Send de første tre tegn af dit kodeord

Illustration: Screendump / CBB Mobil

Illustration: Screendump / CBB Mobil

Hos teleselskabet CBB Mobil bliver kunderne bedt om at oplyse de første tre tegn af deres kodeord i forbindelse med kundeservice. Det kan svække it-sikkerheden, men er ikke unormalt i branchen.

Sikkerhedsrådgiver Jakob Heidelberg, der har stiftet sikkerhedsfirmaet Improsec og bl.a. har specialiseret sig i at bryde adgangskoder, er skeptisk ved, at man udveksler dele af kodeordet med kundeservice og opdeler koden i de bagvedliggende systemer.

Selvom kodeordene ikke ligger i klartekst, så mener Jakob Heildelberg, det er dårlig it-sikkerhed, at dele af et kodeord bliver udvekslet på mail eller chat. Dermed kan delen komme i hænderne på andre ved et evt. læk fra mobilselskabet.

»Når vi beder om de tre første tegn, er det ikke, fordi medarbejderen kan se kundens kodeord og blot validerer. De tre tegn tastes ind i vores kundeservicesystem, hvor systemet validerer, om de tre tegn matcher med de tre første tegn i kundens kode. Medarbejderen får en tilbagemelding om, hvorvidt det er korrekt eller ikke korrekt, men kan altså ikke se koden,« skriver Stine Olsen, som er teamchef ved CBB Mobil.

»De 3 første bogstaver og hele kodeordet opbevares hver for sig. Der er intet, som ligger i klartekst, de er begge hashede hver for sig,hvor vi anvender en kryptografisk hashfunktion (BCrypt). Når kundeservicemedarbejderen får de tre første bogstaver oplyst af kunden, tastes disse ind i systemet for verifikation,« uddyber Stine Olsen over en Facebook-chat.

BCrypt er i følge Jakob Heidelberg en effektiv hash-metode, som anvendes i mange tilfælde, hvor høj sikkerhed er påkrævet. Han påpeger dog, at opdelte eller korte kodeord stadigvæk er en sikkerhedsrisiko.

»Set i forhold til det samlede kodeord forkortes den tid, det tager at bruteforce de to dele individuelt, drastisk. Kodeordet bliver ekstremt meget lettere at knække, det øjeblik man opdeler det i to dele,« siger han.

For at påvise, hvor vanskeligt et BCrypt bruteforce-angreb er, har Jakob Heidelberg opstillet et forsøg på en maskine med tre moderne grafikkort (GeForce GTX 1080) og password cracking-værktøjet 'Hashcat'.

Programmet melder, at bruteforce af otte tegn (alfanumerisk = store/små/specialtegn), vil tage indtil »Next Big Bang (> 10 years)«.

Dermed må det i praksis regnes for upraktisk eller umuligt med nuværende teknologi og metoder. Hvis man kan opdele crackingen i to, tager tre tegn kun ca. 30 sekunder og fem tegn kun ca. 100 timer. Det viser fint, hvor ekstremt meget nemmere det er at bruteforce et kodeord, der er opdelt.

Mulighed for bedre it-sikkerhed

Teleselskaberne hæfter sig alle ved, at der er tiltro til deres medarbejdere, og at man har tiltro til sikkerheden.

Så vidt vides har der ikke været sager, hvor folk har narret sig til oplysninger gennem kundeservice.

»Man kunne ønske sig en form for to-faktor-validering. Det er selvfølgelig vanskeligt, hvis det er et telefonopkald til kundeservice. Men hvis det er en korrespondance over chat eller mail, vil en to-faktor-validering med eksempelvis en sms-besked gøre systemet betydeligt mere vanskeligt at kompromittere,« siger Jakob Heidelberg.

Read the article here