Passordtjenesten Lastpass har fått mye oppmerksomhet denne uken. Den ene nyheten er at sikkerhetsekspert Tavis Ormandy skrev på Twitter at han hadde funnet et alvorlig sikkerhetshull i Lastpass og at han ikke kunne forstå at folk stoler på tjenesten.
Han har senere moderert uttalelsen, men samtidig satte Ormandy alle Lastpass-brukere i fare ved å fortelle om et alvorlig sikkerhetshull før han tok kontakt med Lastpass og lot dem fikse det.
Standard prosedyre for såkalt «ansvarlig avsløring» er at man kontakter selskapet først, venter på at hullet blir tettet og deretter går ut offentlig med funnet. Slik blir ikke brukerne satt i fare.
- Det er viktig å forstå at slike tjenester blir konstant utfordret av hackere fordi informasjonen de er betrodd med er uvurderlig verdifull for kriminelle. I tillegg er ingen programmer perfekt programmert, det vil alltid være en mulighet for sikkerhetshull, sier passordekspert Per Thorsheim til DN.
Han understreker at han likevel har tillit til Lastpass og andre lignende tjenester som 1Password og Codebook.
Mange programvareselskaper utlover dusører til privatpersoner som avslører feil ved programvaren deres.
Gir bort dusøren for å lære kidsa koding
Blir «big business»
Den andre nyheten er at Lastpass, som har vokst til å bli en betydelig aktør på sitt felt, denne uken ble kjøpt av den store it-leverandøren Citrix. Thorsheim mener dette kan være en større trussel for brukerne over tid.
- Det er jo tidlig å slå fast noe nå, men jeg mener denne typen tjenester blir best når de er hovedproduktet til den som lager det. Skal man oppbevare brukernes viktigste informasjon krever det fullt fokus og det kan være uheldig å måtte konkurrere med andre avdelinger om budsjett og ressurser, sier Thorsheim.
Han mener at det å bli innlemmet i en portefølje i et stort selskap som er opptatt av lønnsomhet og stadig må gjøre prioriteringer kan skade videreutviklingen.
- Lastpass har vært gode på åpenhet mot brukerne og fortalt om svakheter og angrep de har vært utsatt for. Dette kan også endre seg i et stort konsern med stram regi på kommunikasjon og juridiske avdelinger som skal godkjenne alt for ikke å bli saksøkt, sier Thorsheim.
- Forlater Lastpass
Han skriver på sin blogg at dette - ikke avsløringene om sikkerhetshull - er grunnen til at han kommer til å velge andre tjenester fremover.
- Jeg forlater Lastpass. Ikke fordi det er dårlig - det er bra nok - men fordi jeg frykter for fremtiden deres i et stort selskap som Citrix. Jeg foretrekker et produkt fra en utvikler som fokuserer på passordtjenesten sin og som snakker direkte med brukerne, skriver Thorsheim.
Les også:
Finnes det et liv uten passord?
Hacker selger 117 millioner Linkedin-passord
Fra gutterom til A-laget
(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.