La oss være litt paranoide
Bruk et passordverktøy, så du ikke har samme passord over alt. Og bruk «to-faktor» pålogging. Ellers er det som å legge nøkkelen under dørmatta.
Dette er fjerde del i en serie på fem artikler om nettsikkerhet.
Del 1:
Del 2:
Del 3:
Del 5:
Heartbleed-feilen som rammet internett nylig var alvorlig fordi den lot hackere stjele passord og annen viktig informasjon fra noen av de viktigste tjenestene på nettet.
Det var ille. Det som gjorde det ekstra ille er at hackerne kjenner til din mørke hemmelighet: At du bruker det samme passordet overalt.
Det betyr at hvis noen stjal passordet ditt fra Yahoo, Flickr eller OKCupid i løpet av de timene dette var mulig, kan de nå logge inn på alle andre steder hvor du bruker det samme passordet. De behøver bare å gjette brukernavnet. Det er lett.
Alt rakner
Å bruke et passord flere steder er dumt også når det ikke oppstår katastrofale feil som Heartbleed. La oss si at du bruker det samme passordet hos Amazon og Google. Det er normalt ikke så farlig. De vet hva de driver med. De har råd til å ansette verdens smarteste sikkerhetsfolk. Passordet ditt ligger ganske trygt.
En liten nettbutikk har ikke råd til verdens smarteste sikkerhetsfolkMen så bruker du det også på en liten nettbutikk. De har ikke råd til verdens smarteste sikkerhetsfolk. De har ikke en gang råd til normalt kompetente sikkerhetsfolk. De har bare råd til å leie inn nevøen til eieren et par dager etter skoletid. Og nevøen til eieren vet ikke hva han driver med.
En hacker angriper nettbutikken, henter ut passordet ditt, og prøver om det fungerer hos e-postleverandøren din også.
Dermed rakner alt . For hva skjer når du registrerer deg på et nettsted? Jo, da får du en bekreftelse på e-post. Angriperen din vet nå om alle nettstedene du bruker, og kan logge inn overalt. Men ikke skyld på den stakkars nevøen. Dette er din egen feil.
Passordverktøy
Bruk heller et passordverktøy, som KeePass, som lager et nytt og vanskelig passord for alle nettstedene du bruker, og husker dem for deg. Da trenger du bare å huske passordet til passordverktøyet, og da kan du legge ekstra innsats i å sørge for at dette er et godt passord.
Et godt passord inneholder mye informasjon. Dette har ikke bare med lengden å gjøre. Det har med hvor mye av passordet som er informasjon, og hvor mye som bare er fyllmasse. Desto lengre og mer tilfeldig, desto mer informasjon. Et tips er å sette sammen flere tilfeldige ord i en meningsløs setning. Men det er viktig at de er tilfeldige. Bla litt i en ordbok.
Når du bruker et passordverktøy, ta backup av passord-fila. Hvis du trenger passordene på flere maskiner kan du vurdere å legge fila i Dropbox, eller en lignende tjeneste som automatisk kopierer filene til alle maskinene du bruker.
Omfavn den moderate paranoiaen
Er det egentlig lurt å legge passord i Dropbox? Hvis du nettopp stilte deg selv det spørsmålet kan du klappe deg selv på skulderen. Sikkerhet er ikke et verktøy, men en måte å tenke på, en slags moderat paranoia, hvor du hele tiden spør deg selv hva som kan gå galt. Omfavn den moderate paranoiaen.
Så la oss være litt paranoide. Passordfila til KeePass er kryptert. Det er nettforbindelsen til Dropbox også. Men kryptering kan knekkes, kanskje i dag, kanskje i morgen, eller kanskje om noen år. Fila er tilgjengelig for de ansatte hos Dropbox, og for NSA hvis de ber om den. Men den letteste måten å stjele fila på er ikke fra serveren hos Dropbox, men direkte fra en av maskinene dine.
Sikkerhet er ikke et verktøy, men en måte å tenke på, en slags moderat paranoiaOg hvis noen klarer å åpne passordfila er det neppe fordi de har klart å knekke algoritmen den er kryptert med. Det er nok heller fordi du har valgt et passord som er lett å gjette, så som «12345678», «qwerty», eller fødselsdatoen din, eller fordi du har skrevet det ned på en lapp. Og hvis noen virkelig vil vite passordet ditt, har de allerede brutt seg inn i maskinen din, og installert en tastatursniffer som fanger opp hvert tastetrykk du gjør. Da hjelper det ikke hvor godt du lagrer passordene.
Det er altså litt mindre sikkert å legge passordfila i Dropbox, men ikke veldig. Det er praktisk. Sikkerhet er tungvint, så bruk kreftene der du får mest igjen for dem. Og en av tingene du får mest igjen for er å bruke et passordverktøy, slik at du ikke har det samme enkle passordet overalt.
Et annet populært passordverktøy er LastPass, som er kommersielt men har en gratisversjon, og tar seg av kopieringen mellom ulike datamaskiner.
To-faktor pålogging
Men det finnes noe som er enda viktigere enn å ha forskjellige passord over alt, og er lettere å gjøre. Det er å bruke «to-faktor pålogging» på nettsteder hvor dette er mulig.
«To-faktor» betyr bare at det er to ting du må ha for å logge inn. Det betyr at det ikke er nok med passordet ditt. Du må også fylle inn en ekstra kode, som du for eksempel får på SMS. Dermed er det ikke nok for angriperen å gjette passordet ditt. De må også ha tilgang til mobiltelefonen din.
Nettbanker og offentlige nettjenester bruker to-faktor pålogging. Men det kan også andre viktige tjenester gjøre, som Google, Facebook og Dropbox. Du behøver bare å gå inn i innstillingene og skru det på. Men de kaller det forskjellige ting, så følg denne guiden hvis du ikke finner fram.
Du behøver som regel bare å oppgi den ekstra koden den første gangen du logger inn fra en maskin, så det er ikke tungvint heller. Den eneste ulempen er at du blir avhengig av mobiltelefonen din. Det er på samme måte som du blir stengt ute av hjemmet ditt hvis du mister nøklene: Det er fremdeles verdt å låse døra.
I morgen: Filkryptering. I mellomtiden, skru på to-faktor pålogging for de viktigste brukerkontoene dine. For eksempel med en gang. Og installer et passordverktøy.
Tag: #nettsikker
Les flere artikler av Bjørn Stærk på essays.bearstrong.net.
