For kort tid tilbake skulle jeg legge inn en annonse på FINN, en tjeneste som jeg også har brukt flere ganger tidligere for å selge ting jeg ikke lengre trenger. Jeg ble rimelig overrasket da jeg skulle logge meg inn med mitt brukernavn og passord, jeg fikk beskjed om at det var noe feil med enten brukernavn eller passord.
Jeg er rimelig sikker på at jeg hadde skrevet riktig, det vil si; jeg bruker det geniale gratisprogrammet Keepass for å holde orden på mine mange brukernavn og passord. Mitt passord var helt tilfeldige tall og bokstaver, muligens rundt 20 karakterer i lengde.
Da jeg ikke fikk logget meg inn, så måtte jeg naturlig nok gå gjennom "glemt passord" rutinen. Skrev inn min mailadresse, og fikk tilsendt mail med link tilbake til FINN for å sette nytt passord på min konto. Standard prosedyre hos de fleste, men så kom overraskelsen:
 |
| Klikk for å se full størrelse |
Passord på 4 karakterer har vel i praksis aldri blitt regnet for å være sikkert nok, men jeg er desto mer overrasket over at de ikke tillater passord på mer enn 12 karakterers lengde. Jeg skulle likt å høre argumentasjonen deres for den begrensningen, jeg håper jo virkelig at det er gjort en vurdering på kost/nytte/risiko da de satte standarden slik. Det kan da også synes som at de faktisk har REDUSERT maksimumlengden for passord siden forrige gang jeg benyttet tjenesten. DET er HÅRREISENDE galt!
Jeg kikket litt rundt på sidene deres for informasjon om dette, men det står ikke så mye om sikkerhet hos FINN. Det som står der bærer preg av reaktivt arbeid i etterkant av hendelser, og således noe fragmentert og utdatert. For nettsikkerhet generelt henviser de blant annet til Nettvett, fra sin side for forbruktertrygghet.
Nettvett har en egen side for passord, du finner den her. For syns skyld har jeg tatt et skjermbilde, slik at FINN staben enkelt kan se den også:
 |
| (klikk for full størrelse) |
Jeg har tidligere kritisert Nettvett og NorSIS for å ha dårlige og umulige anbefalinger til passord på sine sider. Den kritikken står jeg på, men anbefalingen om minimum 8 karakterers lengde og en mix av STORE og små bokstaver pluss tall er jeg enig i.
Det at FINN tillater passord å bare 4 karakterer legger en ekstra risiko inn i totalbildet; det gjør at kunder kan benytte sine PIN koder fra ulike kort som passord på FINN. Jeg testet det selv, i noen få sekunder hadde jeg 1234 som passord på FINN. *HUFF*
Dersom man som kunde gjør slikt, så er det antagelig en "grovt uaktsom handling" ift erstatningsmuligheter, jfr Finansklagenemda og generelle kortavtaler hos bankene. Altså; du som kunde har antagelig ikke krav på erstatning.
Jeg ville blitt glad dersom FINN faktisk implementerte minstekrav i tråd med anbefalingene gitt fra Nettvett, ihvertfall de som er mulige å implementere. Det vil si;
- Minstelengde på 8 karakterer
- STORE og små bokstaver og tall må benyttes i passordet
I tillegg, for å rydde opp i den usikkerheten som nå ligger i bunn av systemet, så bør de også "tvinge" alle kunder til å endre sitt passord til å være i tråd med nye retningslinjer, ellers blir de aldri kvitt de dårlige passordene som kan kompromittere både kunder og FINN tjenesten. Hva ville konsekvensene blitt dersom deres totale kundebase ble stjålet - pga dårlige passord? Alle annonser. Alle brukernavn, mailadresser, telefonnumre, adresser, CV'er, jobbsøknader...
Dersom FINN.no utfører ovenstående så vil de også tilfredsstille minstekravene i PCI-DSS standarden ift passord. Standarden regulerer sikkerheten i alle løsninger som håndterer kredittkort opplysninger - forøvrig nettopp den betalingsmåten som FINN selv benytter...