Tekst: Lukas Neuenschwander
Identitetstyveri på internett kan få fatale konsekvenser. Tenk om noen plutselig legger ut ting i ditt navn, med din Instagram-konto, uten at du merker det. Eller tenk om noen utgir seg for å være deg, og lurer bestevenninna di til å betale flere tusen kroner for å redde deg fra en oppdiktet faresituasjon. Senere finner hun ut at det faktisk ikke var deg. Risikoen er altså stor. I denne kronikken vil jeg, som har jobbet i et datasikkerhetsfirma siden i fjor sommer, gi deg tre tips til hvordan du bedre kan sikre deg mot ID-tyveri.
1. Lag sikre passord du likevel kan huske!
Hva er egentlig et sikkert passord? Kort sagt er et sikkert passord vanskelig å gjette. Et passord er vanskelig å gjette hvis man må prøve mange ganger før man finner det. Det enkleste passordet man kan lage består kun av ett tall, som gir ti mulige kombinasjoner (0-9). Tre tall gir allerede 103 = 1000 kombinasjoner. Jo flere kombinasjoner, desto sikrere er passordet.
Hackere vil alltid prøve å gjette passord som står i ordboken først, eller variasjoner av disse. Derfor er det ikke lurt å bruke ord som «Høsten2020». Varianter som «P4ss0rd34» vil også være blant de første passordene en hacker prøver. Helt vilkårlige tegnkombinasjoner er vesentlig vanskeligere å gjette. 16 vilkårlige tegn som «Bzk?&[F+;Dt23B^k» anses i de fleste tilfeller som trygt nok. Slike passord er dog litt upraktiske, og ikke minst vanskelige å huske. Attpåtil tar de evigheter å skrive inn manuelt – spesielt på en smarttelefon.
Løsningen? Dette kan også være et passord: «Min datter har 1000-vis av legoklosser.» Det er en setning med til sammen 39 tegn – et veldig trygt passord siden det som gir mest sikkerhet, altså størst antall mulige kombinasjoner, er lengde. Derfor har det faktisk ikke noe å si at ord som «datter» og «min» står i ordboken, eller at setningen kun inneholder spesialtegnene bindestrek og punktum. Likevel er det så mange kombinasjoner som må prøves, at passordet tar evigheter å gjette, selv ved bruk av dagens teknologi.
2. Bruk tofaktor-pålogging der det trengs
I noen tilfeller er brukernavn og passord heller ikke trygt nok, fordi passord kan komme på avveie. I dag er det mange phishing-sider på internett som for eksempel utgir seg for å være Facebook, men som egentlig er nettsider laget av hackere for å stjele din påloggingsinformasjon. Det kan også tenkes at du glemmer å låse PC-en på biblioteket, og noen nysgjerrige kommer bort: #facerape. For å gi deg mer sikkerhet der det trengs, finnes pålogging med flere såkalte faktorer. Det beste eksempelet på et slikt påloggingssystem er BankID. Hvis en hacker får tak i passordet, kan han likevel ikke logge på uten kodebrikken eller mobiltelefonen din. Det er i seg selv ikke farlig om noen finner kodebrikken din, ettersom den ikke kan brukes uten passordet som bare du vet. Tofaktor-pålogging kan også foregå via apper, gjennom tilsendte SMS-er, eller ved at du ringes opp.
For følgende fire typer kontoer bør du aktivere tofaktor-pålogging:
- Aller viktigst: e-postadressen. Du har sikkert en e-postadresse som du bruker til å logge på alt mulig på internett. Husk at e-postadressen kan brukes til å resette passordet på alle kontoer du lager. For en hacker er tilgang til din e-postadresse med andre ord den hellige gral: Med den får han tilgang til alt det andre du har på nett.
- Apple-, Google- eller Microsoft-kontoer: Dette er kontoer som hører til mobiltelefonen din, eller til operativsystemet på datamaskinen din. Det er godt mulig at du også bruker tilknyttede skytjenester som iCloud eller OneDrive. På disse kontoene kan det potensielt ligge mye verdifull informasjon om deg, og med tilgang kan man gjøre mye skade på PC-en eller mobilen din.
- Vipps, Klarna, PayPal eller Revolut: Slike betalingstjenester burde du også være obs på. Det er dit hackerne til sist vil – de vil ha pengene dine. Alle norske nettbanker og betalingstjenester bruker BankID, som er en veldig trygg tofaktor-påloggingsmetode.
