Med tvang skal Rejsekortet indføres…

Politikken skriver at brugere af offentlig transport fra midten af 2013 skal svinges over på rejsekortet. Det virker godt nok som en stor beta-test og en måde at tvinge systemet til at blive en succes (koste hvad det for kunder i den offentlige trafik).

Poul-Henning på version2.dk igen, igen og igen har skrevet om problemer med det – og det kombineret med hvad jeg selv har læst og erfaret fra andre, har foreløbigt hold mig fast på gode gamle klippekort – De har trods alt et simpelt interface og er nemme at betjene.

Med rejsekortet, ser de fleste transaktioner ud til at blive mere kompliceret – og kan også saktens blive dyere.

Med klippekort klipper man når rejsen starter, og det er så det. Med rejsekortet skal man huske at stemple ind, hved hvert skift undervejs huske at stemple ind igen, men først stemple ud, når rejsen er slut. Det beste udfald med rejsekortet er med andre ord mindst en ekstra handlinger for at foretage samme rejse. Det lyder måske ikke som ret meget, men prøv at spørge alle ud kender, der har rejsekort, om de har fået “bøder” for ikke at stemple ud. Jeg er ret sikker på, at en sådan bruger ikke findes.

Manglende check ud på en 2 Zoners rejse koster i følge Politikken 35,50 kroner i bøde. Det samme bekræfter rejsekortets sider om check-ud (“Glemt check-ud”), men til gengæld er rejsekortets oftestille spørgsmål af en anden opfattelse:

Screen Shot 2012-12-23 at 7.15.05 PM

“Ingen praktisk betydning for brugeren af dit rejsekort”? Bevars, når man først har brugt de 5.000.000.000,- som rejsekortet koster, så er 35,50 kroner uden praktisk betydning, men formuleringen syntes jeg nu nok er på kanten af misinformation.

Jeg bruger heldigvis ikke offentlig transport til dagligt, og håber på føst at skulle bruge s-togene, når vinteren trænger sig på. Jeg håber, at de hundrede tusindende brugere, der fra Juli 2013 tvinges ind i en stor beta-test, får fundet og rettet bare de værste fejl, men med den pris plan og det tekniske system, der ligger bag rejsekortet, så er jeg godt nok noget skeptisk.

God fornøjelse med Rejsekortet indtil da.

Opfølgning:

PerronSkilt – stog, labs og opensource

Til glæde for alle, der benytter s-tog, har jeg nu lavet et lille website, som kan vise hvornår de næste tog kommer til en given station. Det bygger på et API fra DSBLabs, og er optimeret til at kunne vises på alt – mobil, tablets, browsere og andet, der forstår HTML(5).

Du kan finde sitet på http://stog.mahler.io/

Koden bag sitet er i øvrigt sluppet fri som opensource. Den findes på GitHub som PerronSkilt.

Kan du fortælle mig mit kodeord?

Jeg har på det seneste et par gange på Twitter (og dermed også Facebook) brokket mig lidt over login systemer på det seneste. Noget tyder i hvert fald på, at det der burde være en rimelig og ansvarlig politik og “best practice” politik, overhovedet ikke følges – selv når der er tale om nye (og prestigefyldte) websites.

Note: Det følgende er skrevet i håbet om at være nogenlunde forståeligt af alle, og der er derfor bevidst lavet nogle simplifikationer og udeladt detaljer – f.eks. omkring “salt” af hash algoritmer. Jeg håber trods dette, at den har værdi og giver mening.

Der er 2 åbenlyse faresignaler, man bør være opmærksom på, hvis man har med online login-systemer at gøre:

  1. Man bør aldrig nogensinde blive tvunget til at have en maksimal længde på passwords (i hvert fald ikke på under 40-50 tegn).
  2. Et website bør aldrig nogensinde kunne gensende dig dit password via en “glemt kodeord” funktion.

Ad 1) I “gamle dage” da man lavede de første websites med logins, der skulle det sikkert bare gå stærkt, og sikkerhed var typisk noget, der blev kigget på “når man fik tid”. Derfor var der mange sites, som startede med en tabel i en database, der ret beset bestod af et felt til brugernavn og et til passwordet – matchede de to med det, som brugeren tastede ind, blev han godkendt.

