Per Hellqvist om IT-säkerhet och sånt

Någon har lyckats snappa upp lösenordsdatabasen från “enstorsajt” och publicerat dem på webben. Många sitter nu och försöker knäcka lösenorden och det verkar som om de lyckas med enormt många.

Så vaddå? Jo, “enstorsajt” är för många ett ställe där man sköter om sitt professionella nätverk. Inget vidare om fel personer kommer in i din profil med andra ord.

Så vad göra? Enkelt  – Byt lösenordet direkt.

Det förekommer olika webbprojekt där du kan testa om ditt lösenord är ett av de som nu ligger ute på vift och andra som talar om ifall ditt lösenord är “säkert” i största allmänhet. Det är bara att skriva in lösenordet så får du svar direkt. Bra? Näpp! En sån tjänst är en så kallad björntjänst. Oavsett vad tjänsten svarar bör du byta lösenord direkt.

Dessutom finns risken att du bidrar till att göra dina egna “superdupersäkra” lösenord helt verkningslösa genom att skriva in dem på sajter som dessa. Vad sajten kan göra är att de tar dina lösenord och hashen av dem och lägger in dem i databaser. Sen är de så att säga färdigknäckta nästa gång någon sajt hackas… Så igen – Skriv bara in lösenordet på tjänsten den tillhör.

Åter till “enstorsajt”. Det visar sig när man tittar efter att “enstorsite” visserligen använder SHA-1 (bra, men SHA-1 har problem), men man har inte saltat lösenorden… Det gör dem lättknäckta. Min högst personliga åsikt om detta är; “hurinnihelvetekanensånstorsajtslarvasåmedsäkerheten!?”. Det verkar gång på gång som om sajter måste hackas för att de ska ta itu med säkerheten. Istället för att ta itu med dem när man bygger upp sajten, eller när någon annan hackats, verkar man bara ducka, vänta på att stormen ska blåsa över och sen andas ut tacksamma för att man inte var den som drabbades.

Användarinformation (därtill räknas lösenord) är det viktigaste sajter har att handskas med. Det måste skyddas ordentligt.

Eftersom man inte saltat lösenorden låg den enda egentliga säkerheten i att ingen skulle kunna komma åt databasen. Vilket nu skett. #fail…

Det där med lösenord är ett gissel. Jag vet. Jag har ett par… Men vissa saker är bara att acceptera. Vi lägger mer och mer av våra liv på nätet och det är såklart viktigt att skydda det. Ni som använder Norton har ett instickprogram i webbläsaren. Den sparar dina lösenord åt dig och hjälper dig med inloggningarna. Ni andra kanske kan använda t ex Password Safe eller något annat välkänt program för att hantera lösenord. På så sätt kan du använda enormt komplexa lösenord på alla tjänster, men du behöver bara komma ihåg ett av dem.

En sidoparentes är att det faktiskt nu är viktigare än någonsin att hantera lösenorden på rätt sätt. I och med alla plattor och smarta mobiler så loggar vi in på tjänster från en massa olika appar och prylar. Samtliga sparar och hanterar dina lösenord på mer eller mindre bra sätt. Appar skickar förmodligen allt i klartext (man kan bara hoppas att bank-appar är säkra..), vilket innebär att du skickar all info (inklusive lösenord) i klartext när du kopplar upp dig till det där gratisnätverket du hittade när du kom till hotellet eller satte dig på cafeet.
Paradoxalt (eller självklart) nog minskar viljan att byta lösenord ju mer krånglet att göra det ökar. Och just nu är det  fler ställen man måste komma ihåg att byta lösenordet på än någonsin tidigare, vilket naturligt orsakar att viljan och orken minskar. Vilket får till följd att din information är mer sårbar än någonsin. Japp japp…

Vi kan nog dessutom räkna med att det inom kort kommer dyka upp förfalskade mejl som ser ut att komma från “enstorsajt” där man ber dig klicka på diverse länkar och uppdatera din information. Gör aldrig det. Gå direkt till sajten som du alltid gör och se efter där om det är något du behöver göra. Klicka aldrig på länkar i mejlen.

Så vad väntar du på? Byt ett par lösenord redan idag :-)

 

Taggar: Allmänt, Autenticering, Intrång, Jobbigt, Korkat, Kryptering

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.