itfag | Teknologi. Data. Læring. Deling.

TAG | passord

Av: Svend Andreas Horgen, høgskolelektor og faglærer i Webprogrammering i PHP

Blir du av og til oppgitt over at tilsynelatende profesjonelle nettsteder slurver med sikkereheten? Her er et godt eksempel på regelrett slurv, og en utfordring til deg om å si hvorfor dette er slurv.

Flytoget er for meg noe av det beste Norge har å by på innen kommunikasjon. Websidene deres er brukervennlige. Informasjonen er lett tilgjengelig, en kan betale superraskt fysisk og få kvittering tilsendt på e-post om en registrerer e-posten sin på websidene deres. En kan til og med se all historikk om sine kjøp, og alt er tilsynelatende toppers. Flytoget oser sikkerhet, trygghet og effektivitet for de reisende. Bortsett fra en ting, etter min mening en alvorlig brist som gjør at en kan spørre seg om sikkerheten er der i det hele tatt?

De har nemlig slurvet veldig når det gjelder «glemt passord»-funksjonaliteten. Dette gjelder ikke bare Flytogets websider. Altfor mange seriøse nettsteder har slurvet her. Eller evt. aldri tenkt over problematikken?

Scenario:

  • Du vil logge inn og få oversikt over alle kjøpene dine
  • Du har glemt passordet (mange gjør vel det). Passordet ditt er «1234dummy» men det har du glemt bort akkurat nå.
  • Du trykker derfor «glemt passord», skriver inn e-postadressen din og får denne e-posten umiddelbart:

Her er vi ved kjernen. Kommentarfeltet er åpent. Du som er interessert i teknologi, programmering og sikkerhet, bør umiddelbart kjenne at nakkehårene reiser seg. Så jeg spør: Hva er feil her, og hvordan kan det løses? Hvorfor er dette så alvorlig? Det er mange grunner og momenter å ta opp her, så start brainstormingen!

PS til Flytoget om de leser dette: Ha meg unnskyldt – dere er fantastiske på alt annet enn «glemt passord» og dette blogginnlegget er ikke ment brukt for å spre negativ reklame om dere. Dere kan jo vri dette til positiv reklame om dere vil 😉

Dette innlegget har 11 kommentarer. Gjerne bidra :-)

Theme Design by devolux.nh2.me