Beskytter du login til din webshop godt nok?

Beskyttelsen af de oplysninger, en webshop gemmer om sine kunder, bliver vigtigere og vigtigere, både på grund af skærpede krav til beskyttelsen, skærpede bøder for ikke at beskytte data godt nok og den negative omtale, der følger med et konstateret sikkerhedsbrud.

Adgangen til virksomhedens systemer er i den forbindelse helt central. På den ene side skal autoriserede brugere kunne få adgang, og på den anden side er det afgørende at sikre, at uautoriserede brugere ikke får adgang.

Enhver webshop må derfor bl.a. være opmærksom på sikkerheden omkring webshoppens login-system og minimere risikoen for uautoriserede personers adgang til virksomhedens systemer og data. Som et bidrag hertil har Datatilsynet netop udsendt en vejledning til, hvad man skal være opmærksom på, og hvordan man kan beskytte ens logins.

Datatilsynet fokuserer i vejledningen især på problemer med de såkaldte Brute-Force-angreb, hvor en uautoriseret person prøver samtlige kombinationer af et login, indtil en adgangsgivende kombination rammes. I forhold til denne problemstilling peger Datatilsynet især på to områder, hvor man kan sætte ind for at begrænse risikoen for et sådant angreb:

• Man kan begrænse de steder, hvorfra der kan udføres Brute-Force-angreb på login, f.eks. ved at sikre, at adgang kun kan opnås fra bestemte fysiske lokaliteter, fra bestemte enheder, eller fra bestemte ip-adresser
• Man kan vanskeliggøre Brute-Force-angreb ved f.eks. at stille højere krav til login-koderne, ved at begrænse antallet af mislykkede login-forsøg inden adgangen spærres eller nye forsøg forsinkes, og ved at implementere løsninger som f.eks. Captcha, der i et vist omfang kan genkende og hindre automatiserede forsøg på login

Datatilsynet har i øvrigt også udgivet en række tilsvarende vejledninger både om andre problemstillinger i forhold til logins og andre persondataretlige problemstillinger. Se alle vejledninger.