Loopia brister i sin hantering av lösenord

2008-01-28 14:30 | Kategorier » Artiklar, IT-säkerhet, Webb,

LoopiaLoopia är ett av Sveriges större webbhotell och har tidigare på sin hemsida stoltserat med många stora kunder. Loopia framhåller att de blivit utnämnda till ”Sveriges bästa webbhotell” år 2005.

Efter årets inledande attacker mot bland annat Efterfesten och nu senast Mecenat AB har det allt mer framgått att företag inte sköter sina säkerhetsrutiner på det sätt de kanske borde göra.

Vad är det då som brister i hur Loopia handskas med lösenorden?

Man skulle kunna säga att det rör sig om fyra grundläggande brister i olika allvarlighetsgrad.

Längden

Till att börja med tillåter de inte lösenord längre än 16 tecken. Sådana begränsningar är Loopia inte ensamma om att ha och man kan lätt tänka sig att ingen ändå skulle få för sig att ha så långa lösenord. Det är däremot så att en av de delar som avgör säkerheten hos ett lösenord är just längden på de. Ju längre lösenord, ju högre säkerhet är en regel man kan ha i bakhuvudet.

Gemener/versaler

Versaler och gemenerLoopias andra brist i lösenordshanteringen är att de inte gör skillnad på gemener och versaler, det vill säga stora och små bokstäver. För Loopias system är ”PAssWOrd” och ”password” samma lösenord. Detta innebär att en attackerare behöver prova betydligt färre lösenord än vad som skulle behövas ifall Loopia gjorde skillnad på stora och små bokstäver i lösenorden.

Exemplet ”password” går att skriva på totalt sett 256 olika sätt, men tack vare att Loopia inte gör skillnad på stora och små bokstäver i lösenorden så resulterar alla de 256 varianterna i ett och samma lösenord.

Specialtecken

SpecialteckenLoopias tredje brist vad gäller lösenorden rör sig om specialtecken, det vill säga alla tecken som ligger utanför a-z och 0-9. De tillåter helt enkelt inte att man har sådana tecken i lösenordet.

En av de vanligaste rekommendationerna för att skapa (relativt) säkra lösenord är att de skall vara minst åtta tecken långa, de skall innehålla både stora och små bokstäver, siffror samt specialtecken. Lösenordet skall så klart inte bestå av ord som hittas i ordlistor eller liknande heller.

Vad spelar då specialtecknena för roll, de är ju bara tecken precis som vanliga bokstäver och siffror?

Det de bidrar med är ökad komplexitet, det blir helt enkelt oerhört mycket fler tecken en angripare måste prova för att komma fram till rätt lösenord.

Klartext

Den här punkten trodde jag inte att jag skulle se hos Loopia och jag är ärligt talat förvånad. I princip sett alla sidor man loggar in på har någon form av funktion för de som glömt bort sitt lösenord. I regel bygger det på att man får en länk mailad till sig som man sedan får klicka på för att ”återställa” sitt lösenord. Detta betyder i regel att man antingen får ange ett nytt eller att man helt enkelt får ett nytt lösenord slumpat och skickat till sig.

Med Loopia fungerar det inte så. I och för sig får man en länk mailad till sig som man sedan är tvungen att klicka på, länken i sig fungerar endast en gång. Jag trodde däremot att man då skulle få en bekräftelse på att ett nytt lösenord hade skickats eller att man själv fick ange ett nytt lösenord. Så var inte fallet.

Loopia visar lösenord i klartextI stället fick jag på skärmen framför mig upp mitt lösenord. Detta innebär att Loopia antingen har lösenorden lagrade i klartext (något som ur säkerhetssynpunkt är oerhört alarmerande i så fall), eller så lagrar de lösenorden på ett sådant sätt att de kan dekryptera dem.

En grundregel är att lösenord bör lagras som en hash av något slag, det vill säga krypterade med en envägsfunktion som gör att lösenordet inte går att återskapa. Dessutom bör en sådan hash även vara ”saltad”. Detta innebär att man tillsatt någon ytterligare form av textsträng innan den sista hashningen utförs. På så sätt stärker man upp säkerheten än mer.

Vad säger Loopia om ovanstående?

Jag har kontaktat Loopia om ovanstående brister men fortfarande inte fått någon respons från dem. Får jag svar från dem kommer jag att uppdatera artikeln.

