Hvordan få orden på passordene dine

Med ujevne mellomrom kommer det oppslag i media om ulike nett-tjenester der brukernes passord er på avveie. Sist var det LinkedIn. Blant tjenesteleverandørene som tidligere har opplevd at uvedkommende har skaffet seg adgang til brukerpassord er e-posttjenester som; G-mail, Hotmail og Yahoo, musikktjenesten Spotify, Nettby og diverse andre sider for kontaktsøkende mennesker.

Faksimile VG.

Tidligere i år har norske medier  meldt om passord på avveie fra diverse spillsider (TV2) og YouPorn.com (VG). Noen jakter stadig på andres passord, både tilfeldig og målrettet. Det blir sikkert ikke lenge til neste sak mot tilfeldige brukere blir kjent.

De målrettede angrepene får uvedkommende (folk flest) gjerne ikke vite om. De som utsettes for det ønsker ofte ikke å avsløre hverken om de har mistet kontroll på sensitiv informasjon eller at de har oppdaget  innbryterens metoder og hva de var ute etter.

De enkleste passordene blir gjerne knekt først. Derfor kan det være lurt å ha noen skikkelig vanskelige passord, men det skaper igjen nye problemer … med å huske dem. Her kommer noen triks.

Overlate jobben til andre

Det finnes en rekke tjenester som tilbyr seg å lagre passordene dine for deg, både gratis og mot betaling. Her gjelder å holde tunga rett i munnen, for ikke å si i rett munn. I tilfelle man vil benytte en «password manager» så vurder først troverdigheten til tjenesten og hva du er villig til å risikere. Uansett må du huske ett passord – til denne tjenesten. Med mange egg i samme kurv er det viktig å sikre denne kurven sterkest mulig.

Hoppe over problemet

Hvis man ikke trenger å huske passordet, kan man skrive hva som helst av tegn i en lang nok kombinasjon. Hvis man allikevel har elendig passordhukommelse og benytter tjenester der det er mulig å klikke «glemt passord» for å få tilsendt et nytt, kan det kanskje være like greit for noen? Man trenger da kun å huske enten passordet til e-postkontoen man får nytt passord sendt til, eller huske hvor man har lagt mobiltelefonen dersom nytt passord skal sendes som SMS.

Et minus ved denne metoden kan være at enkelte tjenester er trege med å sende nytt passord. Da finnes det en annen måte å hoppe over problemet på. Den gir deg ikke sikrere passord, og kan til og med utgjøre en risiko for kompromittering, men om man vurderer risikoen for krenket personlig integritet som lavere enn fordelen med å ha orden på visse passord, kan den brukes.

  • Lagre slike passord i en kontaktliste under navn du, men ikke andre, gjenkjenner som nettstedet. På Wimp kunne passordet da ha vært lagret under navnet: Gitar-Geir, der adressen, yrkestittelen eller første ledd i den fiktive e-postadressen er passordet ditt.
  • En variant kan være å lagre passord til slike lite sensitive tjenester i et dokument på enheten, i e-postboksen eller lignende.

Passordet 123456 på LinkedIn er avslørt i denne hashtagen. LeakedIn lar deg prøve ulike passord.

Slik lager du passord som er lette å huske, men vanskelige å knekke.

Det er mye vanskeligere for de fleste å huske en tilfeldig rekke med tall, store og små bokstaver enn å huske en favorittsang, en hyggelig hendelse eller noe man gleder seg til. Rekken JsgmmC23jpFb er bare på 12 tegn, som er maksimalt antall tegn flere tjenester lar deg ha i et passord, men hvor mange slike klarer du å huske? Hvis tegnene danner en mening for deg kan du klare mange.
Hvis setningen «Jeg skal gifte meg med Cathrine 23. juni» betyr noe for deg, bør det være mulig å huske at du skal bruke første bokstav i hvert av ordene «JsgmmC23j». Man må bestemme seg for hvordan man skal bruke store og små bokstaver i slike setninger. Bryllupsdatoen kan du like gjerne pugge uansett. Det vil du få igjen for senere 🙂
Hvis man tviler såpass på egen hukommelse at man ikke tør prøve mer enn en setning, går det an å ha et tillegg på slutten. Her har jeg satt på de tre bokstavene pFb, som kan bety at dette passordet er til bruk på Facebook.

Hvis man skulle bruke samme setning på en annen konto kunne den se slik ut:
På Hotmail: JsgmmC23jpHm.
På Elghundklubben: JsgmmC23jpEk.

Hvorfor bry seg?

