Jo, du må bytte passord, men du må sjekke dette først
DinSide Vårt søsternettsted digi.no meldte i går om at et alvorlig sikkerhetshull er avdekket i OpenSSL og at en oppdatering som tetter hullet er sluppet. Sikkerhetshullet er døpt Heartbleed.
OpenSSL er et såkalt kryptobibliotek, som benyttes av svært mange nettjenester for å sørge for at kommunikasjonen mellom din PC og nettjenesten blir kryptert, slik at den ikke kan avlyttes av andre.
Eksistert i to år
Sikkerhetshullet har vært der i to år og har gjort det mulig for «alle» å lese minnet til systemer som benytter seg av OpenSSL. Dermed kan uvedkommende få tak i nøklene som brukes til krypteringen, og da potensielt avlytte trafikken og dermed snappe opp sensitiv info, passord og den slags.
Like ille er det at dette kan gjøres uten å legge igjen noen spor – nettstedene har derfor i liten grad mulighet til å finne ut hvorvidt data har blitt tappet eller ikke.
Om noen har utnyttet sikkerhetshullet før det ble kjent denne uka er imidlertid usikkert.
Spør du oss, er det bedre å være føre var og anta at uvedkommede kan ha fanget opp dine opplysninger. Særlig nå som sikkerhetshullet er blitt kjent.
Hvilke nettsteder er rammet?
Mashable har gjort en solid jobb i å kontakte mange av verdens største nettaktører for en kommentar på hvorvidt de har hatt dette sikkerhetshullet, og listen over affiserte nettsteder er lang og inkluderer både Google, Yahoo, Dropbox og flere til.
Passordtjenetsen LastPass har et verktøy der du kan sjekke om nettstedet er rammet av sikkerhetshullet. Tjenesten har selv også brukt OpenSSL, men hevder ifølge Mashable at de også har implementert flere sikkerhetslag slik at de aktuelle nøklene ikke har vært mulig å fange opp.
Et annet verktøy for å sjekke er denne nettsiden:
Må du bytte passord?
Men bør du bytte passord nå? Ja, på tjenester som har tettet sikkerhetshullet bør du definitivt bytte passordet du hadde der, siden det kan ha blitt snappet opp av andre. En av disse er for eksempel Telenor, som ifølge Aftenposten skal ha tettet hullet nå.
Men hva med tjenester som ikke har tettet sikkerhetshullet ennå? Hackere er nå sikkert i full gang med å utnytte sikkerhetshullet hos nettjenester som ikke har lappet det ennå, så å bytte passordet før det er tettet har begrenset nytte, siden det nye passordet fortsatt kan snappes opp.
Husk også at det er mange mindre aktører som muligens aldri kommer til å tette dette hullet.
Dog vil vi anbefale deg å bytte passordet dersom du også bruker det samme på andre nettjenester.
Bruk unike passord
For – det er det som er det kritiske her. Mange nettbrukere bruker det samme passordet overalt (eller varierer mellom en håndfull passord), så har uvedkommende fått tak i passordet ett sted, er det fritt frem å prøve brukernavn/passord-kombinasjonen andre steder.
Hva med deg? Bruker du Facebook-passordet ditt kun på Facebook, eller bruker du det også andre steder? PayPal-passordet? Google-passordet? Amazon? App store?
Skal du være godt sikret på nett, bør du ha unike passord for hvert nettsted du ferdes på. Én mulighet er å bruke en passordtjeneste som LastPass, Keepass, 1Password eller lignende. Da logger du på med ett hovedpassord (som du selvsagt lager ekstra langt og vanskelig), og så kan du generere unike passord for hver tjeneste du bruker, der tjenesten også kan fylle dem ut i passordfelt så lenge du har logget deg på i nettleseren.
Det er selvsagt en formidabel jobb til å begynne med, men selv hadde jeg aldri klart meg uten, med unike passord hos over 400 nettsteder lagret i Lastpass-hvelvet mitt. Når du er oppe og kjøre er det ikke store anstrengelsene som skal til.
>> GUIDE: Unike passord overalt med Lastpass
Forståelig nok er mange skeptiske til slike tjenester, for hva om de ble hacket, eller om noen fanget opp hovedpassordet ditt?
