Slarvig lösenords­återställning sumpar säkerheten

Lösenordsbaserad inloggning har ett stort problem som det sällan talas om men som kan sätta hela säkerhetsmodellen ur spel. Det handlar om metoden för lösenordsåterställning. Om den är bristfällig behöver angripare inte knäcka några lösenord utan bara begära att få återställa dem.

Helt feltänkt på 7-eleven

Japanska 7-eleven blev under förra veckan varse om hur feltänkt deras metod för lösenordsåterställning var. ZDnet rapporterade om hur 900 kunder fått sina konton till betalappen 7pay kapade och förlorat motsvarande fem miljoner kronor på kuppen. Angriparna kunde kapa kontona utan problem eftersom det enda som behövdes för lösenordsåterställning var kontonas e-postadresser och deras ägares födelsedatum samt telefonnummer. Allt som krävdes var alltså publikt tillgänglig data.

Det som gjorde 7-pays lösenordsåterställning skrattretande dålig var faktumet att angripare kunde välja att få återställningslänken skickad till en annan e-postadress än den som var kopplad till kontot.

Fortfarande vanligt med bristfälliga lösningar

7-elevens metod för lösenordsåterställning må ha varit sällsynt dålig men den är långt ifrån den enda undermåliga metoden. Än idag förlitar sig många webbplatser på så kallade säkerhetsfrågor för att återställa lösenord, till exempel ”vad hette din första skola?”. Detta är en mycket bristfällig metod eftersom svaren på frågorna är förhållandevis lätta att ta reda på för en angripare. De rätta svaren kan dessutom vara svåra för oss användare att komma ihåg ifall vi väljer frågor med många potentiella rätta svar.

Webbplatser som tillåter lösenordsåterställning via säkerhetsfrågor utsätter sina användare för en onödig risk. I Bli säker-boken rekommenderar vi att alltid hitta på struntsvar på dessa frågor och förvara svaren i en lösenordshanterares kommentarsfält. Det är det enda sättet vi kan hålla våra konton säkra på webbplatser som fortfarande inte har förstått hur vansinnig idén med säkerhetsfrågor är.

Lösenordshanteraren Lastpass kommentarsfält sparar svar på säkerhetsfrågor.
Använd lösenordshanterarens kommentarsfält för att spara struntsvar på säkerhetsfrågor.

Intressant diskussion i Säkerhetsbubblan

I vår Facebook-grupp Säkerhetsbubblan diskuterades lösenordsåterställning flitigt under förra veckan. Medlemmarna berättade om hur de löste problemet med lösenordsåterställning i sina respektive organisationer. Hela diskussionen finns att läsa i detta inlägg och det är helt gratis att gå med i Säkerhetsbubblan.

Så löser vi det på Nikka Systems Academy Online

Lösenordsåterställning är ingen lätt uppgift. Alla lösningar har sina respektive för- och nackdelar. Processen måste vara tillräckligt enkel och samtidigt tillräckligt säker, vilket är en svår balansgång.

Till vår lärplattform Academy Online använder vi metoden som är bäst i våra ögon. Om en användare glömmer sitt lösenord dit kan han eller hon begära en återställningslänk, vilken skickas till samma e-postadress som kontot registrerades på och verifierades från. Länken slutar vara giltig efter 24 timmar eller så fort ett nytt lösenord har angivits (det är av högsta vikt att länken slutar gälla eftersom det annars finns en webbadress som släpper in vem som helst).

Den beskrivna metoden är tyvärr inte problemfri. Om en användare får sitt e-postkonto kapat kan angriparna återställa lösenordet till Academy Online och till alla andra webbtjänster som använder samma återställningsmetod. Det är därför vi poängterar i såväl Bli säker-boken som Bli säker-podden att våra e-postkonton är de viktigaste kontona vi har att skydda. Det är också därför vi rekommenderar alla att aktivera tvåstegsverifiering. Academy Online använder de facto branschstandardmetoden som populärt kallas ”Google Authenticator-metoden” för detta.

Testa lösenordsåterställningen

Eftersom lösenordsåterställning är ett potentiellt säkerhetsproblem rekommenderar vi att undersöka vilken lösenordsåterställningsmetod som säkerhetskritiska webbtjänster använder. Det gör ni läsare genom att helt enkelt låtsas ha glömt ert lösenord och se vad som händer. Ifall ni får en lösenordsåterställningslänk som slutar fungera efter att ni har angivit ett nytt lösenord är allt som det ska. Ifall ni får ett nytt lösenord skickat till er är också allt okej så länge ni omedelbart ändrar lösenordet (i och med att det nya lösenordet skickades via osäker e-post).

Desto värre är det om lösenordsåterställningen baseras de tidigare nämnda säkerhetsfrågorna. Värst av allt är ifall ni hävdar att ni har glömt ert lösenord och då får ert befintliga lösenord mejlat till er. Det ska aldrig ens vara tekniskt möjligt eftersom ingen webbtjänst ska lagra lösenord i klartext. Om en webbtjänst gör det är deras inloggningssystem så bristfälligt att webbtjänsten inte bör användas.