Men de andra webbhotellen då?

Det finns så klart fler aktörer på marknaden och jag har även tagit mig en närmre titt på en av dem, nämligen Binero (före detta Aleborg).

Jag vill börja med att säga att skälet till att det blev just Loopia och Binero som togs upp i denna artikel är att jag är kund hos dem båda, något annan anledning rör det sig inte om. Jag har däremot förståelse för att det lätt kan framstå som någon reklampost, men så är alltså inte fallet.

Hos Binero var det en betydligt bättre lösenordshantering som mötte mig. Specialtecken tilläts, lösenord kunde inte återfås i klartext och man var inte heller begränsad till lösenord på maximalt 16 tecken.

Däremot upptäckte jag att de inte gjorde skillnad på stora och små bokstäver. Jag kontaktade även dem om detta och fick mycket snabbt ett trevligt svar från Bineros VD Anders Aleborg. Han berättade att de omedelbart hade fixat till den missen och att de även slutat att skicka lösenord via e-post.

I mina ögon är detta ett mycket föredömligt agerande och Binero skall ha beröm för att ha agerat så fort som de gjorde.

Binero beskriver öppet sina förbättringar i sin blogg, mycket trevligt!

Uppdatering, Loopia har svarat

2008-01-28 kl 17:10

Nu har Loopia svarat på mitt mail:

Jag kommer att vidarebefordra din information till våra servertekniker och
som kommer att kontrollera dina sypunkter angående vårt system. Däremot så
kan jag inte svara på hur vi i dagsläget har krypterat lösenorden samt
varför vi inte gör skillnad på små och stora bokstäver.

I mitt mail frågade jag inte hur de krypterade lösenorden, jag undrade däremot hur det kom sig att de lagrade lösenorden i klartext, eller i varje fall använde en metod som innebär att lösenorden går att få ut i klartext.

Vad tycker ni om responsen från dem?

Känner ni till fler webbhotell med liknande brister?

2008-01-29 kl 16:38

En läsvärd kommentar från Christofer, som även han har märkt av Loopias miss, påvisar att Loopia har känt till bristen i åtminstone fem månader med.

Uppdatering, Loopia bemöter kritiken i TechWorld Säkerhet

2008-01-31 kl 12:48

Efter min artikel blev jag uppringd av Joel Brandell från Techworld Säkerhet som ville genomföra en kort liten intervju, var inte helt beredd på det men det var så klart trevligt. Intervjun inkluderades i Techworld Säkerhets artikel om Loopias bristande hantering av lösenord. Där bad Loopia att få återkomma, något de nu har gjort.

Loopia lovar nu att förbättra sin säkerhet, något som så klart är positivt.

Loopias kontorschef Jimmie Eriksson vill inte berätta om vilka säkerhetslösningar som man använder sig av, men säger att man arbetar på att förbättra säkerheten.

Jimmie Eriksson skriver även följande i en kommentar

Det största hotet idag är dock inte säkerhetsmekanismen, utan användningen av enkla, osäkra lösenord

Han har så klart en poäng i detta, men de svagheter hos Loopias lösenordshantering jag beskrivit ovan påverkar inte de som har svaga lösenord.

De lösenord som drabbas är de som normalt sett skulle kunnat varit betydligt starkare, det är alltså de ”skötsamma” användarna som drabbas.

Loopia skall även genomföra en kampanj framöver där de ska informera om hur man använder säkra lösenord, detta är något mycket positivt och något jag gärna skulle se hos många företag.

Jimmie ville inte heller kommentera uppgifterna om att lösenorden skulle lagras i klartext, men säger att de skall förbättra krypteringen. Man kan ju tycka att ifall de krypterade lösenorden i dagsläget så är det märkligt att i så fall inte svara att man lagrar dem krypterat.

Hur som helst är det trevligt att se att Loopia tagit till sig av kritiken och bygger vidare mot säkrare lösningar!

Gravatar
|
Hm — 2008-01-28 15:22

Mycket dålig säkerhet loopia, jag hoppas ni åtgärdar detta // Bengt.

Gravatar
|
Oscar — 2008-01-28 18:14

Lösenordet behövs inte lagras i klartext. Lösenordet kan lagras i en session eller en cookie för just den tidpunkten.