Udover det åbenlyst uheldige i at enhver udvikler, webmaster og andre med adgang til denne database, uden videre vil kunne udgive sig for at være brugeren, så er der også det problem, at hvis man har “indbrud” på serveren (populært sagt, at den bliver “hacket”), så vil de ubudne gæster også kunne skaffe sig en kopi af samtlige brugernavne og tilhørende passwords. Det skete f.eks. for Yahoo! i sommers, hvor over 450.000 brugernavne og kodeord (i klar tekst) blev kopieret af folk, der havde fundet en sikkerhedsbrist i et af deres sites.

Når man har brug for kunne genkende en bruger, så er det ikke brugerens password, man har brug for at gemme – det er en sikkerhed for at brugeren har tastet det rigtige password, og her kan matematikken hjælpe.

Der findes nemlig såkaldte “hash funktioner“, som er en slags en-vejs kryptering. Man giver et kodeord til en hash funktion, og den returnerer altid det samme samme. Svaret har altid samme længde, og der bør ikke findes nogen mulig måde, at komme fra svaret, der er kommet ud af Hash funktionen tilbage til det oprinelige kodeord.

Laver man login systemer i dag, så er det resultatet af hash funktionen man gemmer, ikke brugerens kodeord. Med hash funktionen(*) kan ingen ud fra den gemte tekst som udgangspunkt se brugerens kodeord (og dermed misbruge det), men vi kan stadigt være helt sikre på, at brugeren kender kodeordet, der hører til brugerens konto.

Ad 2) Hvis websitet er i stand til at sende eller på anden måde udlevere dit kodeord, så forudsætter denne handling, at det er gemt i klar-tekst (eller i det mindste på en sådan måde, at det kan bruges tilbage til klar-tekst).

Givet mange har for vane, at genbruge samme brugernavn og kodeord igen og igen på tværs af mange sites – twitter, facebook og mange, mange andre steder, så er det, at ens brugernavn og kodeord ligger i klar-tekst på et tilfældigt site, ikke kun et problem for det ene site, hvis de som Yahoo! har digitalt indbrud og fremmede får en kopi af brugerkonti.

Websites, der har lavet sikkerheden rigtigt, har typisk også en “glemt kodeord” procedure. Den fungerer typisk ved at man enten får udstedt et nyt midlertidigt kodeord og får dette via mail, telefon eller lignende (og ofte tvinges til at skifte dette ved første brug, så ingen efterfølgende har mulighed for at kende dit personlige kodeord) – eller også sender de et link med en lang kode i, som giver adgang til at lave et nyt kodeord.

Lidt om hash funktioner

Der findes mange forkellige hash funktioner. Nogle af de mest kendte er CRC32, MD5 og SHA1. Funktionerne bruges ikke kun i forbindelse med passwords, men også i forbindelse med “checksummer”, så man f.eks. kan lave en “hash” af to tekster, og hvis den bliver ens, så er teksterne antageligvis ens.

En hash kvalitet måles ud fra flere forskellige parametre, blandt andet hvor tung den er at lave for serveren, hvor tilfældigt resultatet er i forhold til hvad man giver den af input (om det er muligt at se mønstre i det, der kommer ud) og hvor lang den hash (resultat), der resulterer i.

Spam på fisketur

Ens digitale mailboks syntes at være under et konstant og vedvarende angreb af folk. I “gamle dage” (hvilket normalt betyder for få år siden), var målet primært at sende reklamer for viagra og alt muligt andet skummelt snavs.

Det næste skridt på bølgen af digitalt affald var mails, som forsøgte at få alt muilgt malware, virus og andet snavs ind på maskinen, og hvor anti-virus, anti-malware og lignende programmer i den grad har fået deres sag for.

