Hos den danske sikkerhedsorganisation DK-Cert har man meget svært ved at forstå, hvorfor firmaet Fort Consult inviterer danske internet-brugere til at teste passwords på en hjemmeside uden kryptering. Shehzad Ahmad har netop sat sig i chefstolen hos DK-Cert, som er en del af den statsejede virksomhed UNI-C. I mere end femten år har DK-Cert holdt øje med trusler mod den danske del af nettet og Shehzad Ahmad erkender, at svage passwords er et stort problem. Men Fort Consults nye »test password« tjeneste er ikke en løsning på problemet.
»Deres forklaring om, at brugerne ikke skal bruge deres rigtige passwords, holder jo ikke. Jeg kunne selvfølgelig ikke drømme om at indtaste mit rigtige password på den side, men for almindelige brugere er det helt oplagt at bruge det til at teste deres eksisterende passwords. Og du kan jo heller ikke forhindre brugerne at indtaste deres rigtige password. Det undrer mig meget, at man kan finde på at lave en sådan tjeneste, hvor man får brugerne til at blotte deres passwords,« siger Shehzad Ahmad til ComON.
Efter gårsdagens kritik i ComON har Fort Consult tilføjet en tydeligere advarsel til testpassword.dk, som fraråder at bruge sit rigtige password. Men DK-Cert's leder har ligesom andre branchefolk, ComON har talt med, svært ved at se, at tjenesten kan bruges til meget andet end netop at teste sit password. Og han antyder, at det kan være et forsøg på at ride med på den bølge af opmærksomhed, der er fulgt i kølvandet på Michael Rasmussen-sagen.
Shehzad Ahmad anbefaler at udskifte sit password jævnligt, men han mener også at ansvaret ikke kun bør ligge på brugernes skuldre.
»Jeg mener at udbyderne må tage deres del af ansvaret for password-sikkerheden. Det kan være at de skal tvinge brugerne til at skifte deres password med jævne mellemrum eller starte med en lidt blødere model, hvor brugerne blot opfordres til at skifte,« siger han.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt