göras genom oss, vilket garanterar all tänkbar säkerhet. Om dina inloggningsuppgifter kommer i orätta händer kan ändå inget ske som skadar.
Jag håller faktiskt på att smälla av. Så nu kommer det ett långt blogginlägg på varför och hur man skall skydda sina lösenord.
Det senaste året har mängder av stora siter blivit hackade där databaser med e-postadresser och lösenord blivit exponerade.
Här är några:
Aftonbladet
Mecenat
Bilddagboken
Spray
DVDForum
Detta är bara ett axplock av sidor som blivit publicerade, det finns många som inte ens vet om att de haft intrång!
Om vi använder lite sunt förnuft och tänker på vad det innebär att exponera e-postadresser och lösenord:
- Du kan få tillgång till en mängd andra sidor där användaren finns registrerad
- Tillgång till alla webbhotell och communities där användaren är registrerad
- Tillgång till finansiell data på hur mycket man tjänar på olika projekt, kunder och sekretessbelagd information
- Tillgång till ens privata e-post där det finns mycket känslig information
Själv använder jag minst 3 st alfa-numeriska lösenord (dvs. lösenord med både siffror och bokstäver i slumpmässig ordning) för olika sidor att hålla reda på.
För denna sida skulle det innebära att jag behöver ÄNNU ett till lösenord ifall det skulle bli intrång hos dem för att inte riskera att mängder med värdefull information sprids vidare. Vilket i sin tur bidrar till att jag måste skriva ner lösenordet för att komma ihåg det, eftersom jag bara använder det på denna specifika webbplats.
Är e-post säkert?
Att skicka lösenord via e-post är det värsta man kan göra.
- Det sparas en kopia hos avsändaren samt mottagaren
- Vid eventuellt intrång på e-postadressen hittar man alla lösenord till övriga sidor
- Det går att läsa av trafik som skickas via e-post om du har tillgång till en accesspunkt i nätverket, eller om du är administratör för någon av de servrar som hanterar e-posten
- Övrig personal har ibland tillgång till samma datorer eller t.o.m andras e-post på vissa företag
Det vore som att ge nycklar till tjuven och peka var man bor.
Så skyddar du dig
- Kryptera alla lösenord i databasen med en envägskryptering
- Använd inte enbart md5 som inte är tillräckligt säkert
- Använd istället md5 med användarnamn + lösenord + ett salt för att skapa en unik nyckel i databasen som inte går att avläsa eller knäcka lika lätt
Emil Frisk har gjort en mer ingående teknisk artikel om hur det skall gå till.
Det finns ingen ursäkt till att inte skydda sig INNAN bomben faller!
Vågar jag riskera att mina uppgifter skickas runt på det här sättet?
Nej tack.
Gör du? Skicka dina lösenord till mig.
Inlägg (RSS)