Kronikk

La oss være litt paranoide

  • Bjørn Stærk
    Bjørn Stærk
    Spaltist

Mange ville ikke latt husdøren stå oppe, men vokter ikke egen nettsikkerhet. I kronikkserien #nettsikker gir Bjørn Stærk leseren nøkkelen til å være sikrere på nett. Foto: Royalty-Free/Corbis

Bruk et passordverktøy, så du ikke har samme passord over alt. Og bruk «to-faktor» pålogging. Ellers er det som å legge nøkkelen under dørmatta.

Kronikk
Dette er en kronikk. Meninger i teksten står for skribentens regning.

Dette er fjerde del i en serie på fem artikler om nettsikkerhet.

Del 1:

Les også

Du har kanskje mer å frykte fra en bitter ekskjæreste enn fra etterretningsagenter

Del 2:

Les også

Hvorfor kryptering er viktig for deg

Del 3:

Les også

Anonymitet og Tor

Del 5:

Les også

Tror du du blir overvåketav vannkokeren din?

Heartbleed-feilen som rammet internett nylig var alvorlig fordi den lot hackere stjele passord og annen viktig informasjon fra noen av de viktigste tjenestene på nettet.

Det var ille. Det som gjorde det ekstra ille er at hackerne kjenner til din mørke hemmelighet: At du bruker det samme passordet overalt.

Det betyr at hvis noen stjal passordet ditt fra Yahoo, Flickr eller OKCupid i løpet av de timene dette var mulig, kan de nå logge inn på alle andre steder hvor du bruker det samme passordet. De behøver bare å gjette brukernavnet. Det er lett.

Alt rakner

Å bruke et passord flere steder er dumt også når det ikke oppstår katastrofale feil som Heartbleed. La oss si at du bruker det samme passordet hos Amazon og Google. Det er normalt ikke så farlig. De vet hva de driver med. De har råd til å ansette verdens smarteste sikkerhetsfolk. Passordet ditt ligger ganske trygt.

En liten nettbutikk har ikke råd til verdens smarteste sikkerhetsfolkMen så bruker du det også på en liten nettbutikk. De har ikke råd til verdens smarteste sikkerhetsfolk. De har ikke en gang råd til normalt kompetente sikkerhetsfolk. De har bare råd til å leie inn nevøen til eieren et par dager etter skoletid. Og nevøen til eieren vet ikke hva han driver med.

En hacker angriper nettbutikken, henter ut passordet ditt, og prøver om det fungerer hos e-postleverandøren din også.

Dermed rakner alt . For hva skjer når du registrerer deg på et nettsted? Jo, da får du en bekreftelse på e-post. Angriperen din vet nå om alle nettstedene du bruker, og kan logge inn overalt. Men ikke skyld på den stakkars nevøen. Dette er din egen feil.

Passordverktøy

Bruk heller et passordverktøy, som KeePass, som lager et nytt og vanskelig passord for alle nettstedene du bruker, og husker dem for deg. Da trenger du bare å huske passordet til passordverktøyet, og da kan du legge ekstra innsats i å sørge for at dette er et godt passord.

Et godt passord inneholder mye informasjon. Dette har ikke bare med lengden å gjøre. Det har med hvor mye av passordet som er informasjon, og hvor mye som bare er fyllmasse. Desto lengre og mer tilfeldig, desto mer informasjon. Et tips er å sette sammen flere tilfeldige ord i en meningsløs setning. Men det er viktig at de er tilfeldige. Bla litt i en ordbok.

Når du bruker et passordverktøy, ta backup av passord-fila. Hvis du trenger passordene på flere maskiner kan du vurdere å legge fila i Dropbox, eller en lignende tjeneste som automatisk kopierer filene til alle maskinene du bruker.

