Elisan ja Welhon webmaileissa outo ominaisuus - Salasanan perään voi kirjoittaa mitä vain

Esimerkiksi jos salasanasi olisi "Salasana1", pääsisit palveluusi kuitenkin sisälle kirjoittamalla vaikkapa "Salasana12345". Palvelut eivät siis tunnista varsinaisten salasanojen perään kirjoitettuja merkkejä.

Tietoturvauhkaa tilanne ei kuitenkaan aiheuta, sillä käyttäjätunnuksen ja varsinaisen salasanan on oltava oikein, jotta palveluun pääsee sisälle.

Elisa: Korjaus on tulossa

Elisan mukaan kyseinen tilanne on ollut yhtiön tiedossa.

- Salasanan esittämistapa on hassu ja korjaus on työlistalla. Asia ei ole kuitenkaan ollut kiireellinen, koska se ei muodosta tietoturvauhkaa, toteaa Elisan liittymäliiketoiminnasta vastaava Panu Lehti.

Lehti ei osaa arvioida, milloin Elisan kirjautumiseen tehdään korjaava päivitys.

Welho: Tilanne liittyy aiempaan salasanakäytäntöön

Tiedotuspäällikkö Riitta Luhtala kertoo, että Welhon tapauksessa ominaisuus liittyy yhtiön aiempaan salasanakäytäntöön.

Welho muutti sähköpostin salasanakäytäntöään vuoden 2008 lopulla. Salasanan maksimipituus oli aiemmin 8 merkkiä, ja uudistuksen jälkeen salasanan pituus voi olla maksimissaan 32 merkkiä. Muutosvaiheessa olemassa olevat käyttäjien salasanat jätettiin voimaan, eikä järjestelmä pakota käyttäjiä vaihtamaan salasanoja.

Näiden vanhojen salasanojen kohdalla järjestelmä pystyy lukemaan vain 8 merkkiä, eikä tunnista sen jälkeen kirjoitettuja merkkejä. Welhon tapauksessa tilanne koskee siis vain niitä salasanoja, joita ei ole vaihdettu vuoden 2008 lopun jälkeen.

Myös Welholta todetaan, että uuteen käytäntöön siirtyminen ei ole heikentänyt asiakkaiden tietoturvaa: Kukaan ei pääse kirjautumaan sisään, ellei tiedä asiakkaan salasanaa. Yhtiö pyrkii kuitenkin aktivoimaan niitä asiakkaitaan, joilla vielä on vanhan käytännön mukainen salasana vaihtamaan salasanansa uuteen.