I tisdags släppte Dinsäkerhet.se det sjätte avsnittet av sin oregelbundna(?) podcast Om krisen kommer. Avsnittet med med titeln Dina spår på nätet handlar om risker med identitetskapning och hur man skyddar sig.
Förutom programledare Anna Teljefors, MSB, medverkar även Gustav Söderlind, också han från MSB, samt Mattias Falkbåge från Polisen.
I avsnittet får vi bland annat höra om att det är viktigt att verifiera att ”vännen”” som på Facebook utger sig för att vara i nöd och behöver pengar faktiskt är den du tror att det är. Kontakta personen per telefon. Om personen är ovetande om händelsen så informera om att denne omedelbart måste ta kontroll över sina konton på sociala medier.
Ett annat ämne är att vi först måste kontrollera att en okänd sida som vi tänkt handla ifrån faktiskt är pålitlig. Att ange sina kortuppgifter kan få förödande konsekvenser. Om din bank erbjuder virtuella kontokort, engångskoder och liknande för köp online så använd dom möjligheterna.
Något som jag tyvärr kommer att kritisera är det dom säger om att det idag inte är lika viktigt att ”riva sönder” känsliga dokument innan man skickar det till återvinningen. Idag är det faktiskt enklare än någonsin att återställa dokument som man tror sig ha förstört, också med hjälp av en vanlig dokumentförstörare. Det går att, med hjälp av en kamera och mjukvara för ändamålet, att klistra ihop pappret digitalt. Vi som har läst Kevin Mitnicks böcker, dels instruktionsboken Art of Deception, men också självbiografin Ghost in the Wires vet att det kan finnas mycket matnyttigt i sopbingen.
Att det är viktigt med starka lösenord, framför allt på mejlen, trodde jag var allmän kännedom. Även om folk inte efterlever det. Men i podcasten nämner dom över huvud taget inte lösenordshanterare som 1 password, Lastpass som är molnbaserade, eller KeePass 1 & 2 samt KeePassX där lösenordsdatabasen lagras lokalt.
Istället väljer man att nämna att så länge e-postadressen har ett fullgott skydd, gärna en lösenordsfras, kan andra tjänster ha enklare lösenord.
För att komma ihåg ett lösenord är det en god idé att istället för krångliga korta lösenord använda dig av längre lösenordsfraser där du även bör blanda specialtecken, versaler, siffror och gemener. Om du inte har behov av att komma ihåg lösenorden kan du använda dig av exempelvis LastPass funktion för att automatiskt generera lösenorden och sedan logga in dig vid varje besök.
Jag använder både långa lösenordsfraser på 20-40 tecken samt lösenordshanterare för att, istället för en post-it-lapp under tangentbordet, lagra lösenorden.
Givetvis är det även viktigt att du har ett starkt skydd på din mobila enhet. Är du säkerhetsmedveten aktiverar du kryptering samt ändrar den fyrsiffriga lösenordsskärmen till ett längre lösenord.
Nej. Gör om och gör rätt. Det är 2015, inte 1992.
LastPass som är en molnbaserad tjänst blev hackade i somras.
http://www.forbes.com/sites/katevinton/2015/06/15/password-manager-lastpass-hacked-exposing-encrypted-master-passwords/
Jag använder keepass i min Android telefon. Är gratis och fungerar bra.
Absolut, något som gör Lastpass sårbart. Därför är det bra att, förutom att ha starka lösenord, även ha flerfaktorsautentisering på känsliga konton där det erbjuds. Exempelvis din e-postadress. Nackdelen är att det ytterligare är ett steg och ett hinder…
Det finns en övertro på lösenordshanterare. Det har indentifierats en del risker med dessa mjukvaror som bl a PTS tittar på. Problemet som jag ser det är att det just är en mjukvara. Många gör sig inte heller besväret att kontrollera vem som ligger bakom programmet. Därför finns det en risk att man invaggas i en falsk säkerhet. Det finns också andra problem som jag inte vill redogöra för här.
Ett av de bästa sätten att kringgå problemen med lösenord är att använda biometriska metoder (något du är). Den mest förekommande är nog fingeravtrycket. Det finns mycket bra, enkla och pålitliga fingeravläsare. Utmaningen ligger i algoritmen och att bygga en tillräckligt känslig läsare. Inom försvaret har man använt biometriska lösningar under lång tid. Metoden är beprövad och säker.
Man kan t ex kombinera en sådan med t ex moderna ID-kort som har inbyggda minnesplatser för biometrisk information. Vill man ha ytterligare en faktor kan man använda ett 6 eller 8-siffrig kod. Man ska dock komma ihåg att bakom alla biometriska lösningar ligger ett lösenord. Därför bör det lösenordet vara långt och komplicerat. Vi kommer inom en 5-årsperiod att se en explosion av biometriska lösningar. Jag är dock inte säker på att fingeravtrycket drar det längsta strået. Det finns både röst, händer, ögon eller ansiktsform.
Absolut. Dock när det kommer till fingeravtryck skyddas dessa inte av samma lagstiftning som lösenord. I USA skyddas fingeravtryck inte av femte tillägget i Bill of Rights.
Det har åtminstone funnits biometriska lösningar där den biometriska informationen lagras på t ex ID-kortet och inte i en databas. Däremot finns ju alltid risken att den biometriska informationen skannas om myndigheterna använder en läsare som kan läsa och bearbeta biometrisk information. Men om man använder biometriska ID-metoder för t ex betalning över nätet då sker verifieringen i den egna läsaren. Informationen förs inte över till mottagaren. Möjligen kan lösenordet som ligger till grund för fingeravtrycket föras vidare men att man tar hela template:n av fingeravtrycket är inte troligt. Dels blir det väldigt mycket information och dels tar det förmodligen alldeles för lång tid. Men t ex läsare från Precise Biometrics har inbyggd kryptering som gör att informationen inte förs vidare vid biomatch on card. Deras läsare används bl a av amerikanska militären och många banker.
Hej, dina tips är goda komplement till det vi pratade om i podden vad gäller lösenordsskapande och -skydd. Något man kan välja till och undersöka mer om man så önskar.
Det är just så som vi vill att podden – ja, den där oregelbundna! – ska fungera. Det går inte att konstruera ”hela listan” i alla ämnen vi tar upp, utan vi går igenom grunderna och ger inspiration till den som tidigare inte funderat över detta. Förhoppningsvis fortsätter diskussionen på bloggar och i olika forum.
Dessutom är det svårt att tipsa om specifika och aktuella tjänster, då dessa tenderar att byta namn (ägare, distributör)och vi vill ha några års livslängd på avsnitten.
Tack för lyssningen!
Anna, DinSäkerhet.se
… och här är fler tips om starka lösenord:
http://www.dinsakerhet.se/Informationssakerhet/Konkreta-rad-informationssakerhet/Losenord/
Jag skulle aldrig sätta fingret på en sådan läsare i t.ex. en telefon. Det fungerar nämligen åt andra hållet också – om telefonen hackas, kan hackaren (NSA, FRA, eller vanliga skumma individer) få tag i ditt fingeravtryck! Det ger enorma möjligheter både för övervakning och för att öppna andra fingeravtryckslås.
1Password är INTE molnbaserad. Du kan om du så _väljer_ synka via ett moln, tex Dropbox eller via ditt eget wifi.
När man väl komit igång med en lösenordshanterare så är det bra att skriva ut dem, på papper och förvara i städskrubben eller på annan bra ”säker” plats.