Omfavn den moderate paranoiaen

Er det egentlig lurt å legge passord i Dropbox? Hvis du nettopp stilte deg selv det spørsmålet kan du klappe deg selv på skulderen. Sikkerhet er ikke et verktøy, men en måte å tenke på, en slags moderat paranoia, hvor du hele tiden spør deg selv hva som kan gå galt. Omfavn den moderate paranoiaen.

Så la oss være litt paranoide. Passordfila til KeePass er kryptert. Det er nettforbindelsen til Dropbox også. Men kryptering kan knekkes, kanskje i dag, kanskje i morgen, eller kanskje om noen år. Fila er tilgjengelig for de ansatte hos Dropbox, og for NSA hvis de ber om den. Men den letteste måten å stjele fila på er ikke fra serveren hos Dropbox, men direkte fra en av maskinene dine.

Sikkerhet er ikke et verktøy, men en måte å tenke på, en slags moderat paranoiaOg hvis noen klarer å åpne passordfila er det neppe fordi de har klart å knekke algoritmen den er kryptert med. Det er nok heller fordi du har valgt et passord som er lett å gjette, så som «12345678», «qwerty», eller fødselsdatoen din, eller fordi du har skrevet det ned på en lapp. Og hvis noen virkelig vil vite passordet ditt, har de allerede brutt seg inn i maskinen din, og installert en tastatursniffer som fanger opp hvert tastetrykk du gjør. Da hjelper det ikke hvor godt du lagrer passordene.

Det er altså litt mindre sikkert å legge passordfila i Dropbox, men ikke veldig. Det er praktisk. Sikkerhet er tungvint, så bruk kreftene der du får mest igjen for dem. Og en av tingene du får mest igjen for er å bruke et passordverktøy, slik at du ikke har det samme enkle passordet overalt.

Et annet populært passordverktøy er LastPass, som er kommersielt men har en gratisversjon, og tar seg av kopieringen mellom ulike datamaskiner.

To-faktor pålogging

Men det finnes noe som er enda viktigere enn å ha forskjellige passord over alt, og er lettere å gjøre. Det er å bruke «to-faktor pålogging» på nettsteder hvor dette er mulig.

«To-faktor» betyr bare at det er to ting du må ha for å logge inn. Det betyr at det ikke er nok med passordet ditt. Du må også fylle inn en ekstra kode, som du for eksempel får på SMS. Dermed er det ikke nok for angriperen å gjette passordet ditt. De må også ha tilgang til mobiltelefonen din.

Nettbanker og offentlige nettjenester bruker to-faktor pålogging. Men det kan også andre viktige tjenester gjøre, som Google, Facebook og Dropbox. Du behøver bare å gå inn i innstillingene og skru det på. Men de kaller det forskjellige ting, så følg denne guiden hvis du ikke finner fram.

Du behøver som regel bare å oppgi den ekstra koden den første gangen du logger inn fra en maskin, så det er ikke tungvint heller. Den eneste ulempen er at du blir avhengig av mobiltelefonen din. Det er på samme måte som du blir stengt ute av hjemmet ditt hvis du mister nøklene: Det er fremdeles verdt å låse døra.

I morgen: Filkryptering. I mellomtiden, skru på to-faktor pålogging for de viktigste brukerkontoene dine. For eksempel med en gang. Og installer et passordverktøy.

Tag: #nettsikker

Les flere artikler av Bjørn Stærk på essays.bearstrong.net.

Les mer om

  1. Kronikk

Relevante artikler

  1. DIGITAL

    Unngå hackerne med disse fem triksene

  2. DIGITAL

    Unngå hackerne med disse fem triksene

  3. KULTUR

    Enkel guide: Fem grep for et bekymringsfritt liv på nett

  4. A-MAGASINET

    «Hei, det er fra Norsk Tipping. Nå spiller du for mye»

  5. KULTUR

    Test av 38 brettspill: Fire av dem får toppkarakter

  6. KRONIKK

    Kronikk: For palestinerne i Øst-Jerusalem oppleves det som at deres liv og fremtid er mindre verdt