Gravatar
|
Kristoffer — 2008-01-28 18:26

Oscar: Loopia lagrar lösenordet antingen i klartext eller i en reversibel kryptering, det vill säga en krypterad text där det går att få ut ursprungsösenordet. Detta kan man med säkerhet säga eftersom Loopia visar upp ens lösenord när man använder deras ”glömt bort lösenordet”-funktion. Just den biten har inget med varken sessioner eller cookies att göra.

Om Loopia skötte den här biten rätt så skulle det inte gå att återskapa lösenordet, då skulle ett nytt lösenord slumpas fram i stället. ”Krypteringen” skulle ske genom en hash-funktion, det vill säga en envägskryptering. Skälet till varför man bör använda sådana funktioner för lagring av lösenord är just att man inte skall kunna utläsa lösenordet ur databasen.

Gravatar
|
Christofer — 2008-01-28 18:29

Jag har rotat i samma fråga gällande bristerna i deras hantering av gemener och versaler av lösenord samt hur lagringen av dessa egentligen sker. Citatet nedan från supporten skrevs i slutet av augusti förra året. Här står det klart och tydligt att det är till för att ”förenkla” för kunden. De kunder som blandar gemener och versaler är i de flesta fall mer säkerhetsmedvetna och kommer också lägga dessa skillnader på minnet, så hur detta skulle förenkla för kunden har jag mycket svårt att se. Frågan om varför lösenorden lagrades i klartext blev aldrig besvarad. Blir intressant att höra hur de ställer sig till frågan idag.
Måste vi vänta på att någon ger sig fasen på att komma in i deras system för att något säkerhetsarbete ske? Skärpning!

/Christofer

”Det är bra att du är säkerhetsmedveten. Du behöver dock inte vara orolig
över att säkerheten på något sätt skulle vara låg hos oss.
Man kan använda både gemener och versaler vid inloggning i LoopiaKundzon,
men det är för att förenkla för kunden.
Eftersom det fortfarande går att variera i längd och att man inte enbart ska
ha bokstäver i lösenordet, begränsas möjligheten att gissa lösenord baserat
på ord. Det är alltså ett medvetet val att ignorera gemener och versaler i
inloggningen till Loopia Kundzonen.

Vi håller på att se över säkerhetsaspekterna på alla kundsystem i samband
med en större uppgradering av systemen och det är absolut möjligt att vi tar
bort den möjligheten om den inte används.

Tackar för dina synpunkter. Med din hjälp kan vi bli bättre och leverera en
förbättrad tjänst till våra kunder.

Hör gärna av dig om du har fler förbättringsförslag.”

(Namnet på supporten hos Loopia är bortklippt från svaret för att inte hänga ut någon enskild person som antagligen ändå inte har något beslut i frågan.)

Gravatar
|
emil — 2008-01-28 18:50

jag håller med, jag kan inte använda mitt egna lösenord för inte specialtecken stöds, jag fattar inte varför det skulle va nåt problem för loopia att ge stöd för det

Gravatar
|
Kristoffer — 2008-01-28 20:00

Christofer: Jag är också fullkomligt övertygad om att användare kan se skillnad på stora och små bokstäver, i annat fall finns ju alltid ”glömt lösenordet”-funktionen. De enda man garanterat underlättar för i sådana här sammanhang är angriparna, det spelar ingen roll att man som användare är säkerhetsmedveten när företaget man har lösenordet hos själva medvetet sänker säkerheten i det.

Det är ju så klart inte säkert att lösenorden lagras i klartext, men det råder ingen tvekan om att krypteringen i varje fall är reversibel. Med tanke på hur det sett ut hos Efterfesten och Mecenat AB så är det ju knappast helt osannolikt att de lagrar det som klartext däremot.

Supportens svar lämnar rätt mycket att önska, men av svaret att döma så rör det sig ju om ett aktivt val att sänka säkerheten på det här sättet. Deras säkerhetsaspekter vad gäller den här biten verkar ju inte fått sig någon nämnvärd översyn det senaste halvåret i alla fall.

Tack för din kommentar och utdraget från svaret från Loopias support!

