Förslag: ta bort kravet på email

Med anledning av dagens kalabalik kring Aftonbladets avslöjanden bumpar jag återigen mitt förslag att avskaffa kravet på email vid registrering.

Förslaget har följande fördelar:

1. Det är utomordentligt enkelt att genomföra (kräver kanske 10 minuters kodande).

2. Det eliminerar en gång för alla det uppenbara säkerhetshål som finns så länge användarnas emailadresser sparas i en databas.

Det har framförts flera olika argument i tråden varför den här funktionen trots allt kan vara bra att ha.

Det vanligaste argumentet är att folk glömmer sina lösenord och då vill kunna få nya lösenord skickade via email.

Mitt svar på det argumentet är att göra emailadresserna frivilliga. Då kan de som inte bryr sig om sin säkerhet aktivt välja bort säkerheten och registrera sin emailadress.

Det näst vanligaste argumentet är att det är lätt att skydda sig mot säkerhetshålet om man vet hur man ska göra (dvs. använda en helt anonym slit- och slängemail vid registreringen).

Mitt svar på det är att de är precis de som inte vet hur man skyddar sig som är i störst behov av skydd. Samt att det kan vara svårt att veta om man kommer att vilja vara anonym någon gång i framtiden när man registrerar sig, och kanske inte vet hur öppen diskussionen ofta är på Flashback.

Vore fortfarande intressant att höra vad admin, admin4 eller admin5 tycker om förslaget.

Jag tycker ditt förslag är utmärkt. Och det borde vara tydligt angivet så att man vet att man väljer mellan säker anonymitet och möjligheten att få ett nytt lösenord.

För de som fortfarande vill ha möjligheten att återställa lösenord så borde säkerheten för detta kompletteras med att man dessutom måste skriva in sitt nick när man begär nytt lösenord. Så som det är nu räcker det med epostadress. Eftersom detta är ett diskussionsforum så borde man kunna klara av att komma ihåg sitt eget nick eller åtminstone klara av att ta reda på det genom att kolla i de trådar man vet att man skrivit.

Med tanke på säkerhetsläckan borde flashback ta bort alla mailadresser ur sin databas. Det kan vara rimligt att ha ett epost krav i registreringsprocessen men sen borde den informationen försvinna.

Jag inser att det är mitt eget fel att jag nu finns med i nått slags åsiktsregister eftersom flashback alltid varnat för att vara försiktig med epostadresser men jag tror få räknat med RGs stora arbetsinsats och listighet i den här skandalen eller hur likgiltig svenska samhället blivit för åsiktsregistrering.

Flashback borde annars ta bort möjligheten att begära ut förlorat lösenord. 95% av flashbacks användare bryr sig inte om sitt användarnamn så mycket som möjligheten att skriva anonymt.

Procenten av mängdpostande konton har minskat kraftigt i trådarna senaste åren och det är helt säkert ett resultat av ett säkerhetstänk. Flashback borde strama upp säkerheten (framförallt med tanke på yngre och oförsiktigare användare) och sluta lagra mailadresser

Fast det skulle göra det möjligt att plocka fram rätt nick med brute force om man bara har en emailadress, genom att testa alla nick i medlemsregistret. När man inte får ett felmeddelande vet man att man träffat rätt.

Kan förstås förhindras genom att man bara får pröva tre gånger per dygn eller något liknande. Men det ger fortfarande möjligheten för den nyfikne att testa om någon som man misstänker är en viss användare verkligen är det, förutsatt att denne använde sitt vanliga email vid registrering.

Nej, bäst är nog att ha det nuvarande systemet för dem som trots allt vill ha en registrerings- eller kontaktemail. Men även det har uppenbara säkerhetshål bortsett från möjligheten att någon kommer över Flashbacks databas. Någon kan t.ex. hacka din mailserver och sedan begära nytt lösenord till din hackade emailadress, och på så sätt avslöja både ditt knick och ta över kontot, läsa dina PM etc.

