“Jeg sidder faktisk og bliver helt sur over det.”
Sådan reagerer sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group, da Computerworld præsenterer ham for en britisk password-undersøgelse, der viser, at 66 ud af de 100 største e-handelsvirksomheder i Storbritannien er sløsede med password-sikkerheden.
E-butikkerne lader således brugerne slippe af sted med at afgive slappe passwords, uden at der tilsyneladende er sat simple mekanismer op for at forhindre password-misbrug.
I undersøgelsen foretaget af sikkerhedsselskabet Dashlane og beskrevet på The Register, viser det sig, to ud af tre britiske e-handelssites tillader usikre passwords som ’123456′ og ‘password’.
Det sker, samtidig med at 66 procent af de store britiske e-handelssites ikke blokerer for gentagne forsøg på at logge ind med forskellige passwords.
Det betyder, at snydetampene på nettet kan køre lister med velkendte passwords og hele ordbøger igennem password-feltet, indtil de eventuelt slipper ind via den angrebsmetode, der går under betegnelsen ‘brute-forcing’.
“Helt enkelt er det uforståeligt, da de netbutikker er ansvarlige for, at at alle kundernes informationer er beskyttet korrekt. Man gør brugerne en bjørnetjeneste ved at tillade nemme passwords. Det skriger faktisk til himlen,” lyder vurderingen fra Peter Kruse.
Hvordan er det i Danmark?
Sikkerhedseksperten fortæller, at de britiske webshops næppe skiller sig markant ud fra resten af internet-forretningerne.
“Jeg tror, at det britiske billede er meget sammenligneligt med Danmark,” siger Peter Kruse.
Computerworld har derfor taget et kig på sikkerheden hos nogle af de største danske e-handelssites, hvor Den Blå Avis (DBA) og Bilbasen, begge tilhørende amerikanske eBay, popper op som to store forbruger-hjemmesider, der ikke kræver særligt stærke password.
I Computerworlds quick’n'dirty-test viser det sig, at man kan slippe afsted med passwordet ‘computer’ på både DBA.dk og på Bilbasen.dk, hvilket er et ord, der findes i danske såvel i udenlandske ordbøger.
Det forklarer Flemming Laugesen, CTO hos eBay Classifieds Denmark, på følgende måde:
“Som udgangspunkt er DBA og Bilbasen åbne handelsplatforme, hvor det både skal være brugervenligt og sikkert. Vi er ikke et fængsel, hvor man skal gennem en metaldetektor for at komme ind, og derfor skal det også være nemt for brugerne at komme til at handle,” siger han og fortsætter:
Artiklen fortsætter på næste side…
Leave a Reply