Emil: Nej, man kan tycka att det är rätt konstigt att de aktivt har förbjudit sådana lösenord i sitt system…

Gravatar
|
toad — 2008-01-29 09:57

Herrej*vlar! Nu är det ju så man börjar bli riktigt frustrerad på det här.
Jag menar att ett WEBBHOTELL brister såhär extremt, det trodde jag inte.
Men men.. det här avgjorde ju saken iallafall. Bye, bye Loopia, welcome Binero!

Gravatar
|
Bmo — 2008-01-29 14:06

Efter prat med One.coms kundtjänst framgick det att även de sparar lösenord i klartext.

Gravatar
|
Kristoffer — 2008-01-29 14:34

toad: Jo, det är lite illa att det så tydligt visar sig hur sådant här missköts. Det verkar ju vara relativt utbrett med.

Bmo: One.com är ju å andra sidan inte precis kända för att hålla kvalitet på sina tjänster… :P
Det gör å andra sidan inte missen med lösenord i klartext bättre på något vis.

Hade de någon förklaring? Finns det någon mailväxling att ta del av?

Gravatar
|
Bmo — 2008-01-29 20:28

Kristoffer:

Tyvärr så skedde konversationen via deras Online chat-tjänst. Jag hade tagit en screenshot som jag råkade skriva över med nåt annat i clipboarden :)

Hans förklaring var att jag inte behöver oroa mig eftersom deras tjänster är säkra nog.

Gravatar
|
Anders B — 2008-01-29 21:48

Jag hyr webhotell med tillhörande epostkonton hos active24.se.

Inloggad som administratör visas på startsidan en lista över samtliga epostkonton med respektive lösenord i klartext!!!

Jag fick rysningar när jag såg det, ringde supporten och frågade vaff**n. Snorkig supportperson förstod inte vad jag menade, eller så spelade han dum. Detta var för över ett år sedan och det ser likadant ut än idag.

Skulle gärna lägga ut en skärmdump men den möjligheten finns tyvärr inte i detta forum :) :) :)

Gravatar
|
Kristoffer — 2008-01-29 22:47

Bmo: Måste säga att man lätt kan anse att det finns lite brister i supportens sätt att resonera där… :)

Anders B: Active 24 är alltså ännu ett webbhotell som missköter sig… Är läget verkligen så illa ute i IT-sverige?

Jag förstår att det kanske inte är helt lämpligt att lägga upp en skärmdump med synliga uppgifter i, men känner du för det så är det bara att du maskerar dem och sedan skriver en kommentar med en länk till bilden så kan alla se ;)

Till er alla som kommenterar: Tusen tack för era kommentarer och uppgifter! :)

Gravatar
|
Anders B — 2008-01-30 00:38

Jag har bara positiva erfarenheter av Active24, eller Carambole som de tidigare hette, vad gäller driftsäkerhet, support, priser etc.

Men detta är hårresande:

http://imajr.com/active24-080130-8.bmp-694644

Märk väl att Active 24 i första hand vänder sig till företagskunder. Allt ligger öppet för en snokig administratör, eller den som eventuellt lyckas bryta sig in på det ena eller andra sättet.

Problematiken med folk som använder samma lösenord på flera platser blir uppenbar.

Gravatar
|
Max Malm — 2008-01-30 11:50

Hej. Det finns andra krypteringsmetoder än envägskryptering. Jag tycker detta är något du borde läsa in dig lite mer på. ”:)” Finns på mailen om du vill kontra mig, jag kommer antagligen inte lyckas hitta hit igen :(

Gravatar
|
Kristoffer — 2008-01-30 12:03

Max Malm: Hej på dig med :)

Grundtanken med en hash är att man inte skall kunna återskapa indatan utifrån en given hash, vilket i många lägen är en bra lösning på att lagra till exempel lösenord på ett säkert sätt. Krypteringar finns det oerhört många varianter av, gemensamt för ”vanliga” krypteringar (hashfunktioner uteslutna) är dock just att det går att återskapa indatan. Detta gäller både symmetriska och asymmetriska krypteringar.

Jag är så klart nyfiken på lite mer exakt vad du åsyftar, så jag hoppas att du hittar hit igen (jag skickar en påminnelse via mailen med ;) )

Tack för din kommentar!