Om man spør mange nok finner man alltids noen som ikke ser noe problem i at hverken deres egne passord er på avveie eller at uvedkommende følger med på deres digitale liv: «De har jo ikke noe å skjule»? For all del, man skal ikke tvinge noen til å skaffe seg bedre passord eller ivareta sin digitale integritet. Derfor er det tips om en del dårlige passord litt lenger ned i artikkelen også. Passord som har vært i bruk på LinkedIn inntil de nylig ble publisert som såkalte «hashtags» på en nettside som brukes en del til slikt.

En «hashtag» kan beskrives som en utregning der passordet gjøres om til en kode på 32 bokstaver og tall. Dette skal tjene som identifiseringskode for nettstedet der passordet brukes slik at de slipper å lagre passord i klartekst. Hvis noen for eksempel har brukt passordet «123» blir det til koden «40bd001563085fc35165329ea1ff5c5ecbdbbeef».

De som av en eller annen grunn ønsker å skaffe seg tilgang til en konto der de kjenner «hashtagen» på passordet kan da få maskinen til å sjekke opp slike lekkede hashtager mot lister på tidligere identifiserte passord.

Kanskje ønsker de som driver med slikt bare å få adgang til e-postkontoen din for å bruke den til utsendelse av spam og få tak i stadig flere bekreftet aktive e-postadresser å selge videre til andre spammere? Kanskje er de ute etter identitetstyveri eller å bruke e-posten eller Facebook-kontoen til å svindle andre.

Hvordan ville kontaktene dine ha reagert dersom de fikk en melding om at du satt fast på flyplassen i Bangkok og måtte betale en avgift (for eksempel tilsvarende 300 kroner) til et oppgitt kontonummer for å komme deg på flyet? En som har tilgang til e-postkontoen kan ha tilgang til reisedetaljer også. Hver av dine hjelpsomme venner som blir lurt vil gi en pen gevinst for svindleren som kan sitte i Nigeria, Brasil, Ukraina  … eller ved siden av deg på toget og se passordene på tjenestene du har logget deg inn til på usikret (eller passordknekket) trådløsnett.

Mange vil kanskje ikke gidde å varsle politiet en gang om noe slikt hvis redselen for å bli konfrontert med sin egen naivitet, eller troen på henleggelse, uansett er høyere enn savnet av de få kronene.

Økonomiske motiver er kanskje det som rammer de fleste, men det er tross alt bare penger. Enkelte vil en eller annen gang også oppleve at uvedkommende tar seg inn i deres passordbeskyttede kontoer av mer personlige grunner: Hevn, sjalusi, posisjonering i en arvestrid, barnefordeling, … eller kanskje for å finne sensitivt materiale som tilhører arbeidsgiver, et utvalg man jobber med eller lignende. De som har noe å beskytte vil nok skjønne det.

 Her er noen dårlige passord

De som bare trenger et enkelt passord kan velge og vrake i følgende passord som blir ledige på LeakedIn nå, men som var i bruk av noen inntil hashtagene ble publisert på nettet av noen som har skaffet seg uautorisert adgang til dem.

Passordet stortinget er avslørt her.

Den som brukte passordet stortinget må finne et nytt et nå. Stortinget (med stor S) var i alle fall ikke blant de avslørte hvis du trenger tips.

Av de andre avslørte passordene på LinkedIn nylig nevnes: mandag, tirsdag, onsdag, torsdag og fredag. Ingen hadde tenkt på å skrive ukedagene med stor bokstav, så det får være et tips om nesten like dårlige passord for de som vil ha det.

Fredagspils var ikke blant de avslørte passordene.

Blant de avslørte passordene var pilspils, men fredagspils var ikke blant dem, så tipset er formidlet til de som måtte føle behovet.

Derimot var alle følgende ord i bruk som passord, inntil de altså ble avslørt, slik at brukerne nå må endre fra: Passord, password, Linkedin, Gunnar, 123456, hestkuk, aftenposten, Dagbladet, 17.mai, pupper, KingKong, Netcom, hemmelig, cocacola, Hansen, Jensen, Elizabeth, Bjarne, Ludvig og det ikke lenger helt originale qwerty, selv med stor bokstav først.

Passordet øløløl er blant de lekkede passordene, men var ikke knekket ennå da dette innlegget ble publisert.

De som jobber med å knekke disse passordene sliter ofte med de særnorske bokstavene som æ,ø og å. Det kan være et tips for deg som ikke synes det er veldig viktig å gjøre det enkelt for passordtyver å stjele dine passord.

Passordet øløløløl var et av de stjålne som ikke var cracket ennå da dette innlegget ble publisert, men det var i tilfelle kun et spørsmål om kort tid før de fikk kjørt gjennom ulike tegnsett.

Lykke til med nytt passord.

Bloggurat

Blogglisten

Mer:

Strafferammen for datainnbrudd er seks måneder fengsel, men inntil to år hvis det er i vinnings hensikt.  Mer om datainnbrudd.

