Kryptering ingen universallösning

Säkerhet är svårt. Det verkar gälla både för användare och för de som sköter olika webbsidor. Som användare går det bara att skydda sig till en viss gräns – om en sajt som man använder sig av hackas så kan man inte göra så mycket mer än att be till gudarna att de i alla fall krypterat lösenorden och kreditkortsnumren (speciellt CVC-koden), och i bästa fall inte ens sparat kreditkortsnumren över huvud taget. Att skydda sig mot sådant är svårt, då det sällan eller aldrig går att avgöra på förhand hur pass seriösa olika sajter är vad gäller säkerhet.

Det är lätt att tro att det mest är mindre seriösa sajter som slarvar med säkerheten. När otrohets-sajten Ashley Madison drabbades av ett enormt datorintrång för några månader senare var det inte så många som blev förvånade över den låga nivån på säkerheten. Krypteringen som användes för lösenorden var högst bristfällig; av 30+ miljoner konton som Ashley Madison hade påverkades ungefär hälften av ett programmeringsfel som gjorde krypteringen enkel att knäcka. Ashley Madison, liksom olika porrsajter, är inte sajter som förknippas med säkerhet. Men frågan är hur pass mycket säkrare ”seriösa” företag är.

Även stora IT-företag fumlar

Ett tydligt exempel på att även stora och väletablerade IT-företag slarvar fick vi hösten 2013. Adobe utsattes för en attack som ledde till att 150 miljoner konton komprometterades. Till att börja med verkade det som om lösenorden, som var krypterade, var säkra. Till att börja med. Det framkom sedan relativt snabbt att krypteringen inte var optimal, och många av lösenorden kunde sedan snabbt knäckas. Det är en återkommande svaghet när det gäller drabbade sajter: lösenord är krypterade, men den kryptering som används är svag och går relativt snabbt att knäcka med moderna datorer.

Går det då egentligen att göra någonting för att skydda sig? Om det är det företag man använder sig av som felar, och felar grovt, är det svårt. Kommer hackers över ens kreditkortsnummer och CVC så kan de ställa till en del skada och då är det bara att vända sig till sin bank och berätta vad som hänt. Banker är överlag bra på att stoppa ”misstänkt aktivitet” och chansen är ganska god att de kommer att spärra ditt kort om det komprometterats. Detta är dock lite av ett ”worst case scenario” vilka är sällsynta.

Var paranoid!

Men det finns andra saker som man kan och bör göra så snabbt som möjligt. Om en sajt man registrerat sig hos drabbats av intrång så ska man direkt byta sitt lösenord. Ofta kommer företaget bakom sajten att tona ner hur pass allvarligt intrånget är och säga att det inte är någon direkt fara eftersom lösenorden är krypterade. Ett exempel inträffade i somras när Hemmakväll.se hackades och information om 50 000 konton läcktes: e-mail, adresser, namn, telefonnummer – och lösenord. Dessa var krypterade och Hemmakväll uppgav att krypteringen var stark, vilket långt ifrån alla höll med om, tvärtom. I ärlighetens namn så uppmanade dock Hemmakväll.se sina användare att byta lösenord, ”för säkerhets skull”.

Om det är så illa att man använder sig av samma lösenord på andra sajter så kommer man att behöva ändra även dem. Men det är definitivt ingenting som man ska göra; alla inlogg ska ha olika lösenord (extra viktigt för känsliga konton, som ens e-mail), någonting som många (de flesta?) ger upp efter ett tag: det är svårt att hålla 50 olika lösenord i huvudet. Det blir sedan inte lättare av att det är stor skillnad mellan dåliga och bra lösenord. Bra lösenord ser ut ungefär så här: 1Jk)Hw34786T/&35n?+GHT-&7y/(G´Yjs5dö och är i princip omöjliga att memorera. Att folk ger upp och återanvänder lösenord som även är betydligt enklare att memorera (och därmed knäcka) är inte så konstigt. Sedan blir det inte lättare av att lösenord också helst ska bytas ut med jämna mellanrum.

Hur gör jag då? – Lösenordshantering och har du blivit hackad?

Den lösning som finns på problemet är att använda sig av en ”password manager”, ett program som hanterar ens olika lösenord och gör att man endast behöver komma ihåg ett (starkt) huvudlösenord. Det finns ett antal olika password managers att välja mellan, där exempelvis LastPass har gott rykte (i somras utsattes man för en attack som först såg allvarlig ut, men där det visade sig att den kryptering man använde sig av var stark, och riskerna för användarna minimal). Password managers är inte perfekta, men gör det lätt att skapa starka och unika lösenord till alla ens olika inlogg. Password managers finns i lite olika utföranden, både molnbaserade och desktopbaserade.

Slutligen så vill vi också informera om sajten ”’;–have i been pwned?”. Den är inte helt heltäckande, eftersom långt ifrån alla hack blir offentliga, men den utgör ett enkelt sätt att se efter om ens inlogg, mail, lösenord och andra uppgifter komprometterats. Bara för att ens olika användarnamn och e-mailadresser inte listas på ”’;–have i been pwned?” betyder det inte att man är säker. Man kan aldrig vara nog paranoid när det gäller datorsäkerhet, och även om man aldrig kan vara 100 % skyddad så är det viktigt att göra de så svårt som möjligt för ljusskygga element att komma över ens känsliga uppgifter.