Kryptering ingen universallösning

5 oktober, 2015 Av Joakim Feldt - Kommentarer (2)

Säkerhet är svårt. Det verkar gälla både för användare och för de som sköter olika webbsidor. Som användare går det bara att skydda sig till en viss gräns – om en sajt som man använder sig av hackas så kan man inte göra så mycket mer än att be till gudarna att de i alla fall krypterat lösenorden och kreditkortsnumren (speciellt CVC-koden), och i bästa fall inte ens sparat kreditkortsnumren över huvud taget. Att skydda sig mot sådant är svårt, då det sällan eller aldrig går att avgöra på förhand hur pass seriösa olika sajter är vad gäller säkerhet.

Det är lätt att tro att det mest är mindre seriösa sajter som slarvar med säkerheten. När otrohets-sajten Ashley Madison drabbades av ett enormt datorintrång för några månader senare var det inte så många som blev förvånade över den låga nivån på säkerheten. Krypteringen som användes för lösenorden var högst bristfällig; av 30+ miljoner konton som Ashley Madison hade påverkades ungefär hälften av ett programmeringsfel som gjorde krypteringen enkel att knäcka. Ashley Madison, liksom olika porrsajter, är inte sajter som förknippas med säkerhet. Men frågan är hur pass mycket säkrare ”seriösa” företag är.

Sakerhet bild 1 fixed

Även stora IT-företag fumlar

Ett tydligt exempel på att även stora och väletablerade IT-företag slarvar fick vi hösten 2013. Adobe utsattes för en attack som ledde till att 150 miljoner konton komprometterades. Till att börja med verkade det som om lösenorden, som var krypterade, var säkra. Till att börja med. Det framkom sedan relativt snabbt att krypteringen inte var optimal, och många av lösenorden kunde sedan snabbt knäckas. Det är en återkommande svaghet när det gäller drabbade sajter: lösenord är krypterade, men den kryptering som används är svag och går relativt snabbt att knäcka med moderna datorer.

Går det då egentligen att göra någonting för att skydda sig? Om det är det företag man använder sig av som felar, och felar grovt, är det svårt. Kommer hackers över ens kreditkortsnummer och CVC så kan de ställa till en del skada och då är det bara att vända sig till sin bank och berätta vad som hänt. Banker är överlag bra på att stoppa ”misstänkt aktivitet” och chansen är ganska god att de kommer att spärra ditt kort om det komprometterats. Detta är dock lite av ett ”worst case scenario” vilka är sällsynta.

Var paranoid!

Men det finns andra saker som man kan och bör göra så snabbt som möjligt. Om en sajt man registrerat sig hos drabbats av intrång så ska man direkt byta sitt lösenord. Ofta kommer företaget bakom sajten att tona ner hur pass allvarligt intrånget är och säga att det inte är någon direkt fara eftersom lösenorden är krypterade. Ett exempel inträffade i somras när Hemmakväll.se hackades och information om 50 000 konton läcktes: e-mail, adresser, namn, telefonnummer – och lösenord. Dessa var krypterade och Hemmakväll uppgav att krypteringen var stark, vilket långt ifrån alla höll med om, tvärtom. I ärlighetens namn så uppmanade dock Hemmakväll.se sina användare att byta lösenord, ”för säkerhets skull”.

Om det är så illa att man använder sig av samma lösenord på andra sajter så kommer man att behöva ändra även dem. Men det är definitivt ingenting som man ska göra; alla inlogg ska ha olika lösenord (extra viktigt för känsliga konton, som ens e-mail), någonting som många (de flesta?) ger upp efter ett tag: det är svårt att hålla 50 olika lösenord i huvudet. Det blir sedan inte lättare av att det är stor skillnad mellan dåliga och bra lösenord. Bra lösenord ser ut ungefär så här: 1Jk)Hw34786T/&35n?+GHT-&7y/(G´Yjs5dö och är i princip omöjliga att memorera. Att folk ger upp och återanvänder lösenord som även är betydligt enklare att memorera (och därmed knäcka) är inte så konstigt. Sedan blir det inte lättare av att lösenord också helst ska bytas ut med jämna mellanrum.

