Passordsikkerhet som en Cyberboss!
Over de siste årene har mange sagt at passord er på vei ut, men ingenting er lenger fra sannheten. Jeg personlig, har aldri hatt flere passord enn jeg har i dag. Og antallet er, i motsetning til det feilende cyberprofeter sier, stigende.
Å huske passord er jo gøy! “Fy flate så bra et passord Gaute, dette kommer du aldri til å glemme!”, har unge lovende Wangen tenkt mang en gang. Men så lagres innloggingen i nettleseren slik at Gaute ikke må logge inn igjen de neste månedene. Og hva skjer da, når Gaute blir logget ut? Jo, jeg erindrer det gode minnet om at jeg lagde et knallbra og morsomt passord til denne tjenesten, men ikke hva det var. Da blir det resett-passord-dansen igjen.
Så hva skal vi gjøre med disse passordene? Det går jo ikke an å gå rundt å huske dem alle!
Jo, det skal jeg fortelle deg. Vi skal ha en risikobasert tilnærming til passordene våre. Det betyr at vi skal forstå konsekvensen av at passordene kommer på avveie og vi skal sikre oss deretter. Risikobasert tilnærming høres sofistikert, imponerende og litt edgy ut, så da gjør vi det, men først går vi igjennom litt av problemstillingene og sikkerhetstiltakene vi har tilgjengelig:
En-faktor-to-faktor-tre-faktor
De fleste er kjent med tilgjengelige sikringstiltak for passordsikkerhet, “BRUK TO-FAKTOR AUTENTISERING!” blir ropt landet rundt av Norges sikkerhetseksperter. Det er et godt råd som vi vet fungerer, men som du kanskje er lei av å høre om? For de som ikke er kjent med begrepet tofaktor eller multifaktor, betyr det at du må ha flere faktorer for å kunne logge inn på en konto. En faktor kan være noe du vet (passord), noe du har (kodebrikke), eller noe du er (slik som fingeravtrykk). Det er kombinasjonen av to slike faktorer som sies å være tofaktor. Eksempelvis, så regnes ikke en innlogging som krever to passord som tofaktor, det er bare noe du vet to ganger. Tofaktor handler om å redusere sårbarheten, for eksempel, hvis en angriper som klarer å hacke pcen din og lese av alle tastetrykkene dine. Da vil ikke to passord hjelpe deg noe særlig siden han får lest av begge to på samme måte. Men hvis du har en kodebrikke ved siden av Pcen så befinner denne seg i det fysiske rom og utenfor rekkevidden til hackeren. Altså økes kravene betraktelig for at angriperen skal lykkes og det er ikke lenger særlig gjennomførbart å lykkes med angrep fra Langtvekkistan.
Men trenger du tofaktor på alle brukerkontoene du har? Kanskje. Det er opp til deg, men vær risikobasert. (Mer om det senere, hold on, be strong)
Password overload
Det er for mange passord å huske, rett og slett. Passord-manager (håndterer på godt norsk) er programvare som lar deg lagre alle passord og innlogginger i en kryptert database. Databasen dekrypteres ved at du oppgir the one password to rule them all. Gode passord-managere lar seg integrere i nettleseren og på smarttelefonen. De kan hente frem passord til deg når du surfer ved at du oppgir det ene passordet som trengs, eller kanskje biometri på smarttelefonen. En ganske god løsning, men noe som for mange kan oppleves å ha ganske høy terskel for å ta i bruk. Jeg vil ikke skremme deg bort fra passordmanager (jeg bruker det selv), men vit at du legger alle eggene i en kurv og at den må sikres deretter.
En notatblokk med alle passordene nedskrevet er et godt alternativ til en passord-manager. Selv om dette høres usikkert ut og kanskje går imot intuisjonen, er dette et godt alternativ på samme måte som at kodebrikken i tofaktor er en god ide: Notatblokken befinner seg utenfor cyberspace og dermed utenfor rekkevidden for hackere. Du må altså oppleve innbrudd i heimen og tyveri for at den skal komme på avveie. Frykter du innbrudd? Legg notatblokken i safen med andre verdipapir!
Men husk at vi lever i Online-møtenes storhetstid! Ikke skriv ned passord på postit-lapper som kan være synlige i møter.