Gravatar
|
Max Malm — 2008-01-30 18:55

Kristoffer:

Det jag menar är att informationen kan ligga krypterad i databasen med någon krypteringsteknik. Jag har inte stött på att det finns något som säger att deras lösenord är hashade, de kan lika gärna vara krypterade :)

Gravatar
|
Kristoffer — 2008-01-30 19:21

Max Malm: Ah, det var så du menade. Jo, det är klart att de kan ha krypterat det. Det var lite därför jag skrev: ”Detta innebär att Loopia antingen har lösenorden lagrade i klartext (något som ur säkerhetssynpunkt är oerhört alarmerande i så fall), eller så lagrar de lösenorden på ett sådant sätt att de kan dekryptera dem.” ;)

I mina ögon är det ett säkerhetsproblem att lösenorden kan dekrypteras, det finns egentligen ingen bra anledning till det. Har man glömt sitt lösenord kan man lika gärna ange ett nytt som sedan hashas. Ur smidighethänseende går man egentligen inte miste om något, däremot vinner man säkerhet genom det.

Gravatar
|
Anders — 2008-02-01 16:30

Jag blev lite förfärad när jag läste att ett etablerat webbhotell som Loopia inte hashar sina lösenord! Eftersom jag själv är kund hos dem var jag ju tvungen och kolla och det stämde mycket riktigt. Efter att jag avsiktligt skrivit in fel lösenord för mitt användarkonto drog jag åter efter andan då jag såg att Loopia skickar tillbaka det felaktiga lösenordet i form av en ifylld lösenordsruta! Jag ser inte poängen med detta och det ”dolda” lösenordet går lätt att ta fram m h a t ex Firebug i Firefox.

Jag funderar på att byta till Binero som du skrev om, dom verkar vara båda mer säkra och ödmjuka inför ev misstag dom gör!

ps. Roligt att din google-reklam visar en annons för Loopia när jag besökte din blog! ds.

Gravatar
|
Kristoffer — 2008-02-01 16:48

Anders: Man kan ju helt klart fundera på varför det felaktiga lösenordet alls behöver skickas tillbaks, det var ju trots allt fel? Just det har jag inte lagt märke till tidigare, men det är trevligt att bli uppdaterad! :)

Personligen kan jag inte göra annat än att rekommendera Binero, efter deras snabba respons på mitt påpekande så har de förbättrat sitt anseende ännu mer i mina ögon. Min artikel var däremot inte skriven i syfte att fungera som reklam för Binero. Kan tänka mig att många lätt kan få för sig det.

Googles Adsense kan ibland bjuda på annonser som i sammanhanget är lite humoristiska, jag har bland annat fått se att ”Gud älskar dig” (vilket väl är bra antar jag?)… :P

Får fundera på om jag ska blockera det annonselementet eller ej :)

Gravatar
|
Måns — 2008-02-05 19:00

Dåligt när företag inte sköter sig. Stötte idag på detta meddelande hos DustinHome:

Som ett led i vårt arbete för förbättrad säkerhet på Dustin homes webbplats gör vi nu skillnad på versaler och gemener i våra kunders lösenord.

Verkar som om de blivit inspirerade av dig :-)

Gravatar
|
Kristoffer — 2008-02-06 13:23

Måns: Kul att fler ställen får upp ögonen för att höja sin säkerhet! :)

Är ju helt klart kul om jag varit en bidragande orsak… :P

Gravatar
|
Tomas — 2008-06-21 12:47

Inte för att jag känner något behov av att fösvara Loopia (snarare tvärt om) men vad jag förstår kan deras lösenord mycket väl lagras hashade i databasen. När du glömt ditt lösenord får du ju inte tillbaka ditt gamla i klartext, utan istället får du ett nytt slumpat lösenord som visas på en särskild krypterad sida en enda gång. Din argumentation mot Oscars inlägg håller inte. Det är den sidan som visar det nya lösenordet som också skapat det. Det visas i klartext på din skärm, men lagras sedan krypterat i databasen. (Troligtvis)

Gravatar
|
Kristoffer — 2008-06-22 19:33

Tomas: Efter att jag skrev min artikel har Loopia ändrat sina rutiner. I det gamla systemet var det som det beskrevs ovan, i det nya verkar de ha löst sina gamla brister.

Min argumentation mot Oscar höll således vid den tidpunkt det skrevs, eftersom Loopia då skötte lösenordet på ett dåligt sätt. :)

Lämna en kommentar


Regler för kommentarer på Gate 303

Creeper MediaCreeper