Hvordan få orden på passordene dine

Med ujevne mellomrom kommer det oppslag i media om ulike nett-tjenester der brukernes passord er på avveie. Sist var det LinkedIn. Blant tjenesteleverandørene som tidligere har opplevd at uvedkommende har skaffet seg adgang til brukerpassord er e-posttjenester som; G-mail, Hotmail og Yahoo, musikktjenesten Spotify, Nettby og diverse andre sider for kontaktsøkende mennesker.

Faksimile VG.

Tidligere i år har norske medier  meldt om passord på avveie fra diverse spillsider (TV2) og YouPorn.com (VG). Noen jakter stadig på andres passord, både tilfeldig og målrettet. Det blir sikkert ikke lenge til neste sak mot tilfeldige brukere blir kjent.

De målrettede angrepene får uvedkommende (folk flest) gjerne ikke vite om. De som utsettes for det ønsker ofte ikke å avsløre hverken om de har mistet kontroll på sensitiv informasjon eller at de har oppdaget  innbryterens metoder og hva de var ute etter.

De enkleste passordene blir gjerne knekt først. Derfor kan det være lurt å ha noen skikkelig vanskelige passord, men det skaper igjen nye problemer … med å huske dem. Her kommer noen triks.

Overlate jobben til andre

Det finnes en rekke tjenester som tilbyr seg å lagre passordene dine for deg, både gratis og mot betaling. Her gjelder å holde tunga rett i munnen, for ikke å si i rett munn. I tilfelle man vil benytte en «password manager» så vurder først troverdigheten til tjenesten og hva du er villig til å risikere. Uansett må du huske ett passord – til denne tjenesten. Med mange egg i samme kurv er det viktig å sikre denne kurven sterkest mulig.

Hoppe over problemet

Hvis man ikke trenger å huske passordet, kan man skrive hva som helst av tegn i en lang nok kombinasjon. Hvis man allikevel har elendig passordhukommelse og benytter tjenester der det er mulig å klikke «glemt passord» for å få tilsendt et nytt, kan det kanskje være like greit for noen? Man trenger da kun å huske enten passordet til e-postkontoen man får nytt passord sendt til, eller huske hvor man har lagt mobiltelefonen dersom nytt passord skal sendes som SMS.

Et minus ved denne metoden kan være at enkelte tjenester er trege med å sende nytt passord. Da finnes det en annen måte å hoppe over problemet på. Den gir deg ikke sikrere passord, og kan til og med utgjøre en risiko for kompromittering, men om man vurderer risikoen for krenket personlig integritet som lavere enn fordelen med å ha orden på visse passord, kan den brukes.

  • Lagre slike passord i en kontaktliste under navn du, men ikke andre, gjenkjenner som nettstedet. På Wimp kunne passordet da ha vært lagret under navnet: Gitar-Geir, der adressen, yrkestittelen eller første ledd i den fiktive e-postadressen er passordet ditt.
  • En variant kan være å lagre passord til slike lite sensitive tjenester i et dokument på enheten, i e-postboksen eller lignende.

Passordet 123456 på LinkedIn er avslørt i denne hashtagen. LeakedIn lar deg prøve ulike passord.

Slik lager du passord som er lette å huske, men vanskelige å knekke.

Det er mye vanskeligere for de fleste å huske en tilfeldig rekke med tall, store og små bokstaver enn å huske en favorittsang, en hyggelig hendelse eller noe man gleder seg til. Rekken JsgmmC23jpFb er bare på 12 tegn, som er maksimalt antall tegn flere tjenester lar deg ha i et passord, men hvor mange slike klarer du å huske? Hvis tegnene danner en mening for deg kan du klare mange.
Hvis setningen «Jeg skal gifte meg med Cathrine 23. juni» betyr noe for deg, bør det være mulig å huske at du skal bruke første bokstav i hvert av ordene «JsgmmC23j». Man må bestemme seg for hvordan man skal bruke store og små bokstaver i slike setninger. Bryllupsdatoen kan du like gjerne pugge uansett. Det vil du få igjen for senere 🙂
Hvis man tviler såpass på egen hukommelse at man ikke tør prøve mer enn en setning, går det an å ha et tillegg på slutten. Her har jeg satt på de tre bokstavene pFb, som kan bety at dette passordet er til bruk på Facebook.

Hvis man skulle bruke samme setning på en annen konto kunne den se slik ut:
På Hotmail: JsgmmC23jpHm.
På Elghundklubben: JsgmmC23jpEk.

Hvorfor bry seg?

Om man spør mange nok finner man alltids noen som ikke ser noe problem i at hverken deres egne passord er på avveie eller at uvedkommende følger med på deres digitale liv: «De har jo ikke noe å skjule»? For all del, man skal ikke tvinge noen til å skaffe seg bedre passord eller ivareta sin digitale integritet. Derfor er det tips om en del dårlige passord litt lenger ned i artikkelen også. Passord som har vært i bruk på LinkedIn inntil de nylig ble publisert som såkalte «hashtags» på en nettside som brukes en del til slikt.

En «hashtag» kan beskrives som en utregning der passordet gjøres om til en kode på 32 bokstaver og tall. Dette skal tjene som identifiseringskode for nettstedet der passordet brukes slik at de slipper å lagre passord i klartekst. Hvis noen for eksempel har brukt passordet «123» blir det til koden «40bd001563085fc35165329ea1ff5c5ecbdbbeef».

De som av en eller annen grunn ønsker å skaffe seg tilgang til en konto der de kjenner «hashtagen» på passordet kan da få maskinen til å sjekke opp slike lekkede hashtager mot lister på tidligere identifiserte passord.

Kanskje ønsker de som driver med slikt bare å få adgang til e-postkontoen din for å bruke den til utsendelse av spam og få tak i stadig flere bekreftet aktive e-postadresser å selge videre til andre spammere? Kanskje er de ute etter identitetstyveri eller å bruke e-posten eller Facebook-kontoen til å svindle andre.

Hvordan ville kontaktene dine ha reagert dersom de fikk en melding om at du satt fast på flyplassen i Bangkok og måtte betale en avgift (for eksempel tilsvarende 300 kroner) til et oppgitt kontonummer for å komme deg på flyet? En som har tilgang til e-postkontoen kan ha tilgang til reisedetaljer også. Hver av dine hjelpsomme venner som blir lurt vil gi en pen gevinst for svindleren som kan sitte i Nigeria, Brasil, Ukraina  … eller ved siden av deg på toget og se passordene på tjenestene du har logget deg inn til på usikret (eller passordknekket) trådløsnett.

Mange vil kanskje ikke gidde å varsle politiet en gang om noe slikt hvis redselen for å bli konfrontert med sin egen naivitet, eller troen på henleggelse, uansett er høyere enn savnet av de få kronene.

Økonomiske motiver er kanskje det som rammer de fleste, men det er tross alt bare penger. Enkelte vil en eller annen gang også oppleve at uvedkommende tar seg inn i deres passordbeskyttede kontoer av mer personlige grunner: Hevn, sjalusi, posisjonering i en arvestrid, barnefordeling, … eller kanskje for å finne sensitivt materiale som tilhører arbeidsgiver, et utvalg man jobber med eller lignende. De som har noe å beskytte vil nok skjønne det.

 Her er noen dårlige passord

De som bare trenger et enkelt passord kan velge og vrake i følgende passord som blir ledige på LeakedIn nå, men som var i bruk av noen inntil hashtagene ble publisert på nettet av noen som har skaffet seg uautorisert adgang til dem.

Passordet stortinget er avslørt her.

Den som brukte passordet stortinget må finne et nytt et nå. Stortinget (med stor S) var i alle fall ikke blant de avslørte hvis du trenger tips.

Av de andre avslørte passordene på LinkedIn nylig nevnes: mandag, tirsdag, onsdag, torsdag og fredag. Ingen hadde tenkt på å skrive ukedagene med stor bokstav, så det får være et tips om nesten like dårlige passord for de som vil ha det.

Fredagspils var ikke blant de avslørte passordene.

Blant de avslørte passordene var pilspils, men fredagspils var ikke blant dem, så tipset er formidlet til de som måtte føle behovet.