Mer om emnet informasjonssikkerhet kan du finne hos Norsk senter for informasjonssikring (NorSIS).

LeakedIn.org og Lastpass.com kan du teste om passord er blant de lekkede fra LinkedIn.

 

Innbrudd i blogg og e-post

Like etter midnatt søndag 25. september 2011 har noen foretatt datainnbrudd i bloggen Norske forhold. Samme natt er det foretatt datainnbrudd i diverse e-postkontoer og nettjenester tilknyttet driften av bloggen (med mer).

Når uvedkommende tar seg inn i andres e-postkontoer eller brukerkontoer som er beskyttet med et passord, er dette straffbart etter straffelovens § 145, andre ledd (uthevet). Medvirkning straffes på samme måte:

Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler.

Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.

Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.

Medvirkning straffes på samme måte.

Offentlig påtale finner bare sted når allmenne hensyn krever det.

Foreløpig ser det ut til at de som foretok innbruddet hadde til hensikt å dempe besøket på bloggen og hindre at den kommer høyt på besøkslister som Bloggurat og Blogglisten for tiden. Noen har i alle fall manipulert med scriptkodene i bloggen slik at besøk ikke lenger telles på blant annet disse listene.

I tillegg har noen funnet seg behag i å stanse automatisk e-postvarsling om nye innkommende kommentarer og slettet tre e-postvarsler.

Det førte til at tre kommentarer som ble innsendt på formiddagen 24. september til innlegget «Kampen om makt: Hvem varslet TV2», dessverre ikke ble oppdaget og publisert før to døgn etter at de ble postet.

Jeg registrerer at den/de som foretok innbruddene ikke slettet hele bloggen, men bare påførte en del tidkrevende ekstraarbeid som de måtte vite ville bli oppdaget, men kanskje ikke før det hadde gått et par dager.

Da er det naturlig å anta at noen for noen dager (?) ville dempe trafikken på bloggen og samtidig varsle bloggeier om hva de er kapable til.

Jeg kommer ikke til å politianmelde disse datainnbruddene. Årsaken er tidligere erfaring.

Jeg har tidligere, for to år siden, anmeldt innbrudd i blogg og e-postkontoer, men da fordi de var ledsaget av trusler/varsel om å «ikke skrive om (en navngitt FrP-politiker som i dag er vararepresentant til Stortinget)» og av hensyn til familiemedlemmers sikkerhet.

Sammen med blant annet hendelser overfor et nært familiemedlem, der en identifisert mannsperson flere ganger viste seg frem ved vedkommendes skole og tydeligvis ønsket å fortelle at «vi er her», pekte de sporene i retning av en person med bakgrunn fra militære utenlandsoppdrag som drev innen det som så diffust kalles «privat sikkerhetsbransje».

Vi fant det påfallende at vedkommende viste seg å selv ha en forbindelse til FrP-politikeren som man altså ikke skulle ha lyst til skrive om. I tillegg viste det seg at mannen i «sikkerhetsbransjen» selv hadde et folkevalgt verv i FrP i perioden 2007-2011. Firmaet hans var registret som enkeltmannsforetak i  Brønnøysundregistrene, men ble av en eller annen grunn nedlagt kort tid etter vår kontakt med politiet om saken. (Mannen er forøvrig i følge åpent tilgjengelig informasjon ansatt i et helt annet firma.)

Den gang opplevde vi at politiet var svært motvillige til å motta en slik anmeldelse da det etter deres utsagn ikke var noen vits i å anmelde slikt.

Disse siste innbruddene vil derfor ikke bli politianmeldt.

Jeg antar det som vil irritere de som står bak innbruddene mest er om linker til innlegget «Kampen om makt: Hvem varslet TV2» allikevel sprer seg de nærmeste dagene.

 

PS: For to år siden, like før stortingsvalget i 2009, var det en FrP-politiker som kontaktet WordPress.com skriftlig med varsel om søksmål med summer i henhold til delstaten Californias lov dersom de ikke umiddelbart fjernet bloggen min, som da var der. WordPress.com slettet da uten videre varsel eller forsøk på kommunikasjon hele bloggen, som den gang var en av Norges mest leste innen samfunnsdebatt.

Derfor begynte jeg i september 2009 å blogge hos Bloggnorge, en leverandør som forhåpentligvis også i fremtiden respekterer norsk lov og ikke gir etter for press om å fjerne lovlige ytringer og søkelys på enkelte maktpersoner med ambisjoner om å få plass i landets nasjonalforsamling.

Dersom bloggen allikevel skulle forsvinne, får dere ha takk for følget. Og skriv gjerne i vei om lignende ting.

 


Bloggurat

Blogglisten

Twingly BlogRank

Mer:

I ny straffelov (ikke i kraft pr 26. september 2011) er det nye bestemmelser om vern av informasjon og informasjonsutveksling.

