Enkelt å hacke Icloud?

Enkelt å hacke Icloud?

KOMMENTAR: Apple tar ikke nok hensyn til en sentral sikkerhetssvakhet: Brukeren.

Media har de siste dagene vært dominert av nyhetene om Høyre-politikeren fra Drammen som hadde hacket iCloud-kontoer for å få tilgang til personlige bilder.

Flere har skrevet om hvordan en sikkerhetsspesialist videre kunne avsløre hvem som hadde stått bak hackingen. Men et fokus ser ut til å mangle så vidt jeg har fått med meg - hvordan man fikk tilgang til iCloud-kontoene i utgangspunktet.

LES OGSÅ:

Slik knekkes passordet på Windows og trådløsnett

Gammelt triks

Problemet her er ikke unikt for Apples iCloud-tjeneste, men for mangt en tjeneste som gir mulighet for å endre passord på bakgrunn av "sikkerhetsspørsmål". For iCloud sin del trenger man e-post-adressen for en brukers AppleID, fødselsdato og videre trenger man å svare på to spørsmål knyttet til personlig informasjon - deretter kan passordet endres og man kan få tilgang til kontoen.

Med en viss kjennskap til en person eller ved å grave litt i personens åpne data på sosiale medier kan man ha fått nok kunnskap til å besvare disse sikkerhetsspørsmålene. For mange vil velge sikkerhetsspørsmålene hvor man har svar som vil være enkle å huske - f.eks. byen hvor foreldrene dine møttes, favorittsportslag eller navnet på bestevennen. I tilfellet med saken som i det siste har blitt fokusert på i norske medier var den som hacket kontoen venner med offerene på Facebook og hadde dermed trolig både et vist personlig bekjentskap og tilgang til all data på Facebook-profilen.

Eksemplene på slike hacks er mange - spesielt når det gjelder kjendiser og politikere.

LES OGSÅ:

Alle kan sniffe trådløse nett

Så vidt jeg kan se tvinger Apple sine brukere til å legge inn sikkerhetsspørsmål. Slik kan det nok også være for en rekke andre tjenester. Hos noen kan man riktignok lage sine egne spørsmål, slik at spørsmålet egentlig kan være en slags privat kode bare man selv kan forstå hva man skal svare på. Det er imidlertid sikkert de som via egengenererte sikkerhetsspørsmål vil lage enda dårligere spørsmål enn de predefinerte på andre tjenester.

Blir man tvunget til å ha sikkerhetsspørsmål bør svarene man har for disse omtrent være et passord i seg selv. Naturligvis bør man også ha et godt passord på nettjenestene og man bør unngå å bruke samme passord på alle tjenestene. Et tips vil være å bruke et passordhvelv som holder oversikt over ens passord - for eksempel Lastpass.com. Da kan man gjøre et oppslag her hvis man ikke husker sitt passord. Det gir en også en mulighet til å holde en oversikt over alle tjenestene man har registrert seg på. For tjenester som gir mulighet for tofaktor-autorisering kan det være en god ide å ta i bruk dette.

Ta en sjekk for sikkerhetsinnstillingene på sentrale tjenester - sjekk hva du har satt opp som sikkerhetsspørsmål. Trenger tjenesten egentlig fødselsadressen din? Og hvor godt er passordet du benytter? Jeg anbefaler at du tar deg tid til å lese gjennom denne artikkelen for mer informasjon om utfordringer knyttet til autorisering, både lokalt på dine enheter og nettjenester.

Og for all del da - tenkt litt igjennom hvilke typer data du lagrer om deg selv hvis ikke ekstra sikkerhetshensyn er tatt.....

Clas Mehus
Journalist, PC World Norge

LES OGSÅ:

Bortkommen i passordtåka?

Les om: