Takk Adobe!

Takk Adobe!

KOMMENTAR: Gjennom Adobes overraskende dårlige sikkerhet og mindre kreative brukere settes passord nok en gang på dagsorden.

Tidligere i høst ble flere millioner brukerdetaljer stjålet da Adobe ble hacket. Først var det snakk om at rundt tre millioner kontoer var berørt – tallet økte så til 38 millioner og videre til bortimot 150 millioner kontoer når brukerbasen ble gjort offentlig tilgjengelig på nettet.

I utgangspunktet hadde ikke dette trengt å være noe stort problem, om Adobe hadde brukt løsningene man hadde forventet av et slikt selskap for å beskyttelse sine brukerdetaljer. I skrivende stund jobber mange krypterings- og passordeksperter – med forskjellig farge på hatten – med å dekryptere listen.

«123456»

Mange av passordene i basen er alt avslørt og det kommet statistikker for passordbruken. Blant annet kan man se at hele 1,9 millioner Adobe-brukere hadde passordet «123456» - i tillegg til en rekke andre passord basert på sekvensielle tall- og bokstavrekker. Passord som «adobe» og «photoshop» er også å finne igjen hos mange tusen brukere.

Et videre problem hos Adobe er at passordtipsene ikke var kryptert. Passordhint er i utgangspunktet å anse som fy-fy, men verre blir det når de ikke er beskyttet. Passordhint ansees som en dårlig løsning ettersom de ofte vil være knyttet opp i mot personlig informasjon som kan være lett å finne ut av. Ser vi for eksempel på norske brukere i Adobe-basen går passordhint som «hund», «katt», «barn» og «mannen» igjen. Et annet hyppig passordtips er «vanlige» - noe som antyder at brukeren benytter samme passordet her som mange/alle andre steder.

Enkelte passordhint kan også på andre områder framstå som «avslørende» og problematiske – for eksempel når passordhintet er «kone» og passordet allerede er avslørt som «flodhest». Et passordhint som «tantesex» kan jo også utløse noen interessante spørsmål. Husk at disse listene på et eller annet tidspunkt godt kan bli liggende slik at de blir indeksert av søkemotorer også.

LES OGSÅ:

Tving fram sikkerhet

Velger enkelt

Det er ikke overraskende at såpass dårlige passord blir benyttet, eller at det benyttes passordhint som kan gjøre det mulig å gjette seg fram til passordet med litt undersøkelser på nettet – for eksempel i sosiale medier eller om telefonkatalogen. Så lenge en tjeneste tillater dårlige passord vil det være mange brukere som velger en «enkel» løsning.

Det er vanskelig å vite løsningene aktører har for å sikre sine tjenester. Vi har sett en rekke eksempler der store aktører har fått brukerdata på avveie. I noen tilfeller har det ikke vært brukt noen form for hash eller kryptering på passordene – for eksempel hos Linkedin. En ting blir videre innbruddene vi er kjent med – andre kan være ukjent, enten fordi selskapene ikke vil gå ut med det eller fordi de ikke er klar over det. Det er gjerne de større kjente tjenestene man hører om i media. Ukentlig er det en rekke tjenester som blir hacket.

For en del tjenester vil det være lite ugang man kan gjøre med brukerdataene, så sant brukerne ikke benytter samme passord på andre tjenester. Verre enn dårlige passord er å bruke de samme passordene flere steder – spesielt hvis det gjelder tjenester som e-post, sosiale medier og bedriftsløsninger. Om brukerdataene kommer på avveie kan de ikke brukes andre steder om man bruker unike passord.

LES OGSÅ:

Bortkommen i passordtåka?

I hvelvet

Så først som sist – kom i gang med å bruke et passordhvelv for å holde oversikt over tjenestene man er registrert på og passordet man der benytter. Disse løsningene vil gjerne integreres mot nettleser og andre programmer slik at riktig passord enkelt kan bli fylt ut av programmet. En slik løsning vil gjerne automatisk gi opsjonen for å lagre brukernavn og passord i det man logger inn på en tjeneste første gang.

Populære og gode løsninger her er for eksempel Lastpass og KeePass. Begge er i utgangspunktet gratis, men Lastpass sin Premium-tjeneste, som koster en hundrelapp i året, har funksjonalitet som for en del kan være verdt de ekstra kronene. En praktisk funksjon er her også en sjekk av dine passorddata, for å påse at passordene du bruker er gode (lange nok, nok variasjon av tegn) og at de ikke brukes flere steder.

Passordhint kan også lagres i slike programmer for tjenester som tvinger deg til å bruke slike. Men husk – se på passordhint som et passord i seg selv. Det bør ikke være noen logisk kobling mellom passordhintet og passordet.

I tillegg – er det støtte for tofaktorautentisering på netttjenester, bruk dem. Vanligste løsningen er at man må skrive inn en kode fra en SMS eller e-post første gangen man bruker tjenesten fra en pc. Og er det så ofte man bruker en ny pc/mobil enhet til at dette er et praktisk problem?

Clas Mehus
Journalist, PC World Norge

SE OGSÅ: www.passordsjekken.no

Les om: