Lösenord ska aldrig sparas i klartext

– Om Twitter hävdar att ingenting tyder på att lösenord ska ha läckt ut beror det förmodligen mer på tur än skicklighet, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Uppmaningen kan kännas självklar, på gränsen till fånig. För några dagar sedan blev vi dock påminda om att det givna inte alltid är så givet. Inte ens för ett stort och rimligen säkerhetsmedvetet företag som Twitter där en bugg gjort att användares lösenord skrivits ut i klartext i företagets egna loggar. I vanliga fall (när det fungerar som det ska) krypteras lösenorden i Twitters interna system så att de anställda ser en slumpmässig kombination av siffror och bokstäver.

På självaste ”World Password Day” fick Twitter därför gå ut med uppmaningen att användarna borde ”överväga att byta lösenord”. Det är en ganska försiktig formulering. Särskilt med tanke på att vi inte får veta omfattningen av vad som faktiskt skett.

Det här påminner också om att lösenord inte ska skrivas i klartext till temporära filer som ska raderas vid ett senare tillfälle. Alla med någon slags erfarenhet vet att det kan hända alltför mycket innan en radering är avklarad. Och om det är illa att spara lösenord i klartext till tempfiler så är det förstås om möjligt ännu värre att göra motsvarande på ett ställe där de sparas permanent. Tyvärr är det precis vad Twitter inser att de gjort.

– Om Twitter hävdar att ingenting tyder på att lösenord ska ha läckt ut beror det förmodligen mer på tur än skicklighet. Även om vi antar att det är ett begränsat antal människor som har haft tillgång till företagets egna serverloggar finns inga garantier för att lösenord inte är på drift. Twitters 330 miljoner användare borde därför inte fundera särskilt länge på att byta lösenord. Användarna borde dessutom aktivera tvåfaktorsauktoriseringen. Den gör att bara lösenordet inte räcker för att någon obehörig ska komma in på kontot, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– Twitters hantering av lösenord påminner också om vikten av att använda unika lösenord för olika konton. För den som använder ett och samma lösenord för olika sociala kanaler, e-posttjänster och kanske rent av arbetsgivarens domän uppstår betydande säkerhetsrisker när lösenord blottas på det här viset, avslutar Per Söderqvist.