Dålig lösenordssäkerhet på Almedalsveckans webbplats

Under dagen har det på flera håll uppdagats att Almedalsveckans officiella webbplats Almedalsveckan.info har okrypterade lösenord sparade i sin databas. När användarna ber om borttappade lösenord får de tillbaks dessa i klartext via mejl, något som tyder på mycket dålig säkerhet.

– Ur ett säkerhetsperspektiv är webbsidor som lagrar lösenorden i klartext i databasen, och skickar ut mejl när någon ber om sitt lösenord med lösenordet i klartext, det värsta som finns, säger Linus Engback, webbexpert på IT-tjänsteföretaget Sogeti.

[[Karin Lindvall]] på Almedalsveckans kansli hänvisar frågan till leverantören Imcode partner, där Hillar Loor svarar att de är medvetna om att de inte krypterar lösenorden och att de vet om att det finns bättre lösningar – men att de har gjort en avvägning mellan säkerhet och bekvämlighet.

– Det finns i sak ingenting i systemet som är känsligt om det skulle ske ett intrång, säger Hillar Loor. Hon menar även att de, när systemet byggdes, gjorde bedömningen att det är bekvämare att kunna få ut lösenord i mejl, om du glömmer det, istället för att vara tvungen att använda återställningslänkar.

Linus Engback medger att ett mejl med ett aktivt lösenord inte är någon bra idé. Det är inte särskilt säkert att det ligger massor med fungerande lösenord i våra e-postkorgar.

– Ska man göra det rätt så skickar man ut ett tillfälligt lösenord, giltigt en timme, och när man loggar in med det tvingas man direkt byta lösenord, säger han.

– Dålig säkerhet är inte ett problem som isoleras till en webbsida, säger Linus Engback. Läckta lösenord, kombinerat med e-postadresser, innebär att hackare kommer in exempelvis i användarnas e-postkonton om de har använt samma lösenord där, något de ofta har gjort.

Almedalsveckan och Imcode partner uppger att de ska se över det hela till nästa år och säger att de funderar på att skriftligt upplysa om den låga säkerhetsnivån vid anmälan.

I dag har Almedalsveckan.info över 2000 registrerade användare som skulle kunna drabbas vid en eventuell attack.

Kommentera