Det danske it-sikkerhedsfirma Fort Consult er blevet kritiseret for sin nye internet-tjeneste, testpassword.dk, hvor brugerne kan indtaste et password og få oplyst, om det er tilstrækkeligt sikkert. Fort Consult understreger at det ikke er hensigten, at brugerne skal indtaste deres rigtige passwords, for tjenesten bruger ikke kryptering, men Prosas formand Peter Ussing mener at mange brugere alligevel vil bruge tjenesten til at teste deres rigtige kodeord.
Sikkerhedsfirmaet har nu reageret på kritikken og tilføjet en ny og mere tydelig advarsel til testpassword.dk.
»Vi har taget kritikken til os og lavet en ændring på siden, så teksten 'Brug ikke dine rigtige passwords her!' nu står lige under det felt, hvor man indtaster passwordet. Det fremgik allerede af disclaimeren på siden, at man skal ikke skulle bruge sine rigtige passwords, men nu er det altså blevet endnu mere tydeligt. Det har hele tiden været meningen, at tjenesten skulle fungere som en sandkasse, hvor man kan lege sig frem til et godt password,« siger Ulf Munkedal, der er adm. direktør for Fort Consult.
Men Peter Ussing står ikke alene med sin kritik af testpassword.dk. Hos sikkerhedsfirmaet eSec har man også svært ved at se, hvordan den nye tjeneste kan være med til at øge sikkerheden.
»Jeg er helt enig i, at man selvfølgelig ikke skal indtaste sit password på en hjemmeside, man ikke kender, og bare det at de ikke køre SSL-kryptering vil da få mig til at være ekstra nervøs. Mit indtryk er, at formålet med denne hjemmeside vist mere er at skabe opmærksomhed og så komme med nogle gode råd. Dog vil jeg tro, at dem der kommer ind på siden altid vil indtaste deres password, ellers giver det jo ikke nogen mening for brugeren,« siger Ole Schmitto, adm. direktør for eSec.
Han henviser til, at der er flere sites på nettet, hvor man kan få genereret og testet passwords. Men ofte er det færdige password så langt og komplekst, at det er umuligt at huske.
»Fremtiden tror jeg bliver noget med at vi skal have teknologien til at hjælpe os, så vi får en nem måde til at identificere os på. Et af de mere kendte projekter indenfor dette er openid.net. Men en ting er sikkert, så længe vi selv skal oprette brugernavn og password, og selv huske dem oppe i vores travle hjerne, lige så længe vil der være stor risiko for at de knækkes mere eller mindre nemt,« siger Ole Schmitto.
Og meget tyder på, at danskerne er bekymret over usikre passwords. Ulf Munkedal fortæller at tjenesten testpassword.dk allerede i det første døgn har haft 4.000 unikke besøgende, der har testet 16.000 passwords. Den nuværende version bruger en ordbog med 400.000 ord, men er endnu ikke helt perfekt - et kodeord som »Carlsberg« får eksempelvis en relativ høj score. Derfor opfordrer han brugerne til at indsende forslag til forbedringer og ord, der mangler i ordbogen.
Ulf Munkedal fortæller at man planlægger at udvikle en udvidet version, som muligvis også vil kunne bruges til at teste sit rigtige password - denne gang med kryptering.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt