Send de første tre tegn af dit kodeord

 Illustration: Screendump / CBB Mobil

Illustration: Screendump / CBB Mobil

Hos teleselskabet CBB Mobil bliver kunderne bedt om at oplyse de første tre tegn af deres kodeord i forbindelse med kundeservice. Det kan svække it-sikkerheden, men er ikke unormalt i branchen.

Niels Møller Kjemtrup Mandag, 16. april 2018 - 5:11

 

Når du kontakter mobilselskabet CBB Mobil for at diskutere følsomme oplysninger, som eksempelvis forbrug eller betaling, bliver du bedt om at udlevere de tre første tegn i dit kundekodeord. Det bruger kundeservice til at sikre sig, at du er den bruger, du udgiver dig for.

Selskabet understreger, at kodeordene ikke ligger i klartekst, men ifølge ensikkerhedsekspert er en praksis med at udlevere de tre tegn ikke sikker.

Praksis forringer it-sikkerheden

Det forringer et kodeords sikkerhed betragteligt, at dele af det er kendt. I særligt grelle eksempler, som 'Pas', 'qwe' eller '123' for et ottecifret kodeord, vil det være muligt at gætte kodeordet uden hjælpemidler. Selv for mere sofistikerede kodeord sænkes kodeordets styrke betydeligt, for hvert tegn man ikke behøver at knække.

Sikkerhedsrådgiver Jakob Heidelberg, der har stiftet sikkerhedsfirmaet Improsec og bl.a. har specialiseret sig i at bryde adgangskoder, er skeptisk ved, at man udveksler dele af kodeordet med kundeservice og opdeler koden i de bagvedliggende systemer.

»Jeg kan ikke udtale mig om den konkrete systemarkitektur, som muligvis er udmærket skruet sammen, men generelt er det dårlig praksis at udlevere og teste på dele af kodeord, også selvom man ikke opbevarer dem i klartekst,« siger han.

Læs også: Telia skrotter kodeord i klartekst efter syv år: »Det kan lyde vanvittigt i dag«

Selvom kodeordene ikke ligger i klartekst, så mener Jakob Heildelberg, det er dårlig it-sikkerhed, at dele af et kodeord bliver udvekslet på mail eller chat. Dermed kan delen komme i hænderne på andre ved et evt. læk fra mobilselskabet.

Desuden sidder en medarbejder ved teleselskabet med starten på et kodeord, som måske bruges i andre tjenester.

Besked fra CBB Mobils kundeservice i forbindelse med en supportsag. Supportsager kan køre over mail, chat og telefonopkald. Illustration: Screendump / CBB Mobil

 Besked fra CBB Mobils kundeservice i forbindelse med en supportsag. Supportsager kan køre over mail, chat og telefonopkald. Illustration: Screendump / CBB Mobil

Besked fra CBB Mobils kundeservice i forbindelse med en supportsag. Supportsager kan køre over mail, chat og telefonopkald. Illustration: Screendump / CBB Mobil

Udbredt praksis

Samme praksis har været fulgt af Telmore, hvilket Version2 rapporterede sidste år. Det er stadig tilfældet - man skal bruge dele af kodeordet til at identificere sig overfor kundeservice, oplyser Nis Peder Kolby, pressetalsmand for TDC, der ejer Telmore.

»Kunderne får at vide, at de bør lave stærke kodeord indeholdende både tegn og tal, og at kodeordet skal være på minimum otte karakterer. Dette kræver vores system også ved oprettelse,« siger pressetalsmanden.

Både TDC og CBB Mobil mener, at sikkerhedsniveauet i deres praksis er tilstrækkelig. De hæfter sig ved, at det er en gennemprøvet procedure, som ikke giver medarbejdere indblik i hele kundens kodeord.

»Når vi beder om de tre første tegn, er det ikke, fordi medarbejderen kan se kundens kodeord og blot validerer. De tre tegn tastes ind i vores kundeservicesystem, hvor systemet validerer, om de tre tegn matcher med de tre første tegn i kundens kode. Medarbejderen får en tilbagemelding om, hvorvidt det er korrekt eller ikke korrekt, men kan altså ikke se koden,« skriver Stine Olsen, som er teamchef ved CBB Mobil.

CBB kan også oplyse, at kundernes kodeord ikke ligger i klartekst, og at medarbejderne ikke får hele kodeordet oplyst. Version2 kunne i 2017 rapportere, at dette havde været praksis for Telia Bredbånd i en længere årrække.

»De 3 første bogstaver og hele kodeordet opbevares hver for sig. Der er intet, som ligger i klartekst, de er begge hashede hver for sig,hvor vi anvender en kryptografisk hashfunktion (BCrypt). Når kundeservicemedarbejderen får de tre første bogstaver oplyst af kunden, tastes disse ind i systemet for verifikation,« uddyber Stine Olsen over en Facebook-chat.

Bruteforce

BCrypt er i følge Jakob Heidelberg en effektiv hash-metode, som anvendes i mange tilfælde, hvor høj sikkerhed er påkrævet. Han påpeger dog, at opdelte eller korte kodeord stadigvæk er en sikkerhedsrisiko.

»Set i forhold til det samlede kodeord forkortes den tid, det tager at bruteforce de to dele individuelt, drastisk. Kodeordet bliver ekstremt meget lettere at knække, det øjeblik man opdeler det i to dele,« siger han.

For at påvise, hvor vanskeligt et BCrypt bruteforce-angreb er, har Jakob Heidelberg opstillet et forsøg på en maskine med tre moderne grafikkort (GeForce GTX 1080) og password cracking-værktøjet 'Hashcat'.

Programmet melder, at bruteforce af otte tegn (alfanumerisk = store/små/specialtegn), vil tage indtil »Next Big Bang (> 10 years)«.

Dermed må det i praksis regnes for upraktisk eller umuligt med nuværende teknologi og metoder. Hvis man kan opdele crackingen i to, tager tre tegn kun ca. 30 sekunder og fem tegn kun ca. 100 timer. Det viser fint, hvor ekstremt meget nemmere det er at bruteforce et kodeord, der er opdelt.

Samme praksis i udlandet

Brugen af de første cifre af et kodeord er tilsyneladende en udbredt praksis i teleselskabers kundeservice. Version2 dækkede for et år siden et lignende eksempel fra Telmore.

Forrige uge kunne også Motherboard dokumentere, at tilsvarende praksis blev brugt af østrigske T-Mobile.

Det fik stor bevågenhed, efter en talsperson for T-Mobile Austria over Twitter forsøgte at forsikre kunderne om, at sikkerheden er i orden.

T-mobile_01.png

En bruger påpegede, at praksis med at bruge starten af kodeord i klartekst er udtryk for mangelfuld it-sikkerhed. Det blev ikke mødt med forståelse af T-Mobile, og efterfølgende nåede kommunikationen et informativt lavpunkt.

T-mobile_02.png

Andre metoder i samme branche

Praksis med at bruge de tre første tegn er ikke den eneste løsning på autentificering i forbindelse med kundeservice.

Ved teleselskabet 3 skal man aldrig oplyse kodeord overfor kundeservice. Ifølge pressechef Thilde Danielsen udfører 3 deres identifikation med kundenummer eller CPR-nummer.

Læs også: Netsundhedsplejerske.dk: Datalæk afslører e-mailadresser og passwords i klartekst

Ved YouSee verificerer man kundens identitet, ved at kunden oplyser to af de tre følgende informationer: kundenummer, CPR nummer og detaljer fra seneste faktura.

Mulighed for bedre it-sikkerhed

Teleselskaberne hæfter sig alle ved, at der er tiltro til deres medarbejdere, og at man har tiltro til sikkerheden.

Så vidt vides har der ikke været sager, hvor folk har narret sig til oplysninger gennem kundeservice.

»Man kunne ønske sig en form for to-faktor-validering. Det er selvfølgelig vanskeligt, hvis det er et telefonopkald til kundeservice. Men hvis det er en korrespondance over chat eller mail, vil en to-faktor-validering med eksempelvis en sms-besked gøre systemet betydeligt mere vanskeligt at kompromittere,« siger Jakob Heidelberg.