Det er ikke kun musikindustrien som er sure over Amazons nye Cloud Drive. Nu har sikkerhedsfirmaet F-Secure også meldt sig til orde. ”Amazon's Password Policy Sucks” lyder overskriften i et blog-indlæg fra F-Secure.
Cloud Drive er en sky-tjeneste hvor man kan uploade sine digitale musikfiler – enten i AAC eller MP3 format – til Amazons servere og herefter afspille dem på enhver computer eller Android-enhed. Der er 5 GB gratis plads til alle brugere, og hvis det ikke er nok, kan man købe sig til ekstra plads.
Den normale up- og download foregår direkte i browseren, hvor man også kan forvalte filerne i sit Cloud Drive. Amazon krypterer trafikken med HTTPS.
Men hele sikkerheden bygger på en kombination af brugernavn og adgangskode. Det er her problemet ligger. Brugernavnet er nemt at finde frem til – det er brugerens mailadresse.
F-Secure kritiserer, at Amazon tillader usikre kodeord der er nemme at gætte, som for eksempel ”password” eller ”123456".
Det eneste krav er, at der skal være seks tegn. Men der er ikke noget krav om, at man skal bruge en blanding af tal og bogstaver. Derfor mener F-Secure, at der er stor risiko for phishing.
Som verdens største netbutik har Amazon ellers stor erfaring med sikkerhed og der er god beskyttelse mod at fremmede overtager din Amazon-konto og bestiller varer på din regning. Men Amazon har ikke valgt at implementere den samme sikkerhed i sit Cloud Drive.
I bloggen kritiserer F-Secure også, at man tilsyneladende kan blive ved med at indtaste det forkerte kodeord indtil man har gættet det rigtige. Andre tjenester blokerer for adgang efter et bestemt antal forsøg.
