Informationssäkerhet och det där med lösenord igen

Informationssäkerhet är ett område som det talas väldigt mycket om. Ofta kan ämnet upplevas som svårt och överväldigande och risken finns att det blir en “lyxfällanlösning” istället. Frågan hanteras genom att stoppa räkningen längst ner i högen.

Värre blir det av att trots att ämnet är svårt så blottas allvarliga sårbarheter även på sådana områden som faktiskt inte är svåra att åtgärda. Det gäller både privatpersoner och verksamheter. Som inlägget kommer att visa så behöver det inte vara så.

När du registrerar dig på  ett konto, en sida eller en tjänst online lagras dina uppgifter i en databas. En av de saker som databaser har gemensamt är att de förr eller senare kommer att drabbas av ett intrång eller en läcka, frågan är bara vilken av dem och när det kommer att ske.

Det låter kanske överdrivet och oroande, är det verkligen så? Överdrivet? Nej, gör bara att göra en enkel sökning på nätet för att se i vilken stor omfattning detta sker.  Är det oroande då? Ja, det beror faktiskt till stor del på dig själv om du ska oroa dig eller inte.

Vi använder oss alla av en mängd olika tjänster och applikationer som kräver lösenord och vi försöker hitta metoder för att komma ihåg dem alla. Problemet är att de lösningar som hjälper oss att komma ihåg våra lösenord också är samma faktorer som gör dem sårbara.

Två misstag som är väldigt vanligt förekommande är dels att lösenordet som används är för enkelt, dels att samma, eller nästan samma lösenord används som lösen för ett flertal tjänster, i värsta fall alla tjänster.

Att ett lösenord är enkelt för oss innebär att det även är enkelt för någon som vill försöka knäcka det. Om vi dessutom använder samma enkla lösenord till flera tjänster så har vår sårbarhet ökat avsevärt.

Lösningen är således att använda komplexa (långa) lösenord och att ha ett unikt lösenord till varje inloggning vi har. Enkelt eller hur? Faktiskt så är det hanterbart för alla men innan vi går in på lösningen bör behovet förklaras lite mer i detalj, vilken risk vi faktiskt tar med att inte följa råden ovan.

Ett enkelt lösenord tex Tomas123 kan med en sk bruteforce eller dictionary attack knäckas på någon sekund till några minuter, beroende på vilken datorkapacitet angriparen har. Förenklat går en bruteforce attack till på så sätt att alla kombinationer av tecken och siffror prövas tills det korrekta lösenordet hittas. I en dictionary attack används som namnet antyder en lista med ord som testas mot lösenordet. Det är skälet till att det är så viktigt att använda sig av komplexa och långa lösenord. Ett antal extra tecken i lösenordet förändrar tiden som krävs för att knäcka det från minuter till sekler.

Även om det såklart kan ske är det vanligtvis inte den formen av direkta angrepp man drabbas av på sitt enskilda konto. Risken ligger i ett senare steg.

När du registrerar ett lösenord lagras den inte på databasen som klartext utan krypteras via olika matematiska funktioner till en sträng som kallas för hash. Lösenordet Tomas123 skulle tex enligt funktionen sha-1 generera följande hashsträng: 78948078b964957c3e02750a223761dde5deea22

Det som händer när en databas blir angripen eller läcker är att dessa hashsträngar  blir tillgängliga för utomstående. Det kan röra sig om miljontals strängar och dessa kan användas av hackaren själv eller säljas vidare.

Strängen ovan ser ju väldigt komplicerad ut men problemet är att hackare har samlat på sig listor med miljontals hashar till olika varianter på lösenord. Hashen till Tomas123 ser alltid ut så som ovan så även om den ser komplicerad ut spelar det inte någon roll om den finns med i en lista, då går det fort att få fram lösenordet i klartext. Det finns såklart metoder att göra det svårare att hitta rätt lösenord tex genom sk “saltning”men principen med listor är densamma.

Just den databas som har blivit angripen där du eventuellt har ett konto kanske inte är så viktig för dig, du kanske inte ens minns att du hade ett konto där. Faran är dock att alla dina konton där du använder samma lösenord nu också öppnar sig och blir tillgängliga för en angripare. Ofta används dessutom samma e-postadress som användarnamn till ett flertal konton. E-postadresser är sällan okända och dessutom sökbara.

Enda sättet att minimera risken att få sitt lösenord knäckt och därmed riskera kanske ett flertal av dina konton  är som nämndes ovan är att använda komplexa och olika lösenord till alla dina inloggningar. Även om något lösenord ändå skulle knäckas är det enbart det kontot som blivit drabbat  Lösningen är att använda sig av en lösenordshanterare.

Det är en programvara där du samlar alla dina lösenord på ett ställe i en krypterad databas. Programvaran kan själv generera komplexa och unika lösenord som den fyller i själv på dina konton när du besöker dem, du behöver alltså inte ens veta vad du har för lösenord till någon av dina inloggningar. Det enda lösenord du behöver ha i minnet är lösenordet till din lösenordshanterare. Detta lösenord måste självklart också vara komplext och verkligen unikt, men det är också det enda du behöver känna till och komma ihåg.

Det finns varianter där du sparar databasen lokalt eller i molnet. Sparar du i molnet kan även olika enheter synkas så dina lösenord alltid är tillgängliga, dessutom är backupen säkrad. Att spara databasen lokalt är naturligtvis säkrare men då har du ett större ansvar själv, skulle den förloras är alla dina lösenord som du inte har en aning om vilka de är borta, då har du problem.

För dina viktigaste konton  rekommenderas användning av tvåfaktorsautentisering (TFA) eller multifaktorsautentisering (MFA). Det är system där två eller flera oberoende faktorer används för att verifiera användarens identitet, inte enbart lösenordet. Användningen av minst en ytterligare verifieringsfaktor hjälper till att skydda kontot även om lösenordet skulle bli stulen eller hackat. Vanliga ytterligare faktorer är fingeravtryck eller ansiktsigenkänning (biometri) eller en verifieringskod som skickas via SMS eller i en applikation.  Denna sistnämnda funktion med verifieringskod finns även i de flesta lösenordshanterare och bör föredras framför SMS.

Jag nämner inga specifika applikationer men sök på lösenordshanterare, läs recensioner och välj den som passar dig bäst. Det finns egentligen ingen ursäkt för att inte ha en god säkerhet på sina inloggningar, varken för privatpersoner eller verksamheter.

Under länken nedan kan du bla kontrollera om din e-postadress finns med bland några av de kända läckorna. Om ja är det definitivt läge att se över dina lösenord. Om inte, är det troligtvis det ändå.

Haveibeenpwned

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *