Com Hem, en av Sveriges största leverantörer av bredband och andra kommunikationstjänster, skickar kundernas lösenord i klartext i ett mejl. Meddelandet skickas dels när en kund tecknat ett nytt abonnemang, dels när en kund begär ett nytt lösenord om det gamla förlorats.

Lösenordet i fråga går till kundernas portal för självbetjäning, Mina Sidor. Att skicka lösenord i klartext i ett okrypterat mejl anses allmänt som undermålig säkerhet.

Samtidigt uppmanar Com Hem till sina kunder att vara rädda om sina lösenord.

”Var rädd om din användaridentitet och ditt lösenord! Dessa är personliga och ska användas med försiktighet. Det är du som ansvarar för aktiviteter som sker med denna identitet och lösen”, skriver företaget till sina kunder.

Missa inte Sveriges viktigaste IT-säkerhetsevent, Next Generation Threats

Säkerhetsmedvetna kunder har hört av sig till Com Hem och påpekat den bristande säkerheten. ”Man brukar skicka en länk där medlemmen får ange ett nytt lösenord. Man bör aldrig skicka ett lösenord i klartext! Sparar ni lösenordet i klartext också och skyller på mig sen om det blir säkerhetsproblem? Ska man skratta eller gråta åt denna 'säkerhetsaspekt'”, skriver en upprörd kund i ett mejl till Com Hem som Techworld tagit del av.

Com Hem försvarar dock sin metod.

– Det stämmer att kunder som ber om ett nytt lösenord kan få ett tillfälligt lösenord utskickat per mejl. I det fallet har vi som rutin att användarnamn inte ska anges i samma mejl, för att säkerställa att det inte ska gå att koppla lösenordet till användaren. Det handlar om tillfälliga autogenererade lösenord som det är meningen att kunden ska byta så fort som möjligt, säger Joel Ibson, kommunikationschef på Tele2 som äger Com Hem.

Det normala är väl att skicka en länk till en sida där man kan återställa lösenordet?

– Det finns flera varianter. Men den största risken för att någon obehörig ska kunna komma över kundens lösenord är att kunden fått sitt e-postkonto hackat, och då spelar det mindre roll om vi skickar en länk istället för ett lösenord, säger Joel Ibson.

Kommer ni fortsätta skicka lösenord i klartext?

– Som det ser ut nu är det den rutin vi har, men det är möjligt att vi kommer se över detta framöver, säger Joel Ibson.

Han påpekar också att kunderna kan använda Bank-id, vilket naturligtvis är att föredra.

– I den bästa av världar använder alla lösningar som Bank-id istället för lösenord, men dit har vi tyvärr inte kommit än säger Joel Ibson.

Ytterligare en märklig detalj i förfarandet är att själva mejlet med lösenordet inte ser ut att komma från Com Hem eftersom avsändaradressen är comhem@dcp.se. Det gör att man som mottagare lätt kan få för sig att det rör sig om nätfiske.

– Jag håller med om att det inte är optimalt, även om det har sin förklaring. Vi jobbar med KGM Datadistribution och det är de som distribuerar lösenordet. Vi håller dock på att se över en lösning där vi ska kunna arbeta med en tydligare Com Hem-adress som avsändare, säger Joel Ibson.

Läs också: Därför går Tele2 och Com Hem ihop – ”ökar pressen på Telia”