Her er derfor også noen andre forslag til hvordan du kan gå frem for å ha unike passord på hvert nettsted:
Stamme + endring
Her kan vi tenke oss at du har en stamme som du gjenbruker overalt. La oss si at denne er kaos3kfa4. Deretter lager du deg en “funksjon” som manipulerer denne, basert på nettjenesten du skal bruke.
Eksempelvis kan du legge til første bokstav i nettjenesten bakerst og siste bokstav først. Antall vokaler i tjenestenavnet kan for eksempel legges til det ene sifferet, mens det andre økes med antall bokstaver mellom de to i alfabetet.
Dermed får vi f.eks. kkaos7kfa9f for Facebook (k, f, fire vokaler, 5 bokstaver fra f til k) og rkaos5kfa6t for Twitter (r, t, to vokaler, to bokstaver fra r til t).
Stammen og funksjonen må du selvsagt finne på selv.
Passordkort
Synes du det blir litt slitsomt å lage passordene på denne måten, finnes også tjenester som Passwordcard, som lar deg skrive ut et kort som du kan ha i lommeboka og som du kan bruke for å lage og finne passordene på en ganske snedig måte. Les mer om tjenesten bak lenka du nettopp passerte.
Fri assosiering
Hva tenker du på når du hører Twitter? Fuglekvitter? Duer? Hva tenker du på når du hører duer – fuglebæsj på statuer? Kanskje kan Twitter-passordet bare være DuerBæsjerPåStatuer? Det inneholder riktignok ingen sifre eller spesialtegn, men er allikevel langt og vanskelig å finne. Vi har skrevet litt om denne typen passord tidligere.
Har du noen snedige metoder du bruker for å lage unike passord, hører vi gjerne fra deg i kommentarfeltet.
Ekstra sikkerhet med tofaktorautentisering
Stadig flere nettjenester tilbyr såkalt tofaktorautentisering. Dette fungerer på samme måte som i norske nettbanker, der du i tillegg til et passord også er nødt til å være i besittelse av en kodegenerator eller en mobiltelefon som mottar en engangskode for å logge inn.
Både Google, Dropbox, LastPass med flere støtter dette, og da holder det ikke for uvedkommende å kjenne brukernavnet og passordet ditt – for å logge inn fra en ny maskin er de også nødt til å være i besittelse av enheten som står for engangskodene.
På nettstedet Twofactorauth.org får du en oversikt over hvilke tjenester som støtter tofaktorautentisering.
Kanskje bør derfor bytting av nettpassord være på TODO-listen denne helgen.
Det kan være greit å gjøre uansett; Heartbleed eller ikke.
No comments yet.
Leave a comment
| M | T | W | T | F | S | S |
|---|---|---|---|---|---|---|
| « Oct | ||||||
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Recent Posts
- -Dårlig skjult forsøk på å selge inn oljevirksomhet
- Thoresen med to da Storhamar slo Lørenskog
- Ronaldo ble matchvinner for Real
- Tverrligger, stang, og så ut på Alfheim: – 1-1! Nei? Hva skjer?
- Sekundet etter spøken innså han hva han hadde sagt og gjemte seg under jakka: – Virkelig smakløst
- Skal ha truet med å ruinere Bond-stjerna da hun sa nei til sex
- Vil chippe idrettsutøvere for å stoppe doping
- DIREKTE: Liverpool med gigantiske sjanser: – En helt vanvittig redning
- Politiet håper å kunne avhøre de overlevende etter ulykken i Seljord
- Skader gir Conte hodebry
Recent Comments
Archives
- October 2017
- August 2017
- July 2017
- June 2017
- May 2017
- April 2017
- March 2017
- February 2017
- January 2017
- December 2016
- November 2016
- October 2016
- September 2016
- December 2015
- September 2015
- August 2015
- July 2015
- June 2015
- May 2015
- April 2015
- March 2015
- February 2015
- January 2015
- December 2014
- November 2014
- October 2014
- September 2014
- August 2014
- July 2014
- June 2014
- May 2014
- April 2014
- March 2014
- February 2014
- January 2014
- December 2013
- November 2013
- October 2013
- September 2013
- August 2013