Pas på med at opbevare eller sende passwords i klartekst

Dato: 19-01-2024

Datatilsynet bliver af og til bekendt med situationer, hvor dataansvarlige opbevarer eller transmitterer f.eks. kunders passwords i klartekst.

Opbevaring og transmittering af passwords i klartekst øger risikoen for, at passwords kan misbruges, hvis de kommer til uvedkommendes kendskab. Det kan eksempelvis ske, hvis den dataansvarlige bliver ramt af et hackerangreb, hvor uvedkommende får adgang til passwords, eller hvis en e-mail med et password i klartekst bliver transmitteret usikkert.

Hvis du som dataansvarlig skal sikre dig mod, at passwords kommer til uvedkommendes kendskab, skal du ikke lagre passwords i klartekst. Hvis du lagrer passwords, skal du sørge for at anvende en anerkendt hash-funktion, som på baggrund af et password og en salt-værdi danner en unik værdi, som passwordet kan opbevares som, idet tilføjelsen af en salt-værdi bl.a. medfører, at to eller flere ens passwords ikke vil have samme hash-værdi i databasen.

Herudover skal du indrette dine procedurer og arbejdsgange på en måde, så et oprindeligt eller midlertidigt password ikke kan blive transmitteret usikkert via internettet i klartekst, f.eks. hvis en kunde vil nulstille sit kodeord til en webshop.