Mer om det i Ot.prp 22 (2008-2009), kapittel 2.

 

Advarer mot nødhjelpsvindel

Oppdatert 24. januar. VG: Fem utenlandske bøssebærere siktet for svindelforsøk i Norge.

21. januar. Vårt LandVG: Falsk pengeinnsamling i kirkens navn avslørt i Sverige.

– – – – –

Internett har gitt all verdens skurker enkel tilgang til et stort antall mulig lettlurte folk. Ved store mediedekte katastrofer flommer det ut med situasjonstilpassede e-poster og nettsider med svindel som formål.

Amerikanske FBI advarer nå mot å gi penger til mulige svindlere etter Haiti-katastrofen og oppfordrer til å være kritisk til hvem man gir til og hva man gjør med e-poster med bønn om penger (NRK).

Jordskjelvene i Haiti fryktes å ha resultert i så mye som 100 000 døde. (Oppdatert: TV 2: Opptil 50 000 døde.) (Svake bygninger forverret katastrofen, NyTeknik.)

Høye dødstall,  frykt for epidemier, dramatiske beskrivelser og bilder kan påvirke mulige giveres evne til å tenke kritisk over hvor de sender sin støtte. Selv om man bare mener det godt, så virker det mot sin hensikt å bidra til at slike svindlere ser seg tjent med å fortsette å lure til seg nødhjelpspenger.

Oppfordringen må derfor være at man gir sin hjelp gjennom organisasjoner man stoler .

Det kan også være fornuftig å gi til noen som har et fungerende hjelpeapparat på stedet.

Frelsesarmeen har i mange år, siden 1950, drevet omfattende hjelpearbeid på Haiti. De driver 103 skoler i tillegg til barnehjem, sykehus, helsestasjoner og matutdeling. Ildsjelen Anne Kristine Herje er tildelt St. Olavsmedaljen for sin innsats i inn- og utland. Hun reiser nedover igjen 24. januar. Jeg stoler i alle fall på dem.

Faksimile fra Frelsesarmeens nettsider.

Faksimile fra Frelsesarmeens nettsider.

 

[polldaddy poll=2521304]

Mest lest på Norske forhold siste tre dager, pr 14. januar.

1. Bukken og havresekken.

2. Hva når strømmen forsvinner?

3. En håpløs kamp.

4. Strafferabatt.

5. Barnevernet skal kontrolleres bedre.

Bloggurat

Blogglisten

Twingly BlogRank

19. januar. VG: Haiti-støtte strømmer inn til boikottet tegners innsamling. TV 2: Minst 75 000 omkomne. 18. januar. VG: Pengene strømmer inn.

16. januar. VG: Her kjemper plyndrere med kniv. VG: Stor norsk giverglede etter Haiti-tragedien.

15. januar. TV 2: Hjelpeorganisasjoner lager felles Haiti-innsamling. Vårt Land: Stor giverglede til Haiti. Kirken ber om ekstrakollekt til Kirkens Nødhjelp sitt Haiti-arbeid. VG: FNs matlagre er plyndret. TV 2: Redningsarbeidere tør ikke jobbe om natten.

VG: Komikere stiller opp for UNICEFs arbeid på Haiti. VG: Idrettsstjerner står fram for Haiti. TV 2: Myndigheter er fraværende. TV 2: UD har ikke fått kontakt med savnet nordmann. VG: Akutt behov for likposer. VG: Fant broren død. Nygift fant kona død. VG: TV-stjerne frykter familien er døde. VL: Mangler alt. VG: Norsk redningsteam fikk UD-nei. VL: Hundretusener på flukt fra Port au Prince. VG: Gikk ut av ruinene etter 40 timer. TV 2: 22 FN-ansatte funnet døde i ruinene. VG: Dansk TV 2 bløffet i Haiti-intervju. VG: Obama lover 100 millioner dollar og annen støtte. VL: Forbereder seg på elendighet. DN: Sverige sender 12 redningsarbeidere. DN: Lance Armstrong gir penger til Haiti-ofre. TV 2: USA sender 2000 soldater. VL: Norge gir 40 millioner. Politiken.dk: IT-kriminelle utnytter katastrofen på Haiti til å spre virus. P: Dansker i Haiti  har det etter forholdene bra, men sitter fast. VL: Roper til Gud fra ruinene. Vårt Land: Venter på livstegn fra fadderbarn. Vårt Land: Dollarpredikant hevder Haiti straffes for pakt med djevelen. Vårt Land: Clinton: Bibelsk tragedie rammet Haiti. D: UD søker etter svensker. TV 2: Nordmann savnet i Haiti. VG: Her er satelittbilder av ødeleggelsene. SvD: Sammenlignes med tsunamien. VG: Reddet kona etter ti timer.