- Facebook og Instagram: Sosiale nettverk hvor du legger ut og har lagt ut mye som du ikke ønsker at skal komme på avveie, eller hvor du er bekymret for at andre legger ut ting i ditt navn. En «Insta» med mange følgere kan være interessant for en hacker, siden den kan brukes til å målrettet angripe kontoens følgere.
Samlet sett er det ikke mange kontoer som trenger strengere beskyttelse med minst to faktorer, kanskje snakker vi bare om mellom tre og ti slike. For å unngå ID-tyveri burde du aktivere tofaktor-pålogging på disse, og i tillegg velge ekstra sikre, unike passord, som vist i første tips.
3. Bruk en passord-manager til alle andre passord
I tillegg til kontoene nevnt i seksjonen over, har du også en haug med andre kontoer som ikke trenger like streng beskyttelse. Dette kan eksempelvis være en nettside hvor du en gang bestilte en kalkulator, eller kontoen din hos Clas-Ohlson. Der ligger det gjerne lite personlig informasjon. Skulle en hacker få tilgang til en slik konto vil han blant annet ikke kunne se betalingsinformasjonen du har lagt inn. Skaden som kan skje hvis et slikt passord kommer på avveie er altså begrenset, og tofaktor-pålogging er derfor ikke like nødvendig for denne typen kontoer. Likevel er det lurt med trygge passord også her. Videre, og dette er kjempeviktig: Hvis en hacker får tak i et passord, vil dette eller variasjoner av dette (for eksempel passord123 og P4ss0rd123) være det første passordet han prøver på dine andre kontoer. Du burde altså aldri bruke samme passord flere steder.
Kort sagt er et sikkert passord vanskelig å gjette. Et passord er vanskelig å gjette hvis man må prøve mange ganger før man finner det.
Hvordan i alle dager skal du holde styr på alle disse passordene da? Mange (inkludert meg selv) har gått over til å bruke en passord-manager. Det er en konto i skyen hvor du kan lagre andre passord. Hvis du trenger et av disse passordene, kan du kopiere og lime det fra passord-manageren. Ofte har også passord-manageren en nettleserutvidelse, som gjør det mulig å få passordene fylt ut automatisk. Attpåtil kan passord-manageren lage unike, trygge passord som består av tilfeldige tegn. Passordet du bruker for å låse opp passord-manageren burde selvfølgelig også være ekstra trygt, men med dens hjelp slipper du å bry deg om alle de andre passordene. Mange bruker passord-manageren lastpass, men personlig foretrekker jeg ID-Protection fra det finske sikkerhetsfirmaet F-Secure. Dette skyldes at europeiske og finske lover bedre ivaretar personvernet enn amerikanske konkurrenter. Det går likevel sikkert fint an å bruke lastpass.
Konklusjon
For å beskytte deg selv mot ID-tyveri er det essensielt med trygge, unike passord. Dine viktigste kontoer er e-postadressen din, din Google-, Microsoft- eller Apple-konto, dine SoMe-kontoer, kontoene dine hos ulike betalingstjenester, samt BankID. På disse burde du aktivere tofaktor-pålogging, hvor du må bekrefte nye pålogginger på mobilen eller skrive inn en kode fra en kodebrikke. Passordene på disse kontoene burde også være ekstra trygge. Hvis du ikke klarer å huske dem kan du skrive dem ned og gjemme arket, eller lagre dem på en minnepinne som bare du vet hvor er. Det er ikke lurt å laste opp akkurat disse passordene i en passord-manager i skyen. For å lettere kunne huske de ekstra trygge passordene kan du bruke setninger som vist i avsnitt 1 (> 25 tegn). Alle de andre, mindre viktige passordene, kan du lagre i en passord-manager i skyen, som lastpass. Her kan du bruke standardinnstillingene til å lage unike passord.
Ellers gjelder det å være forsiktig når du oppretter nye kontoer. Har tjenesten godt omdømme? Kjenner du andre som har brukt den? Ser tilbudet ut til å være for godt til å være sant? Ta også en kjapp titt på domenet (det som står mellom https:// og .no/.com…) før du logger på. Hvis det står google.com eller facebook.com er du på rett sted, mens g00gle.com trolig tar deg til en phishing-side som prøver å finne ut av passordet ditt.
Min appell til deg: Fiks passordene dine. Nå. I karantenetiden. Ingen har lyst til å gjøre det – heller ikke jeg. Likevel fiksa jeg dem i mars i fjor, under første runde med lockdown.