Login-sikkerhed på TDC.DK


Nogle af TDC's websider med felter til login og password er ikke sikre sider (https: //). I nogle tilfælde kan man fremkalde en sikker side, hvis man manuelt skriver https: // forrest i adresselinien, i andre tilfælde findes kun en usikker side, eller man får besked om at identifikationen ikke kan bekræftes.

Det har været nødvendigt at tilføje blanktegn omkring tegnene // for at undgå at Forum-editoren gør det til aktive link.

Desuden er det konstateret, at i hvert fald brugernavnet og eget rigtige navn gemmes ukodet i en cookie når man er logget ind på TDC.DK.

I browseren Firefox i Ubuntu Linux kan man trykke på F12 og så få diverse fejlmeldinger og advarsler, langt mere overskueligt end muligt i Internet Explorer på Windows. Derfor er Firefox i Ubuntu Linux brugt til at undersøge sagen.

Gør man det på den normale side http: // tdc.dk kommer en advarsel om at login-felterne er placeret på en usikker side (http: // ), og at dette udgør en sikkerhedsrisiko, da det er muligt at stjæle loginkoderne.

Gør man det på siden https: // tdc.dk får man ingen advarsel om login, men i stedet for en advarsel om blokeret aktivt indhold som kommer fra en ikke-sikker side (http: // ajax.googleapis.com/...).

Det er i øvrigt voldsomt mange webadresser, der indgår i hver eneste Forumside. Dette afsløres også via F12.

Desværre kan jeg ikke finde helt de samme informationsmuligheder i nyeste Internet Explorer til Windows.

Har man skaffet sig et TDC-login og password er der adgang til et antal følsomme personoplysninger m.v., dels gennem selvbetjeningssiden, dels gennem Homedisk online-backup, og dels gennem siden til webmail.

Der er derfor behov for at få afklaret følgende:

1. Sendes brugernavn og password ud til serveren ukrypteret, når man skriver det på en usikker side?

2. Hvis der inden afsendelse sendes via en sikker forbindelse (https: // ) med SSL-kryptering, hvordan kan brugerne så få verificeret at forbindelsen er sikker, når indtastningen sker på en usikker side?

3. Når brugernavn og rigtigt navn ligger ukodet i en cookie når man er logget på TDC.DK, udgør det så en sikkerhedsrisiko?

Hvis det kan forekomme at brugernavn og password sendes ukrypteret til TDC's server bør TDC gøre noget for at undgå dette. Som en generel sikkerhedsregel bør brugerne aldrig anvende samme password til mere end ét websted.

1 Kommentar

Omdømme 3

Her kan du se, hvor mange omdømmepoints Patrick11 har modtaget fra andre medlemmer.

Hej Erik

Tak for dit indlæg - det er sådan vi bliver bedre.

Jeg har sendt videre og fået svar. Sætter svar ind herunder, hvor det er relevant med rød skrift. 

 



1. Sendes brugernavn og password ud til serveren ukrypteret, når man skriver det på en usikker side?

Nej. Selvom siden med formularen ligger på en "ukrypteret" side, så sendes formularen med brugernavn og password ALTID som post request over SSL.

2. Hvis der inden afsendelse sendes via en sikker forbindelse (https: // ) med SSL-kryptering, hvordan kan brugerne så få verificeret at forbindelsen er sikker, når indtastningen sker på en usikker side?

Det kan kun verificere via sourcekoden på siden. Det er dog ikke anderledes end hvis man står på en "sikker" side - her vil en tilsvarrende verifikation skulle finde sted, hvis man som bruger skal være sikker (inden man klikker). Vi skal gerne indrømme, at browseren _typisk_ giver en advarsel, hvis man post'er data fra en TLS/SSL side til en ikke krypteret side.

3. Når brugernavn og rigtigt navn ligger ukodet i en cookie når man er logget på TDC.DK, udgør det så en sikkerhedsrisiko?

Det er et meget bredt spørgsmål, og et præcist svar ville kræve, at der spørges mere specifikt ind til hvordan der påtænkes sikkerhedsrisiko.

 

1. Hvis man bruger åbent ukrypteret netværksadgang (f.eks. ukrypterede wifi hotspots), så vil de oplysninger kunne "sniffes" af andre parter på samme netværk.

2. Hvis man er udsat for man-in-the-middle angreb eller DNS-poisoning, så vil det være muligt, for den 3. part, som foretager dette angreb, at aflæse disse data.

 

Når det så er sagt, så:

a. login navnet benytte på linje med "husk mit brugernavn" på andre sites.

b. Navnet bruges blot enkelte steder til at kunne skrive det på skærmen, så man som bruger har en verifikation af hvilken konto man er logget ind med.

   (Nogle brugere har både et privat login samt et "medarbejder i en virksomhed" login, og det bruges til at hjælpe kunden til at huske hvilken konto de er logget ind med.

 

I alle sammenhænge, hvor login oplysningerne/identiteten benyttes, der dekodes og verificeres login sessionen serverside og kun hvis de digitale signaturer er valide, benyttes de data, der er tilknyttet login'et.

Hvis det kan forekomme at brugernavn og password sendes ukrypteret til TDC's server bør TDC gøre noget for at undgå dette.

Det har os bekendt aldrig forekommet, og bør heller ikke kunne lade sig gøre, vi arbejder på at finde indformationer, så vi kan bekræfte dette.

 

 

Som en generel sikkerhedsregel bør brugerne aldrig anvende samme password til mere end ét websted.

Som en generel sikkerhedsregel bør brugerne aldrig anvende samme password til mere end ét websted.

Det er vist en meget generel statement, som man kun kan være enig i, men som det enkelte website ikke har en chance for at implementere/verficere.

Som udgangspunkt anbefaler vi ALTID at man har en god og sikker adfærd for hvad angår brug af og omgang med passwords - og at man f.eks. vælger at benytte LastPass, 1Password eller lignende værktøjer, som kan sikre, at man kan have lange, unikke, ugættelige passwords på de websites, hvor man har brug for passwords.

 

 

Håber at ovenstående svarer på dine spørgsmål - du er selvfølgelig velkommen til at spørge videre, hvis det giver anledning til yderligere spørgsmål, eller er uklart?


Hilsen

Besvar

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)