Detta är svar på en fråga som kommit till Nikka Systems. Vill du också ha svar på en IT-säkerhetsfråga? Ställ den i Säkerhetsbubblan så kan du få svar från oss och tusentals IT-säkerhetsintresserade medlemmar.
Butik

Företag skickar lösenord i klartext

Fråga: Hur allvarligt är det att företag skickar lösenord i klartext?

En återkommande fråga är huruvida det är okej för företag att mejla lösenord i klartext. Svaret är att det beror på sammanhanget och ifall det är i samband med att användaren registrerar sig eller i samband med att användaren har glömt sitt lösenord.

Lösenord i klartext vid nyregistrering

Vid nyregistrering väljer många företag att mejla ett automatiskt genererat lösenord till den nya användaren. Detta gör företagen för att underlätta och påskynda registreringsprocessen samt höja användarvänligheten.

Detta förfarande kan faktiskt vara okej ur ett säkerhetsperspektiv! Det beror på helt hållet på hur känslig information det nyskapade kontot lagrar. En god tumregelsfråga som företagen och dess användare kan ställa sig är: vore det okej ifall lösenordet skickades på ett vykort till användaren? Ifall skyddsvärdet på kontoinformationen är så lågt att ett vykort med lösenordet vore okej, går ett mejl med lösenordet lika bra. Det som företaget bör ha i åtanke är att få användare byter sina lösenord. Kontot får därför inte börja lagra känsligare uppgifter i framtiden (utan att först tvinga användarna att byta lösenord).

Ifall skyddsvärdet på informationen är högre än att ett vykort duger för distribution av inloggningsuppgifterna bör en annan registreringsmetod användas. Vilken metod som är lämplig beror på känsligheten.

Lösenord i klartext vid lösenordspåminnelse

Vissa företag mejlar ut ett nytt lösenord ifall användaren meddelar att han eller hon har glömt sitt befintliga lösenord. Så länge lösenordet som mejlas ut genereras på nytt är det en helt okej metod för att upprätthålla ovannämnda ”vykortsskyddsnivå”.

Om företaget mejlar ut användarens befintliga lösenord är det däremot katastrof. Det får aldrig ske under några som helst omständigheter. Företaget bör nämligen inte ha den informationen! Om företaget kan komma åt sina användares lösenord tar de en extremt stor risk. Skulle de bli attackerade och läcka sin autentiseringsdatabas kommer angriparna att kunna logga in som alla användare. Eftersom många användare återanvänder lösenord finns risken att den läkta databasen släpper in angriparna på många andra konton också.

Ifall du märker att ett företag lagrar lösenord i klartext (t.ex. genom att få ditt gamla lösenord vid en lösenordsåterställning) bör du omedelbart kontakta dem och informera om denna extrema säkerhetsrisk. Du bör också byta lösenordet till ett som du definitivt aldrig använder någon annanstans.

Lämna en kommentar

Mer från blisäker.se

Bli säker-boken ståendes Slipp allt lösenordskrångel, genomskåda alla nätbluffar och skydda dina värdefulla bilder. Nya Bli säker-boken är en (bokstavligen) säker julklapp till vänner och kollegor.

Nyhetsbrev

Få nyheterna från Bli säker-bloggen till din inkorg en gång per vecka. Läs mer.

Följer du oss?