Monday, August 16, 2010

FINN en feil


For kort tid tilbake skulle jeg legge inn en annonse på FINN, en tjeneste som jeg også har brukt flere ganger tidligere for å selge ting jeg ikke lengre trenger. Jeg ble rimelig overrasket da jeg skulle logge meg inn med mitt brukernavn og passord, jeg fikk beskjed om at det var noe feil med enten brukernavn eller passord.



Jeg er rimelig sikker på at jeg hadde skrevet riktig, det vil si; jeg bruker det geniale gratisprogrammet Keepass for å holde orden på mine mange brukernavn og passord. Mitt passord var helt tilfeldige tall og bokstaver, muligens rundt 20 karakterer i lengde.

Da jeg ikke fikk logget meg inn, så måtte jeg naturlig nok gå gjennom "glemt passord" rutinen. Skrev inn min mailadresse, og fikk tilsendt mail med link tilbake til FINN for å sette nytt passord på min konto. Standard prosedyre hos de fleste, men så kom overraskelsen:

Klikk for å se full størrelse
Passordet må være minimum 4 tegn, maksimum 12 tegn. HALLO?

Passord på 4 karakterer har vel i praksis aldri blitt regnet for å være sikkert nok, men jeg er desto mer overrasket over at de ikke tillater passord på mer enn 12 karakterers lengde. Jeg skulle likt å høre argumentasjonen deres for den begrensningen, jeg håper jo virkelig at det er gjort en vurdering på kost/nytte/risiko da de satte standarden slik. Det kan da også synes som at de faktisk har REDUSERT maksimumlengden for passord siden forrige gang jeg benyttet tjenesten. DET er HÅRREISENDE galt!

Jeg kikket litt rundt på sidene deres for informasjon om dette, men det står ikke så mye om sikkerhet hos FINN. Det som står der bærer preg av reaktivt arbeid i etterkant av hendelser, og således noe fragmentert og utdatert. For nettsikkerhet generelt henviser de blant annet til Nettvett, fra sin side for forbruktertrygghet.

Nettvett har en egen side for passord, du finner den her. For syns skyld har jeg tatt et skjermbilde, slik at FINN staben enkelt kan se den også:
(klikk for full størrelse)
Jeg vil gjerne be FINN om å legge spesielt merke til punkt 2 og 3, ytterst til høyre. Kunne FINN tenke seg å selv følge de anbefalinger de gir sine kunder?

Jeg har tidligere kritisert Nettvett og NorSIS for å ha dårlige og umulige anbefalinger til passord på sine sider. Den kritikken står jeg på, men anbefalingen om minimum 8 karakterers lengde og en mix av STORE og små bokstaver pluss tall er jeg enig i.

Det at FINN tillater passord å bare 4 karakterer legger en ekstra risiko inn i totalbildet; det gjør at kunder kan benytte sine PIN koder fra ulike kort som passord på FINN. Jeg testet det selv, i noen få sekunder hadde jeg 1234 som passord på FINN. *HUFF*

Dersom man som kunde gjør slikt, så er det antagelig en "grovt uaktsom handling" ift erstatningsmuligheter, jfr Finansklagenemda og generelle kortavtaler hos bankene. Altså; du som kunde har antagelig ikke krav på erstatning.

Jeg ville blitt glad dersom FINN faktisk implementerte minstekrav i tråd med anbefalingene gitt fra Nettvett, ihvertfall de som er mulige å implementere. Det vil si;
- Minstelengde på 8 karakterer
- STORE og små bokstaver og tall må benyttes i passordet

I tillegg, for å rydde opp i den usikkerheten som nå ligger i bunn av systemet, så bør de også "tvinge" alle kunder til å endre sitt passord til å være i tråd med nye retningslinjer, ellers blir de aldri kvitt de dårlige passordene som kan kompromittere både kunder og FINN tjenesten. Hva ville konsekvensene blitt dersom deres totale kundebase ble stjålet - pga dårlige passord? Alle annonser. Alle brukernavn, mailadresser, telefonnumre, adresser, CV'er, jobbsøknader...

Dersom FINN.no utfører ovenstående så vil de også tilfredsstille minstekravene i PCI-DSS standarden ift passord. Standarden regulerer sikkerheten i alle løsninger som håndterer kredittkort opplysninger - forøvrig nettopp den betalingsmåten som FINN selv benytter...

3 comments:

  1. Festling.
    Har akkurat hatt en dialog med kundeservice på LinkedIN selv (der passordet er begrenset til 16 karakterer).

    ReplyDelete
  2. Takk for innspillet! Vi har sett på saken. Begrensningen av passordlengden ble i sin tid laget tekniske årsaker, det gir absolutt ikke mening i å begrense passordet til bare 12 tegn – det skal vi rette på.

    Vi skal også vurdere minimumslengden på passord, det virker fornuftig å øke den noe. I tillegg gir vi alle brukere visuell tilbakemelding på passordstyrke under registrering og passordendring. Det betyr at den enkelte bruker selv kan velge hvor sterkt passord han eller hun synes er nødvendig – der vil vurderingene variere (se for eksempelhttp://www.boston.com/bostonglobe/ideas/articles/2010/04/11/please_do_not_change_your_password/som refererer til forskning fra http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf for mer om denne problemstillingen).

    Vi oppbevarer ingen opplysninger som er finansielt sensitive hos FINN (fødselsnummer, kredittkortnummer og lignende). Brukerne sendes til BBS sin NetAxept-løsning for betaling, og dataene som oppgis der lagres ikke hos oss.

    Passord på brukerkonto er for øvrig ikke det eneste sikkerhetstiltaket vi har lagt opp til. Vi har jevnlige sikkerhetsgjennomganger med et ekstert sikkerhetsfirma, og prioriterer retting av identifiserte sikkerhetshull i løsningen vår høyt. Vi innførte også nylig SMS-validering av annonser for noen erfaringsmessig svindelutsatte kategorier. Vi legger også mye ressurser i omfattende annonsekontroll, slik at folk skal kunne føle seg trygge og sikre når de er på FINN.no.

    hilsen
    FINN.no

    ReplyDelete
  3. Stor takk til FINN.no for rask og ikke minst GOD respons!

    Forskningen dere henviser til er jeg selv meget godt kjent med, jobber, snakker og blogger selv om passord.

    Jeg har tidligere skrevet om koblingen man bør ha mellom lengde/kompleksitet og skiftefrekvens, noe som også kan relateres til den forskningen dere viser til.

    Uansett; flott at dere vil vurdere endringer til det bedre. Øvrige tiltak som dere allerede har på plass høres betryggende ut. I forhold til at jeg også selv annonserer på FINN.no, så har selvfølgelig ikke meningen vært å fraråde bruken av tjenesten deres.

    Nok en gang; takk for imponerende rask og god tilbakemelding. Stjerne i boken for å være blant de få som faktisk har respondert raskt, godt og profesjonelt!

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.