Hvem sin regning betaler du?

(arkivfoto)

(arkivfoto) Foto:

Artikkelen er over 9 år gammel

Med noen få tastetrykk kan man sende regningen for bompengepasseringer til andre.

DEL

Det er skremmende enkelt å få andre til å betale dine bompengepasseringer.

  • Nyheter

– Bro og Tunnelselskapet AS i Bergen har en svært dårlig sikkerhetsløsning på sine kundesider, spesielt i forhold til passord.

– Hvem som helst kan logge seg inn og se på alle mine passeringer i bomringen de siste seks månedene, sier sikkerhetskoordinator Per Thorsheim.

Han viser BA hvordan man enkelt kan logge seg inn for å få andre til å betale bompengeregningen din, endre abonnmementsdetaljer, samt se hvor og når du passerer. Det eneste man trenger er bilregistringsnummeret og ID-nummeret på bompengebrikken. Den er lett synlig øverst i frontvinduet på de fleste biler.

– RISIKOANALYSE?

I dag arrangerer Thorsheim, i samarbeid med Universitetet i Bergen og Selmer-senteret, en konferanse som handler om passord, PIN-koder og sikkerhetsløsninger.

– Det finnes flere konkrete eksempler på dårlig sikkerhet når det gjelder passord, både når det gjelder private selskap og offentlige organisasjoner, men Bro- og Tunnelselskapet AS er kanskje noe av det verste jeg har sett, sier Thorsheim som passerer daglig gjennom bompengeringen i Bergen. Han er overrasket over hvor lett man kan få tilgang på personlige opplysninger både hos private og offentlige bedrifter.

– Bro- og Tunnelselskapet sørger for å få inn penger. Men de gjør lite for å hindre at andre kan stjele penger samt få tak i personopplysninger fra deg, sier Thorsheim.

– DEKK TIL ID-NUMMERET!

Han oppfordrer folk til klistre en lapp over ID-nummeret på brikken.

– Når bedrifter velger å sende både brukernavn og passord på ukryptert e-post eller hjem i poster, vitner det om at man ikke har tenkt så mye på informasjonssikkerhet, sier han.

Han har vanskelig for å tro at det er gjort noen skriftlig risikoanalyse som tilsier at dette er en akseptabel måte å gjøre det på.

– Løsningen tilfredsstiller ikke dokumentert god praksis fra anerkjente og nøytrale institusjoner på internett. En mer sikker metode hadde vært å sende brukernavn og passord på SMS. Det er vanskeligere å stjele en mobiltelefon, sier han. Thorsheim har forsket på passord i en årrekke og sier at bedrifter ofte skylder på bevisstløse brukere når det gjelder dårlige valg av passord.

– Poenget er at bedriftene må implementere tekniske løsninger som setter visse minimumskrav til brukernes passord, samt gir fornuftige råd til brukerne om hvordan de skal lage gode passord som er enkle å huske. Det kan være så enkelt som å skrive en helt vanlig setning som passord, sier Thorsheim.

Artikkeltags