Ingen ønsker, at sikkerheden af deres onlinedata kompromitteres. Desværre er højprofilerede databrud af store og betroede virksomheder ikke ualmindeligt. Disse brud kan bringe sikkerheden af dine e-mailadresser, adgangskoder og enhver anden information, du måtte have gemt i en bestemt profil, i fare. Nogle kunder oprettede deres SuperSaaS-konto for år siden og bruger stadig den samme adgangskode på SuperSaaS, som de gør på en anden hjemmeside. Der er to måder, hvorpå vi forsøger at forsvare os mod hackere, der forsøger at bruge disse lister til at få adgang.
Det er også en del af vores fokus på privatliv og GDPR, fordi adgangskodesikkerhed kun er én del af helheden.
Vi forhindrer indtastning af adgangskode i høj lydstyrke, men det beskytter ikke fuldt ud
For det første har vi et system sat op til at registrere enhver, der tester et stort antal adgangskoder på én gang. Disse IP-adresser blokeres automatisk, og vores overvågningssoftware advarer os. Denne type overvågning er dog ikke fuldt ud effektiv, fordi hackere kan bruge mange IP-adresser og teste nogle få adgangskoder fra hver enkelt.
Vi bekræfter din adgangskode i forhold til en liste over kendte kompromitterede adgangskoder
Som en anden forsvarslinje tager vi listerne over kompromitterede konti, der er tilgængelige online fra sikkerhedsfirmaer, og kontrollerer, om nogen af vores kunder vises på den. På siden Have I Been Pwned? kan du tjekke, om din konto vises på listen. Hvis vi finder en matchende adgangskode, kontrollerer vi, om den tilsvarende e-mailadresse også vises på listen, og vi nulstiller adgangskoden, hvis begge vises.
Vi kan tjekke din adgangskode uden egentlig at vide, hvad den er
Det er vigtigt at bemærke, at vi ikke behøver at sende din adgangskode til nogen anden for denne bekræftelse, faktisk forlader din adgangskode aldrig vores servere. I stedet bruger vi et matematisk fingeraftryk af din adgangskode, en såkaldt en kryptografisk hash, og tjekker om den hash optræder på listen. Fingeraftrykkene opbevares sikkert i en separat liste, der ikke forlader vores kontor, selvom fingeraftrykkene i sig selv er harmløse, kan de ikke rekonstrueres tilbage til en adgangskode. På denne måde behøver ingen at håndtere de faktiske adgangskoder direkte, og vi ved ikke engang, hvilken adgangskode du brugte, hvis vi finder en match på listen. Alt, hvad vi ved, er, at det er på en liste over kompromitterede adgangskoder, og at det ville være en god idé at nulstille det.
Vi nulstiller de adgangskoder, som vi finder på listen
Hvis hash-koden til din adgangskode faktisk findes på listen over hash-kodeord, sletter vi din adgangskode som en sikkerhedsforanstaltning. Næste gang du forsøger at logge ind, vil du blive videresendt til siden for tabt adgangskode, så du kan e-maile dig selv med et link til nulstilling af adgangskode.
For at være klar betyder dette ikke, at din konto er blevet kompromitteret. Det betyder blot, at vi nulstiller din adgangskode for dig som en sikkerhedsforanstaltning for at forhindre, at den kompromitteres i fremtiden. Vi føler, at den milde irritation ved en adgangskode, der er blevet slettet, opvejer den enorme besvær med en brudt konto.
Denne testproces vil blive gentaget med jævne mellemrum, for eksempel hvis der opstår endnu et stort brud, og nye lister dukker op online. Vi taler sjældent om vores sikkerhed, for så længe vi udfører vores arbejde, burde der være lidt at kommunikere. Dette er en af de få synlige måder, vi forsøger at give en sikker oplevelse, når du bruger SuperSaaS. Vær sikker på, at vi som et team arbejder hårdt bag kulisserne på cybersikkerhed hver dag.
Oprindeligt udgivet i februar 2019.