Om passord og nettlesere

Om passord og nettlesere

KOMMENTAR: Chrome ikke alene om passordproblemet.

Flere skriver for tiden om problemet knyttet til at passord lagret i nettleseren lett kan sees i Googles Chrome-nettleser. Men man skal være oppmerksom på at problemet ikke bare gjelder Chrome, men flere andre nettlesere - og andre programmer som har passordet lagret.

Riktignok har Chrome kanskje gjort det enklere enn enkelte andre, men problemet eksisterer egentlig for Firefox, Opera og Internet Explorer også. Tidligere har vi omtalt programmer som for eksempel WebBrowserPassView fra selskapet Nirsoft. Dette er et lite gratisprogram som kan hente fram passord fra Internet Explorer, Firefox, Chrome, Opera og Safari.

Det samme selskapet har også programvare for å hente fram passord fra en rekke populære e-post-klienter, chat-programmer og passord som har blitt benyttet for å koble seg til filtjenere. Programmet er langt fra unikt - det finnes programmer rettet inn mot en rekke andre programmer, samt også brukervennlige kommersielle programmer rettet mot digital etterforskning - og disse programmene er tilgjengelig i piratversjoner på nettet.

LES OGSÅ:

Enkelt å hacke iCloud?

Med andre ord - problemet er ikke unikt for Chrome. Det er mange løsninger der programmet lagres i klartekst på maskinen og med fysisk tilgang til en innlogget maskin blir disse relativt enkle å nå.

Med fysisk tilgang til en Windows-maskin trenger det heller ikke være vanskelig å komme forbi Windows-passordet. Ved å starte opp maskinen med en usb-minnepinne kan passordet for en konto slettes eller man kan bruke programvare som forsøker å finne passordet for å vise det i klartekst. Å komme forbi passordet i operativsystemet er enkelt også for en standard Linux- og Mac OS X-installasjon så lenge man har fysisk tilgang. Å slå av eller låse pc-en trenger dermed ikke være sikker løsning, selv om det kan holde en del unna.

Når passord blir lagret i klartekst og enkelt kan hentes fram hjelper det ikke med gode passord. Å slå av eller låse pc-en trenger egentlig heller ikke å være til stor hjelp ettersom man også kan komme forbi operativsystempassordet enkelt hvis man går inn for det.

Et problem videre hvis man først har funnet passordene i nettleseren vil være at mange gjenbruker passord. Ifølge en undersøkelse gjort av NorSIS i fjor hadde mer enn tre av fire nordmenn gjenbruk av passord. Med andre ord vil man da enkelt kunne få tilgang til flere tjenester enn de man i utgangspunktet finner passordet til.

Blant annet Firefox har muligheten for å sette et "Master password", men det trenger ikke hjelpe - passordet blir synlig via såkalt "Developer Console"-funksjonen i det man logger på en webside der passordet er lagret og hovedpassordet tidligere skrevet inn. Samme triks fungerer også i Chrome og man skal også være oppmerksom på at passord satt inn av passordhåndteringsprogrammer også vil kunne hentes fram via noen enkle endringer via utviklerfunksjonene i nettleserne.

LES OGSÅ:

Bortkommen i passordtåka?

Løsningen?

Fysisk tilgang til en pc gir uten tvil mange muligheter for noen som vil snoke. Ikke bare gjelder det muligheten for å finne passord på pc-en, men også tilgang til dataene som er der. Som sagt - operativsystempassordet er ingen reell hindring.

En god start for å forbedre sikkerheten vil være å ta i bruk diskkryptering. Mange pc-er for bedriftsmarkedet har selvkrypterende harddisk eller SSD, og beskyttelsen kan aktiveres via BIOS. I tillegg har man løsninger som BitLocker i Windows eller tredjeparts diskkrypteringsprogrammer som for eksempel populære TrueCrypt .

LES OGSÅ:

Slik aktiverer du diskkryptering

Videre er det viktig å benytte et godt passord. Et god passord vil være langt (minimum 12 tegn) og bestå av en kombinasjon av store og små bokstaver, tall og spesialtegn. Passordet trenger ikke å være vanskelig å huske - det kan ha en logisk oppbygning samtidig som det er ulogisk å gjette seg fram til for en person - men det skal være enda vanskeligere for en datamaskin å gjette seg fram til. Flere ord satt sammen, kombinert med tall og tegn kan være en god løsning. "tØflE75jOgg1?" er et eksempel på et passord som trolig ikke vil være så vanskelig å huske, samtidig som det normalt skal gi høy sikkerhet mot dekryptering.

Har diskkryptering sine svakheter? Det kan det. Et eksempel er en metode er såkalt DMA-angrep på systemer som har ExpressCard-kortplass, Firewire-port eller Thunderbolt-port, der krypteringsnøkkelen kan hentes ut av minnet. Det er imidlertid noe som vil kreve en del mer kompetanse, utstyr og vilje enn et enkelt program som henter fram passordene eller flytte harddisken over i en annen pc for å hente ut dataene. Et slikt DMA-angrep vil også kreve at pc-en er påslått og krypteringspassordet skrevet inn slik at krypteringsnøkkelen blir lagt i systemminnet.

For passord til nettsider vil et passordhåndteringsprogram være anbefalt. Dette gir mulighet for å benytte gode og unike passord uten å måtte huske alle. For eksempel Lastpass.com kan være en aktuell løsning. Lastpass vil da stå for å huske passordene dine, i stedet for at nettleseren lagrer dem på en usikker måte.

LES OGSÅ:

Hacker trådløsnett på et øyeblikk

Nettverket

Husk også at hvis noen har fysisk tilgang til din pc, har de trolig også tilgang til det trådløse nettverket som du benytter. Fortsatt er det en del tjenester på nettet der innloggingen er ukryptert. Har noen tilgang til det trådløse nettverket du sitter på, vil de i svært mange tilfeller også kunne lytte på din nett-trafikk. Blant annet vil man da kunne snappe opp passord. Spesielt hvis samme passordet brukes overalt vil dette kunne føre til at en som lytter har tilgang til mange av tjenestene du benytter.

Clas Mehus
Journalist, PC World Norge

LES OGSÅ:

Raskere BitLocker

Les om: