Vodafonelekinn er mjög áhugaverður, sérstaklega vegna þess að þar er hættan við gagnageymd sýnd svart á hvítu. Það eru hins vegar ýmis önnur gögn sem verður að geyma, til dæmis tölvupóstfang og lykilorð. Þessar upplýsingar verður að geyma svo lengi sem kerfið er til.

Í kjölfar Vodafonelekans var mér bent á að eitt fyrirtæki geymir þessar upplýsingar ódulkóðaðar, rétt eins og þorri vodafonegagnanna var. Hættan við ódulkóðuð lykilorð er margvísleg, til að byrja með vegna þess að fólk notar oft sama lykilorðið á mörgum síðum. Kannski meira að segja á síðum sem vista kreditkortaupplýsingar.

Ein slík síða er tonlist.is — og það er ekkert leyndarmál. Ef notandi velur ‘gleymt lykilorð’ og svarið er sent með raunverulegu lykilorði, en ekki tímabundnu lykilorði eða tengli sem handahófskenndum lykli – þá er lykilorðið geymt ódulkóðað (sjá mynd fyrir neðan)

cleartext

 

… og já, þeir vita af þessu en hafa ekki enn lagað vandamálið.

—————————————–

Það eru til nokkrar aðferðir til þess að nota aldrei sama lykilorð. Til að byrja með er hægt að nota lykilorðasýslara sem býr til góð lykilorð og geymir þau. Önnur aðferð er að ‘gleyma’ alltaf lykilorðinu í hvert skipti. Enn önnur aðferð er að búa til auðvelda (en langa) samsetningu orða með ‘breytu’. Til dæmis ‘þettaertonlistlykilorðiðmitt’ — þetta myndi vera notað fyrir tonlist.is síðuna. Svo væri annað ‘þettaergooglelykilorðiðmitt’ fyrir google… og svo framvegis. Það er auðvelt að muna og nota — nema þegar lykilorð eru geymd án dulkóðunar. Þá er auðvelt að komast að ‘kerfinu’ á bak við lykilorð fólks.

Ég hvet fólk til þess að prófa að ‘gleyma’ lykilorðunum sínum á síðum með innskráningu – og athuga hvort vefsíðan sendi ‘alvöru’ lykilorð til baka eða ekki. Látið vita á fésbókarsíðu Pírata (https://www.facebook.com/Piratar.Island)

yarr!