I dag skulle jeg melde meg inn i Dataforeningen. www.dataforeningen.no, og linken "Bli medlem".
Første observasjon: Linken går til en HTTP side. Ved å taste inn https i adressen kommer jeg til samme siden, men denne gang slik det skal være med HTTPS.
Det stopper dessverre ikke der, og det jeg ser er dårlig praksis. På grensen til ren slurv, eller en webtjeneste som er forsømt i mange år på driftssiden er min påstand.
Ved å bruke tjenesten SSLLABS får dere karakteren F for oppsettet av SSL. Det er dårligst mulig karakter. Webserver oppsettet er sårbart for flere typer angrep, den støtter krypteringsalgoritmer som nesten knekkes med kalkulatorer i dag, og viser alle tegn til mangelfullt vedlikehold av sikkerheten.
Etter å ha fylt inn de nødvendige opplysninger om meg selv får jeg beskjed om at brukernavn og passord vil bli tilsendt via mail. Informasjon på skjerm ser slik ut:
Ingen mail kom inn til meg i løpet av få minutter, ei heller havnet den i noe spam filter. Jeg har kjørt "glemt passord" slik dere anbefaler i slike tilfeller. Fortsatt ingen mail mottatt.
En automatisk registreringsprosess ville normalt sendt mailen i løpet av sekunder, så jeg tipper dere har en manuell kontroll i bakkant før mailen kommer. Det burde dere i så tilfelle opplyse om, ellers blir jeg (og andre?) sittende og lure på om vi har gjort noe galt.
...
Og DER, en 20-30 minutter etter at jeg kjørte passord reset, kom mailen. Med en tidsbegrenset HTTP (usikker) link for å sette nytt passord på min konto. Fascinerende, jeg har enda ikke mottatt mail med initielt brukernavn og passord. Jeg vil jo gjette at min mailadresse er mitt brukernavn, men det er heller ingen informasjon om det fra dere.
...
Jeg har nå logget meg inn på "Min side", og har i den prosessen også observert at passordkrav er implementert godt under anbefalt minimum. Funksjonen for "glemt passord" er lite informativ, det mangler informasjon om passordkrav, fornuftige tilbakemeldinger dersom man gjør feil og mere til.
Jeg vil anbefale at dere tar utgangspunkt i OWASP anbefalingene. Start gjerne ut i fra deres anbefalinger for autentisering, der ligger det også anbefalinger for bruk av SSL/TLS, passordlagring og -tilbakestilling. Vil anbefale at dere tar en alvorsprat med deres CMS/driftsleverandør Custompublish i Oslo.
Dere har kanskje en standardkontrakt med dem som stiller krav til design, installasjon og kontinuerlig vedlikehold av sikkerhet?
----
Skulle det vise seg at Custompublish har svin på skogen, så kan man jo stille spørsmål om sikkerheten hos deres øvrige kunder også. Faren ved å publisere offentlig lange referanselister bør ikke være en ukjent risiko for tjenestetilbydere?