Derimot var alle følgende ord i bruk som passord, inntil de altså ble avslørt, slik at brukerne nå må endre fra: Passord, password, Linkedin, Gunnar, 123456, hestkuk, aftenposten, Dagbladet, 17.mai, pupper, KingKong, Netcom, hemmelig, cocacola, Hansen, Jensen, Elizabeth, Bjarne, Ludvig og det ikke lenger helt originale qwerty, selv med stor bokstav først.

Passordet øløløl er blant de lekkede passordene, men var ikke knekket ennå da dette innlegget ble publisert.

De som jobber med å knekke disse passordene sliter ofte med de særnorske bokstavene som æ,ø og å. Det kan være et tips for deg som ikke synes det er veldig viktig å gjøre det enkelt for passordtyver å stjele dine passord.

Passordet øløløløl var et av de stjålne som ikke var cracket ennå da dette innlegget ble publisert, men det var i tilfelle kun et spørsmål om kort tid før de fikk kjørt gjennom ulike tegnsett.

Lykke til med nytt passord.

Bloggurat

Blogglisten

Mer:

Strafferammen for datainnbrudd er seks måneder fengsel, men inntil to år hvis det er i vinnings hensikt.  Mer om datainnbrudd.

Mer om emnet informasjonssikkerhet kan du finne hos Norsk senter for informasjonssikring (NorSIS).

LeakedIn.org og Lastpass.com kan du teste om passord er blant de lekkede fra LinkedIn.

 

Jukser for å ikke bli avslørt

Oppdatert 27. oktober: VG: Helseministeren ber fylkesmennene kartlegge kommunenes sykehjemskøer. Enkelte kommuner har ikke oversikt over egne eventuelle lovbrudd innen området.

Er det kun tilfeldig at «ulovlig pengegave-partiet» og ordførerpartiet SP vil ha mange små kommuner med svak kontrollkompetanse og svak eller manglende kontroll rettet mot ulovligheter i disse kommunene? TV 2: AP avviser SP-ultimatum i kommunesaker. VG: AP vil ha minst 20 000 i hver kommune.

– – – – –

Noen er veldig opptatt av å kontrollere og sette krav til aktører i privat sektor, men mindre opptatt av å kontrollere offentlig sektor.

Er det ikke viktig å sørge for at offentlig ansatte, som forvalter makt og skal ivareta både viktige samfunnsinteresser og enkeltmenneskers rettssikkerhet, blir utsatt for uavhengig og kompetent kontroll?

(Faksimile Aftenposten: Regjeringen tappet for store mengder data.)


I statlig sektor kan de bli utsatt for det. Der kan Riksrevisjonen komme til å foreta kontroller og stikkprøver. I kommunene derimot er det kommunene selv som velger hva de vil kontrollere av om de har jukset og forbrutt seg mot lover og krav. (Kommunal egenkontroll, herunder forvaltningsrevisjon.) Og de som eventuelt kontrollerer har på langt nær samme store fagmiljø, kompetanse og avstand/uavhengighet til den kontrollerte virksomheten som Riksrevisjonen har.

Mer om ting Riksrevisjonen har sett på:

Norsk politi – ikke noen Kardemommeby.

Slurv gir milliardtap og rettighetsbrudd.

Bukken og havresekken.

Dyrere og dårligere veivedlikehold.

På bakgrunn av både større fagmiljø og at kompetansen innen lovverk, datasikkerhet og ofte fag er på et høyere nivå i statlig sektor enn i mange kommuner, kan man undres over hvordan tilstanden er i kommunene som forvalter mye mer informasjon som er sensitiv for enkeltpersoner, når det er så ille i staten.

Dårlig datasikkerhet i staten er ingen nyhet. Allerede i 2004 ble det slått alarm. (DN: Slår alarm om dårlig datasikkerhet.) Den nylige tilfeldige og forhåndsvarslede kontrollen, som Riksrevisjonen har gjort, kan tyde på at noen i mange år ikke har respondert adekvat på notatet.

Faksimile Aftenposten.

 

Enkelte gjør mye for å redde eget og/eller kollegers omdømme og karriere i offentlig sektor. De går heller ikke av veien for å jukse når de vet at det kommer kontrollører for å sjekke om de overholder gjeldende krav til virksomheten.

«Dessuten reageres det skarpt på at datalogger ble endret i forkant av en varslet revisjon høsten 2009, der fire medarbeidere kun midlertidig mistet sine administratorrettigheter.

