Kveðið úr kútnum

Kunningi minn var að skrá sig í þjónustu á vefsíðu bankans sem hét áður KB banki.  (Nýja nafnið man ég ekki, ég ætla að leggja það á minnið ef þeir lifa í nokkra mánuði).

Hann, eins og ég, er með tvær tegundir af lykilorðum, eina sem hann notar þegar mikið liggur við, til dæmis í samskiptum við bankann sinn, og aðra sem hann notar þegar hann skráir sig á síður eins og Facebook eða GMail, lykilorð sem honum er ekki eins annt um.

Hann, eins og fleiri, getur ekki munað tugi ólíkra lykilorða og er því með nokkur sem hann notar á mörgum stöðum.

Hann varð því hvumsa þegar bankinn sendi honum "spari" lykilorðið sem hann hafði verið að enda við að skrá inn, ódulkóðað í venjulegum tölvupósti.

Þess vegna þurfti kunningi minn að fara á þá staði þar sem hann notar "spari" lykilorðið og skipta því út hið snarasta.

Ég hef lesið ýmislegt um öryggismál en þetta vandamál held ég að sé ný tegund. Kunningi minn gaf sér ákveðið færnisstig vegna þess að hann var í samskiptum við bankann, en svo kom í ljós að hann var í samskiptum við einhverja deild innan bankans sem taldi sig ekki þurfa að fylgja sömu öryggiskröfum og aðrar deildir innan bankans.

Þetta er eins og að fara á heilsuverndarstöð, segja lækni persónuleg vandamál sín en komast svo að því að maður var að tala við manninn sem lagar ljósritunarvélina en gengur líka um í hvítum slopp.

Ég er ekki að gagnrýna bankann, þetta er mjög skiljanleg uppákoma. Ég er bara að skrásetja nýtt fyrirbæri í mörkinni.

Tölvupóstur er algerlega óöruggur samskiptamáti. Hann er jafn óöruggur og póstkort.  Allir sem hafa aðgang að afritum af einhverjum póstþjóni á boðleiðinni geta skoðað tölvupósta, sem og þeir sem eru á sama nethnúti og notandinn.   Afrit er furðu auðvelt að nálgast, gömlum afritaböndum er hent, harðir diskar sem eru ennþá læsilegir eru teknir úr umferð og lenda í ólæstum ruslageymslum.

Tölvupóstur þarf ekki að vera óöruggur, það eru bara sögulegar ástæður fyrir þessu.  Póststaðlarnir eru með elstu netstöðlunum, frá þeim tíma þegar tölvuglæpir voru ekki til.

Bankasamskipti um vefsíðu eru miklu öruggari því þau eru dulkóðuð (https) og enginn milliliður er á leiðinni milli bankans og notandans þar sem skilaboðin eru afkóðuð og vistuð.

Reyndar er annað öryggisvandamál á ferðinni.  Ef öryggið er gott, getur starfsfólk ekki hjálpað þér ef þú gleymir lykilorði, það verður að búa til nýtt.  Ef starfsfólk getur sagt þér hvað lykilorðið þitt er, getur það líka þóst vera þú og notað lykilorðið þitt í lengri tíma án þess að þú vitir af því og þú getur ekki lagalega sannað að einhver annar hafi verið á ferðinni.  Ef starfsmaður sem ætlar að brjóta af sér þarf að búa til nýtt lykilorð, munt þú komast að því fljótlega að þú kemst ekki inn á þínu gamla og einhver skráning mun eiga sér stað að lykilorðinu hafi verið breytt án þinnar beiðni sem fríar þig vonandi undan fjárhagslegri ábyrgð.

Lykilorðið sem bankinn var að senda kunningja mínum er augljóslega af þeirri tegund að allir starfsmenn bankans geta séð það.

Eru ekki öryggsimál skemmtileg?   Þeir sem vilja fræðast um þennan málaflokk geta lesið skemmtilega pistla Bruce Schneier: http://www.schneier.com/crypto-gram.html

PS:  Bruce mælir með ókeypis vírusvörn:  http://free.avg.com/us-en/homepage