Sikkerhedsfirmaet Fort Consult vil hjælpe danskerne med at vælge mere sikre passwords - men firmaet får hård kritik for sin nye tjeneste, testpassword.dk. På hjemmesiden kan man indtaste et password, hvorefter programmet oplyser, hvor sikkert kodeordet er. Men Fort Consults hjemmeside bruger ikke kryptering og passwordet sendes derfor ubeskyttet over nettet, hvor det nemt kan opfanges undervejs.
ComON har bedt den adm. direktør for Fort Consult, Ulf Munkedal, om at forklare, hvorfor firmaet opfordrer internet-brugere til at sende passwords ubeskyttet over nettet.
»Selvfølgelig skal man ikke indtaste sit password andre steder end der, hvor man bruger det. Og det er slet ikke tanken, at man skal indtaste sit rigtige password på vores hjemmeside. Det er ganske rigtigt, at forbindelsen ikke er krypteret, og passwordet vises også i klartekst på skærmen. Ideen er, at man skal bruge vores tjeneste til at lære om sikkerhed og lege sig frem til et godt password,« forklarer Ulf Munkedal.
Han tror ikke, at nogle brugere vil misforstå formålet med tjenesten og indtaste deres rigtige kodeord for at tjekke, om det er tilstrækkelig sikkert. Og Fort Consult har da også tilføjet en disclaimer i bunden af siden, der fraråder at indtaste sine rigtige passwords.
Men adressen testpassword.dk og overskriften »Ny mulighed for at teste password« kan få mange til at tro, at tjenestens formål er at hjælpe med at optimere sine eksisterende kodeord. Når man har indtastet et kodeord hos testpassword.dk, giver programmet gode råd til, hvordan koden kan gøres mere sikker. Men i det øjeblik, man har sendt sit password ukrypteret over nettet, er det reelt helt værdiløst.
Hos it-fagforeningen Prosa har man også forsøgt at rådgive sine medlemmer om gode passwords og her ryster man på hovedet over Fort Consults seneste tiltag.
»Det er bestemt molboagtigt at lave en hjemmeside for test af passwords, der ikke sikkerheds-mæssigt lever op til de krav man normalt stiller for at sende passwords over nettet. Det burde et firma med speciale i sikkerhed som Fort Consult da kunne forstå; mon ikke de lige skal have tid til at tænke sig om. Jeg betragter da firmaet som et af de kompetente på området,« siger Peter Ussing, der er formand for Prosa.
Og det faktum, at Fort Consult opfordrer brugerne til ikke at indtaste deres ægte password, gør ikke sagen bedre, mener Peter Ussing.
»Undskyldningen med at man ikke skal eller må bruge sit rigtige password på denne side er da helt skørt - de brugere som ville kunne have glæde af en sådan tjeneste har vel netop behov for at få testet det password de bruger - eller har planer om at bruge,« siger han.
I en tid, hvor internet-brugerne oversvømmes med spam- og phishing-mails der forsøger at lokke dem til at indtaste deres kodeord på tvivlsomme websider, er det uheldigt, at en seriøs hjemmeside opfordrer til at skrive sit password - og tilmed uden at bruge kryptering.
»Det må vel nærmest betragtes som skadeligt for sikkerheden på nettet - om ikke andet fordi det er eksempel på rigtig dårlig praksis for håndtering af passwords. De bør rette siden til at bruge kryptering af password, hvor svært kan det være - eller bare lukke siden,« siger Peter Ussing til ComON.
Premium
Fra 'juniorministerium' til magtfaktor: Digitalisering får udvidet mandat efter Marie Bjerres afgang