«Riksrevisjonen ble ikke informert av Departementenes servicesenter om disse endringene, noe som kunne ha medført at Riksrevisjonen fikk et bedre inntrykk av sikkerheten» heter det i rapporten fra riksrevisor Jørgen Kosmo.»

Riksrevisjonen lar seg imidlertid ikke så lett lure. (Mer: digi.no: Slakter regjeringens it-sikkerhet.)

At direktør Ivar Gammelmo i Departementenes servicesenter sier i en e-post til Aftenposten at han anser sikkerheten i Depnet/U for å være god og at han også avviser at loggendringen i forkant av Riksrevisjonens besøk var forsøk på lureri, får man forstå etter egen evne. (Kontrolløren omtaler sikkerheten som kritikkverdig og en vesentlig mangel. Det er faktisk sterke ord når de kommer fra revisjonen.)

Jeg kaller slike bevisste forsøk på bagatellisering og bortforklaring av egne feil for juks. Andre får kalle det hva deres egen dømmekraft og posisjon tillater dem.

At berørte departementer som forvalter samfunnskritisk informasjon heller ikke ble informert om dataskandalen, til tross for at de gang på gang søkte om innsyn, er ikke tillitvekkende.

Som ansvarlig for ikt-politikken har departementet et spesielt ansvar for gjennomføring av nasjonale retningslinjer. Når ikke en gang de selv følger opp dette, hvordan ser det ut lenger ned i hierarkiet og så langt bort som utenfor deres synsvidde, der Riksrevisjonen ikke kontrollerer?

Mer om kommuner:

Svartelistet kommune la skifer på parkeringsplass.

Bukken og havresekken – igjen og igjen.

Ting du ikke skal få vite om kommunesnusk.

Hva er viktig å beskytte?

«Fornyings-, administrasjons- og kirkedepartementet synes ikke å ha gjennomført en systematisk vurdering av iktinfrastruktur for hele sektorområdet, men har vurdert pensjonsprosessen i SPK som samfunnskritisk og det ugraderte nettverket Depnett/U3 i DSS som kritisk for den operative evnen i Regjeringskvartalet.»

Det skriver Riksrevisjonen i siste utgave av sin årlige rapport med navnet Dokument 1. Kanskje Norges viktigste og mest lesverdige revisjonsberetning?

Dette betyr at departmentet har vurdert det viktigere å beskytte pensjonsberegninger i Statens Pensjonskasse mot ulovlig inntrenging og datatyveri enn å beskytte alt mulig annet av elektroniske dokumenter og kommunikasjon på dette ugraderte nettet i regjeringskvartalet.

Riksrevisjonen konstaterer også kjølig at «prosessen ikke er dokumentert». (Prosessen med vurdering av hvorfor pensjonsprosessen i SPK er samfunnskritisk, mens alt annet i regjeringskvartalet er på et lavere sikkerhetsnivå.) Det må vi kunne lese som at det ikke er laget, og i alle fall ikke arkivert, noen skriftlig analyse som leder frem til disse konklusjonene. Kanskje de har kastet terning?

Hadde analysen/dokumentet vært laget noen gang, så ville den ha vært arkivverdig, fordi den dokumenterer noe det offentlige organet har gjort i saken, og skulle vært tatt vare på. I beste fall har noen brutt blant annet arkivloven ved å ikke arkivere (og dokumentere) den analysen.
Da har de nok kastet terning, for ingen i offentlig sektor bryter vel lover, uansett om det gjelder overfor enkeltpersoners rettigheter og rettssikkerhet eller myndighetskrav om samfunnskritiske forhold?

Det viktigste for noen med betrodde maktposisjoner i offentlig sektor er kanskje å beskytte seg selv? Så får samfunnskritisk viktige forhold og enkeltmenneskers rettssikkerhet ofres. Som regel vil det jo ikke bli oppdaget.
Og blir det oppdaget så er det bare å overse de ubehagelige fakta og heller si noe som gavner eget omdømme, ikke sant?

Mer:

Mangler mot til å kontrollere.

For få straffes for rettighetsjuks.

Kom med svartelistene.

Du får regninga for offentlig ansattes feil.

