Er du en af de 67.000 kunder hos web- og domænefirmaet Dandomain, gør du bedst i ikke at glemme dit password, hvis du ikke vil have det tilsendt i klartekst via en ukrypteret e-mail.
Det fandt Nils Lück, kandidatstuderende i softwareudvikling og -teknologi, ud af og endte derfor med at foretage et lille rutinemæssigt sikkerhedstjek af Dandomains hjemmeside, hvorefter han henvendte sig først til firmaet selv og sidenhen til Version2 med det, han havde fundet ud af. Der var flere forhold på hans liste, der ikke lever op til almindelig sikkerhedsskik i dag.
I en e-mail til Version2 udtrykker Nils Lück blandt andet bekymring for deling af session-id på tværs af henholdsvis http- og https-protokoller, samt at Dandomain ikke gør brug af énvejs-kryptering med hashing, der er en stærk form for kryptering, som ville gøre det umuligt for hackere at gendanne adgangskoderne, hvis de fik fingrende i databasen med passwords.
Ud fra e-mailen med det glemte password, han modtog fra Dandomain, kunne han regne ud, at firmaet, der er Danmarks største domæneregistrator, har muligheden for at dekryptere passwordet, for ellers kunne de ikke sende det afsted til brugeren i klartekst.
Dandomain: Forbedringer på vej
Hos Dandomain skal man til at forbedre sikkerheden, forklarer firmaets direktør, da han bliver præsenteret for kritikken.
»Det er sådan, det har været konstrueret fra gamle dage, og det er faktisk nogle ting, vi er ved at stramme op på, så brugeren i stedet får tilsendt et link, han kan klikke på,« siger Ronnie Bach Nielsen, administrerende direktør hos Dandomain, til Version2.
Han understreger samtidig, at brugernes passwords ikke ligger i databasen i klartekst, og at de er krypteret med et dynamisk unikt salt, der er en tilfældig genereret tilføjelse til passwordet, som gør det sværere at gætte. Saltet ligger ligeledes gemt separat fra databasen.
Ronnie Bach Nielsen forklarer, at der i øjeblikket sidder udviklere og arbejder på en password-reset løsning, hvilket betyder, at adgangskoder fremover vil være énvejshashet. En løsning, der gerne skulle være på plads inden for 14 dage.
»Det har været sådan af hensyn til at kunne yde en enkel service over for kunden, og det er da heller ikke noget, vi har oplevet problemer med tidligere. Men jeg kan sagtens følge bekymringen omkring det, da sikkerhedssituationen i verden er en anden end for bare 5 år siden, hvilket også er årsagen til, at vi gennem den seneste tid har igangsat flere initiativer til at højne sikkerheden,« siger Ronnie Bach Nielsen til Version2.
Samme session-ID hjælper hackerne
Den bekymrede læser retter ligeledes en kritik imod Dandomains håndtering af login-sessions. Websitet kører nemlig henholdsvis http på forsiden og https i kundecenteret. Men den session-key, som brugeren får tildelt ved logon, deles på tværs af de to protokoller.
Det gør systemet mere sårbart, hvis en hacker skulle have held til at sætte et såkaldt ‘Man in the Middle’-angreb ind. Dermed ville uvedkommende have nem adgang til sessionens id i http-protokollen, hvilket gør det muligt at overtage kommunikationen (session hijacking).
»Det er klart, at hvis man bliver ramt af et Man in the Middle-attack, så er trafikken selvfølgelig nemmere at sniffe i ukrypteret form, men alle de steder, hvor der foregår indtastning af følsomme oplysninger, der er man inde i https-universet,« forklarer Ronnie Bach Nielsen til Version2.
Leave a Reply