Den trejde bølge af digitalt affald, som de fleste efterhånden oplever, er såkaldte phising mails. Vi mangler endnu et godt dansk navn for denne type mails, men genren er efterhånden veldefineret kaldes “phising mails” og formålet er – udover fortsat at snige skumle programmer ind på din pc – også at lokke oplysninger ud af dig – typisk logins, bankoplysninger eller lignende.

En af de seneste phising mails, som havnede i min mailboks så således ud:

Spot en phishing mail…

Denne mail indeholder heldigvis flere af de klassiske tegn på en phising mail:

  • Henvendelser fra Skat starter sjældent med teksten “Kære skatteyder,”.
  • Sætningen “Jeg sender denne e-mail for at annoncere:” er – selv for kancellisprog – dårligt dansk – og det dårlige sprog går igen flere steder i mailen.
  • Når beløb angives på dansk, benytter vi sjældent valuta koden “DKK” (selvom den er “teknisk korrekt”), men blot kr. eller kroner.
  • På dansk benytter vi punktum som tusind-seperator, og kommer til øreangivelse – ikke omvendt, som tilfældet er i mailen.
  • Hvis man kører musen henover “Klik her”, så går linket ikke til skat.dk – men et fremmed domæne – i forsøget på at snyde modtageren, så har afsenderen lavet et site med en addresse, der heder – nogetskummelt.com/skat.dk/ i forhåbning om at man bare ser, at der står skat.dk i mailen.

Hvis det er en phising mail…

Når du modtager en phising mail, så smid den ud med det samme. Lad være med at hente billeder, lad være med at klikke på links og lad være med at besvare den.

Ved at hente billederne, er du som oftest med til at bekræfte, at mailen er kommet frem til en modtager – og selvom denne mail måske ikke fik dig i fælden, så kan de jo altid prøve igen.

Det samme gælder, hvis man besvarer mailen. I bedste fald, så er det en falsk afsender, men i værste fald, er du med til at bekræfte, at din mailaddresse findes og det er værd at forsøge at sende spam, malware og phising mails til dig, i håbet om at få dig i fælden på et tidspunkt.

Ved at klikke på links, så risikerer du at komme ind på sider, der forsøger at installere malware, vira eller anden ondskab på din maskine.

Hvis du er i tvivl…

Hvis du er i tvivl om en mail du har modtaget er phising eller ej, så er et par tips, der kan hjælpe med at afklare det i en fart:

  • Hvis mailen indeholder stave- eller grammatikfejl, så den ikke lyder dansk, så er det tegn på phising.
  • Det er ofte phising, hvis budskabet i mailen ikke er logisk for eksempel:
    at du har vundet noget i en konkurrence, du ikke har deltaget i.
    at dit mobiltelefonni-selskab gerne vil give dig en gratis iPhone, men ikke  kender dit navn og addrese.
    at en rejse jorden rundt udbydes til en urealistisk billig pris.
  • Hvis mailen ikke er udsendt af/fra virksomhedens domæne (- mails fra DSB, bør altid komme fra en @dsb.dk adresse), så er det ofte phising.

Hvis du stadigt er i tvivl, så så åben selv en browser, gå ind på virksomhedens website og søg oplysninger via websitet, fremfor at klikke på links i mails.

Hvem er typisk “misbrugs ofre”

Når du modtager phising mails, så er det typisk følgende virksomheder, der forsøges misbrugt:

  • Teleselskaber, herunder specielt mobil-selskaber: Typisk er formålet at kunne skaffe sig adgang til at kunne sende overtakserede SMS’er, lave dyre opkald til numre i udlandet eller lignende.
  • Banker: Formålet er typisk at lave røveri mod netbanker, og overføre dit indestående til konti i udlandet, hvor pengene ret bekvemt kan forsvinde sporløst.
  • Andre finansielle virkesomheder: Paypal og lignende – motivet er det samme som for hvad angår banker, men qua paypal opererer internationalt, så er der også mange flere potentielle ofre.
  • Det offentlige: Alle har en relation til offentlige myndigheder, og det virker derfor mere plausibelt, at der kommer en mail til en fra en offentlig myndighed.

Du kan i øvrigt finde meget mere om phishing problemet – og flere gode råd på Mit TDC’s sikkerhedssite.