 

Bloggurat

Blogglisten

Twingly BlogRank

 

Mer:

TV 2: Helsetilsynet tror kommunene bryter loven. TV 2: Høybråten mener regjeringen gjør ordførere til eldresyndebukker. TV 2: Eldre som ikke får sykehjemsplass av sin kommune dør tidligere. VG: Ingen vet om regjeringens datahull er tettet.

Big business

Informasjon kan være gull verdt. En idrettskjendis bidrar til at media gir et lite gløtt av hva som skjer i den private sikkerhetsbransjen når det gjelder informasjonstyveri.

VG, TV 2: Arrestordre på Landis. (Forhistorien i Dagbladet: Slik ble Tour de France-skandalen spiondrama.)

Datainnbrudd, informasjonstyveri og informasjon på avveie er ikke mindre utbredt i Norge enn i andre land. Kanskje heller mer utbredt i Norge, i takt med mer utbredt teknologi og digital forvaltning.

Norge har «noen av verdens beste miljøer» på datainnbrudd/datasikkerhet i Forsvaret. De er til salgs eller gratis tilgjengelig for kjente, om man tolker manglende reaksjoner i Skah-saken. (Mer: Alvor bak farsen, og: Forsvar til salgs.)

– – –

Basert på svarene norske bedrifter selv ga i 2007 sto like gjerne norske virksomheter som utenlandske bak industrispionasjen mot dem. Uavhengig av det kan de som utøver datainnbruddet sitte i et helt annet land enn oppdragsgiveren.

Fra rapporten FoU og innovasjon, NHO Norsk Industri, 2007.

Sensitiv informasjon på avveie har vært et økende problem de siste årene. Bevisstheten om det, og innsatsen for å begrense det, ser ikke ut til å ha økt tilsvarende. Det meste av oppmerksomheten er rettet mot næringslivet og informasjonstyveri eller  industrispionasje.

– Vi er litt for umodne. Vi er ikke bevisste nok på hvor lett det er å få tak i informasjon, sier daglig leder i Næringslivets sikkerhetsråd (NSR) Erland Løkken til Aftenposten.

Mange prøver seg. Hvem har ikke mottatt meldinger fra banken, Finn.no, diverse nettsamfunn eller nettbutikker om svindelforsøk og enkelte tyveri av informasjon?

Fra offentlig virksomhet er det verre å få slike erkjennelser. Man kan ikke se bort fra at en kommune eller et sykehus som roter bort en minnepinne med sensitiv informasjon,  eller der uvedkommende har fått tilgang, kanskje ikke har oppdaget det, eller ikke bryr seg om å varsle de som er eller kan være rammet.

Noen som har oppdaget det gir ansatte munnkurv om hendelsen. Av hensyn til kommunens eller sykehusets omdømme, som da altså veier tyngre enn hensynet til alle mulig rammede.

Med økt digitalisering av informasjon og ny teknologi kan en minnepinne lagre like mye informasjon som en lastebil med dokumenter. Hvis uvedkommende hadde fylt opp en lastebil med pasientinformasjon eller klientinformasjon fra ditt sykehus eller kommunens rådhus, så hadde kanskje noen reagert?

Ikke bare er det lettere å finne lastebilen enn en forsvunnet minnepinne, men innsatsen som settes inn for å finne minnepinnen synes ofte å være bagatellmessig i forhold til om samme informasjon hadde forsvunnet i en lastebil. Dette til tross for at digital informasjon lett kan kopieres og spres ytterligere. I motsetning til gamle papirmapper som ikke like lett kan spres.

Mange tusen, kanskje mange hundre tusen kan rammes.

Jeg har selv vært på kurs der mange offentlig ansatte hadde med seg minnepinner de ikke en gang visste at det var sensitiv informasjon på. Selv etter at de fikk vite det, lot de minnepinnene ligge usikret i hotellets konferanselokaler mens de hadde pauser. Dette er resultater av en kultur i forvaltningen.

Ingen reagerer når offentlig ansatte tar med seg en digital kopi av store mengder sensitiv informasjon på en minnepinne. Noen ganger for å bruke minnepinnen på en datamaskin med lavere sikkerhetsnivå, eller kanskje en maskin som uvedkommende har skaffet seg tilgang til?