Sakerhet bild 2 fixed

Hur gör jag då? – Lösenordshantering och har du blivit hackad?

Den lösning som finns på problemet är att använda sig av en ”password manager”, ett program som hanterar ens olika lösenord och gör att man endast behöver komma ihåg ett (starkt) huvudlösenord. Det finns ett antal olika password managers att välja mellan, där exempelvis LastPass har gott rykte (i somras utsattes man för en attack som först såg allvarlig ut, men där det visade sig att den kryptering man använde sig av var stark, och riskerna för användarna minimal). Password managers är inte perfekta, men gör det lätt att skapa starka och unika lösenord till alla ens olika inlogg. Password managers finns i lite olika utföranden, både molnbaserade och desktopbaserade.

Slutligen så vill vi också informera om sajten ”‘;–have i been pwned?”. Den är inte helt heltäckande, eftersom långt ifrån alla hack blir offentliga, men den utgör ett enkelt sätt att se efter om ens inlogg, mail, lösenord och andra uppgifter komprometterats. Bara för att ens olika användarnamn och e-mailadresser inte listas på ”’;–have i been pwned?” betyder det inte att man är säker. Man kan aldrig vara nog paranoid när det gäller datorsäkerhet, och även om man aldrig kan vara 100 % skyddad så är det viktigt att göra de så svårt som möjligt för ljusskygga element att komma över ens känsliga uppgifter.

Arkiverad i: Tips & guider
Joakim Feldt

Joakim Feldt Skribent Joakim är Panangs skribent och nestor. Han skriver flytande och elegant på både svenska och engelska, och har en bakgrund inom såväl printmedia som programmering.

2 kommentarer till inlägget

  1. Kommentar av Marcus Olsson (5 oktober 2015 15:01):

    Finns ytterligare ett par knep för att skydda sig, utan att behöva förlita sig på externa lösenordshanterare;

    1) Använder man Gmail eller Google-apps baserad e-post så kan man enkelt använda e-postadresser likt ”email+site@gmail.com” där du helt enkelt sätter sajtnamnet efter plusset. Gör att du får en unik adress på varje sajt som man registrerar sig på. Gör så att någon eventuell hackare i.a.f. inte kan köra en existerande läcka rakt av.

    2) ”1Jk)Hw34786T/&35n?+GHT-&7y/(G´Yjs5dö” må vara ett väldigt säkert lösenord. Men lösenordet ”detta är fem slumpmässiga ord” är förmodligen lika säkert. Se xkcds klassiker ”correct horse battery staple” för exempel.

  2. Kommentar av Joakim Feldt (5 oktober 2015 15:43):

    Hej Marcus! Första punkten håller jag helt med om, teoretiskt borde vi ha en e-mailadress per inlogg. Bra trick för gmailanvändare! Vad gäller den andra så är det mer komplicerat.

    XKCDs ”correct horse battery staple” har ju kritiserats en del i och med att ”passphrases” som det heter på utrikiska inte är så säkra som längden antyder på grund av ”ordboksattacker, delvis eftersom vi har en tendens att använda oss av naturligt språk när vi skapar dem. ”Correct horse battery staple” är ju bra ur den synpunkten, men finns ju på mängder av listor med lösenord nuförtiden…

Posta en kommentar

Panangs Blogg

Undrar du, i likhet med tiotusentals (eller något sådant) andra, vad som händer här på vår kommunikationsbyrå i Falun? Fascineras du, liksom tusen och åter tusen (på ett ungefär) av vad vi gör, tycker och tänker om dagarna?


Då är Bloggen för dig. Här delar vi nämligen med oss av lite av det som händer på Panang, men vi stannar förstås inte där utan berättar också om hur det går för våra kunder, vad som sker i branschen och vart vi tror att den är på väg.


På det stora hela är det mest en plats för lite allt möjligt. Det gemensamma för varje text vi skriver är dock att vi älskar när ni läser, reagerar, kommenterar och diskuterar. Prata med oss. Vi lovar att svara.

  • Panang Kommunikation AB
  • /
  • Åsgatan 59,   791 70 Falun
  • /
  • info@panang.se
  • /
  • © 2017