Mycket bra förslag, dock tycker jag att kravet om e-post skall gälla vid registreringen. Annars finns risk för att troll och liknande skapar skräpkonton. Direkt efter man har bekräftat registreringen via e-post så raderas den uppgiften för evigt.

Problemet med digital information är att man aldrig kan vara säker på att den försvinner. Även om den faktiskt tas bort kanske den finns sparad på en backup någonstans. Och om RG eller någon annan hackat systemet ser de naturligtvis till att tanka ner alla intressanta uppgifter innan de försvinner.

Så den enda säkra lösningen är nog att skippa registreringsemailen helt, eller göra den frivillig för dem som inte bryr sig om säkerheten.

Håller med om att proceduren för förlorade lösenord också är osäker, oavsett om någon hackar Flashnbacks användardatabas. Se vad jag skrev ovan i mitt svar till Madagascar om detta.

Att stoppa troll var naturligtvis poängen en gång i tiden. Men idag finns det script som fixar nya emailadresser på nolltid, så trollen stoppas knappast av detta. Vissa andra fora, som t.ex. Reddit, har redan skrotat registreringsemailen.

Dessutom kan det räcka med att uppge kontaktuppgifter vid registreringen för att bränna din anonymitet, även om uppgifterna sedan "tas bort". Se vad jag skrev ovan om detta.

Ni behöver inte ta bort mailkravet för att det inte ska kunna gå att hacka.

Läs på OWASP. När man loggar in och anger ett felaktigt användarnamn eller lösenord så ska webbplatsen svara med ett allmänt meddelande som inte berättar om användarnamnet finns. FEL är alltså att ge feedback: "fel lösenord för användaren Segermarschen." RÄTT sätt är att alltid säga: "fel användarnamn / lösenord," utan att ge en hint om huruvida användarnamnet finns.

Så gör samma sak med mailadresser!

Om mailen är registrerad och man skickar lösenordsåterställning, så ska man få exakt samma meddelande som när mailen inte är registrerad. Då kan de inte fiska mailadresser som i .Chloe.:s inlägg, om jag har förstått det rätt. Men det har jag säkert inte för om lösningen är så enkel så hade ni väl gjort det för länge sen.

Hmm... jag ser inte vad du ser för nackdel i mitt förslag i att komplettera med Nick för att att återställa lösenord (och inte få även Nicket skickat till epostadressen). Vi talar alltså om de fall där någon fått sin epost hackad. Och ja, tre gånger per dygn skulle funka utmärkt. Det skull krävas många decennier att brute-force hitta någons Nick med den begränsningen.

Det går säkert att förbättra säkerheten kring just felmeddelandena, men se vad jag skrev ovan om hackade mailservrar etc. Du kan aldrig gardera dig helt mot intrång.

Att kräva kontaktuppgifter vid registreringen är ett fundamentalt säkerhetshål i ett system som vill värna om användarnas anonymitet. Ska man behålla det säkerhetshålet av ren bekvämlighet ("tänk om jag inte klarar av att komma ihåg eller skriva upp mitt lösenord och förvara det på en säker plats") så bör detta åtminstone vara frivilligt så att de som verkligen vill vara anonyma kan vara säkra på att de får vara det, genom att slippa emailkravet.

Vilken läcka?

Problemet uppstår om någon du känner misstänker att du är en viss användare och vill få det bekräftat (ett inte helt osannolikt scenario). Då räcker det att uppge det misstänkta nicket och din emailadress vid en begäran av nytt lösenord. Kommer det inget felmeddelande vet personen att det var rätt nick.

Med det nuvarande systemet skickas bara ett nytt lösenord till adressen. Angriparen kan möjligen få bekräftat att du har ett nick på Flashback (inget felmeddelande) men inte om misstanken rörande nicket var korrekt.

Och i det här fallet behövs det ju bara ett försök, så max tre försök per dygn hjälper inte.