Fire av ti datamaskiner kan brukes av kriminelle uten at eieren vet det. De kan være infisert av alt fra programmer som leter etter passord, fødselsnummer og identitetsopplysninger til målrettede angrep på en bestemt maskin.

Den gjennomsnittlige lærer bryr seg ikke om å varsle når en minnepinne som også inneholder sensitiv informasjon er på avveie. (Det aller meste som forsvant med minnepinnen er jo ikke sensitivt, så da er det vel ikke så farlig?)

Et inntrykk flere har delt med meg er at offentlige virksomheter som opplever at sensitiv informasjon om elever, pleietrengende eller andre kommer på avveie,  gjennomgående ofrer mindre ressurser på å skaffe det tilbake, eller informere de berørte, enn hva private virksomheter gjør.

Dette kan forklares med at for de private virksomhetene representerer informasjon på avveie mulig tapte inntekter. Og å ikke informere kan bety et omdømmetap de ikke aksepterer.

Når offentlig ansatte mister sensitiv informasjon er det gjerne andre enn de selv som rammes. Og offentlige ledere vurderer det som et omdømmetap å innrømme realiteter innen nivået på informasjonssikkerhet, og i noen tilfeller dårlig tilgangskontroll, innen sitt ansvarområde.

Derfor er det lettere å fnyse foraktelig over syklisten Landis og tenke: Slikt skjer i alle fall ikke her.

 

– – –

Mest lest på Norske forhold sist uke, pr 15. februar.

1. Skritt for skritt.

2. Avslørt.

3. Strengere straffer.

4. Hysj, vi kan ikke snakke høyt om det.

5. Støtter norske muslimer denne mannen?


Bloggurat

Blogglisten

Twingly BlogRank

Forsvarsministeren vil gi offiserer yrkesforbud (VG). Offiserenes fagforening reagerer, ikke uventet. Hvem vinner krigen? Den med lovlig politisk makt, eller de som tar seg til rette i mangel av strengere reguleringer og sanksjoner?

 

Bedre sent enn aldri

Oppdatert 1. mars. VG: Nytt Internet Explorer-hull rammer XP-brukere.

– – –

advarer også norske myndigheter mot å bruke Internet  Explorer. Advarselen fra Norsk senter for informasjonssikring (NorSIS) kom drøyt tre uker etter at Google offentliggjorde at sikkerhetshull i Internet Explorer var utnyttet i angrep mot flere selskaper og nettbrukere i Kina i midten av desember.

Den kom 19 dager etter at tyske myndigheter, (og raskt etter dem blant annet franske og svenske myndigheter) advarte sine innbyggere om det samme.

Fra nettsiden til NorSIS

Mange har kanskje tatt affære uten å vente på råd fra norske myndigheter. For en drøy uke siden meldte norske medier at advarslene (andre lands) virket.

Noen har kanskje ikke brydd seg om å gjøre noe heller, og satser på at ting oppdateres og går over av seg selv?

Her er forresten hva leserne av Norske forhold siste to uker har brukt av nettlesere:

Uansett skader det ikke å ha flere nettlesere, hvis du absolutt beholde en oppdatert versjon av Internet Explorer.

Mozilla Firefox kan du for eksempel laste ned på firefox.no. Fra Google.com/chrome får du Google Chrome og Opera kan lastes ned på opera.com.

Fra nyttår har forresten ikke norske offentlige organer lov til å diskriminere databrukere ved å tvinge dem til å benytte spesifikke programmer for å kunne bruke nettsidene og tjenestene. Mer om det her.

 

Mest lest på Norske forhold siste to dager, pr 2. februar.

1. Rett fokus.

2. Mot normalt.

3. Merkelig folkeparti.

4. Skandalen vokser, men følges det opp?

5. En ny Hamrén.
Bloggurat

Blogglisten

Twingly BlogRank

18. februar. VG: Nå kommer Microsofts tvungne nettleservalg. (Du kan selvfølgelig kvitte deg med Internet Explorer allerede nå.)

11. februar. VG: Oppdater Windows nå (Eller kvitt deg med Microsofts produkter som fremstår som årelange sikkerhetshull.)

4. februar. VG: Enda et sikkerhetshull oppdaget i Internet Explorer.