Passordregler og sammensetninger
Det sies at lange passord er å foretrekke foran korte passord fordi flere mulige kombinasjoner gjør det vanskeligere å gjette. Antall mulige tegn-kombinasjoner i et langt passord på 16 tegn er eksponentielt høyere enn et passord på 8 tegn. Hvis du bruker bare små bokstaver og det norske alfabetet (29 tegn) vil forskjellen være 29⁸ vs 29¹⁶. Prøv det på kalkulatoren og se forskjellen. Hvis vi i tillegg legger til store bokstaver så blir grunntallet 58, og legger vi til alle mulige tegn og tall, blir det ganske mye mer og tallet av mulige kombinasjoner øker betraktelig. MEN så vet jo både jeg, du, angriperne og Michael McIntyre* at vi har en del felles tendenser når vi skal lage passord, og at passordkomposisjoner er langt fra vilkårlige slik som mattestykket antydet.
In the beginning there was cyber…
For å gå tilbake til cyberinnelsen, ved passordenes opprinnelse i cyber valgte vi ofte et ord vi var glade i som passord, et positivt ord, som for eksempel sommer. Ettersom cyber ble skumlere kom passordreglene:
1. Når vi hørte at vi måtte legge inn minst en stor bokstav, satte vi selvfølgelig den første bokstaven som stor.
2. Når vi hørte at vi måtte legge til et tall, la vil til “1” på slutten av ordet.
3. Og til slutt, når de tvang oss til å sette på et tegn for å få passordet godkjent, la vi til det enkleste vi kunne finne, nemlig å holde nede Shift og trykke “1” igjen på slutten av passordet.
Så passordet sommer, ble da til Sommer1!. Og når vi måtte oppdatere passordet, var ettallet praktisk ved at vi bare kunne oppdatere passordet til nåværende versjon Sommer2!, Sommer3!, osv… Meget praktisk, og så lett å huske da!
Then, cyber was broken…
Disse passordene er enkle å knekke fordi passordgjettere (egen programvare) bruker massive ordbøker bestående av vanlige ord kombinert med kjente passord. Det er en smal smak å få programvaren til å prøve med stor forbokstav og å legge til tall og tegn bak ordene den prøver.
Mange forstår ikke helt greia med passordknekking, men en forenklet versjon (og litt teknisk) er at det:
1. Skjer et datainnbrudd hos en kommersiell aktør.
2. Stjeles en database bestående av passord. Dette er ofte det første de går etter når de kommer seg inn: Det ligger som regel ikke lesbare passord i denne databasen, men brukernavn og en tilhørende streng med tegn som ser vilkårlige ut (eks. 8743b52063cd84097a65d1633f5c74f5). Når du taster inn passordet ditt omgjøres det ved hjelp av en algoritme til en streng med tegn og den matches opp mot strengen som er lagret sammen med brukernavnet ditt. Algoritmen er en enveis 1-til-1 funksjon og du får tilgang hvis de matcher hverandre.
3. Settes i gang knekking av denne passordbasen. Hvis angriperen kjenner algoritmen som er brukt til å generere strengen og har passordet ditt i ordboken sin, så er snakk om minutter før han finner ut av det. Ikke sant, han kjører bare alle kjente passord gjennom algoritmen, produserer strenger og sammenligner disse opp mot passordbasen.
Det er derfor skal du bruke lange passord komponert av flere ord, tall og tegn; for å gjøre det vanskeligere for både andre og deg selv å komme inn på kontoen.
Problemet med få passord
Hvis du har bare ett eller to passord du bruker overalt har jeg dårlige nyheter til deg: Problemet med det er at hvis passordet blir kjent, kan de som kjenner til det logge inn overalt, på alle kontoene dine. I praksis være deg i det digitale rom. Det er kjipt. Si for eksempel at epostkassa di ryker og noen kommer seg inn i den. Da kan de bare søke opp alle aktiver konto- eller passordresettepostene dine for å få oversikt over alle kontoene dine. Dermed kan hostile takeover igangsettes. Har du registrert betalingskortet ditt på Amazon? Det var dumt.
“Men,” tenker du kanskje, “jeg bruker to sterke passord og du, Gaute, sa at det var vanskelig å knekke sterke passord!” Det er allikevel ikke bra nok. Du forutsetter da at alle stedene hvor du registrerer nye kontoer behandler passordet ditt på en forsvarlig måte. Men det gjør de jo ikke! Moteksemplene på dårlig passordsikkerhet og lekkasjer er altfor mange til å ramse opp. Tviler du? Start med haveibeenpwned.com og ta det fra der.
Hvis du bare har ett passord du bruker overalt, øker du sannsynligheten for at passordet kommer på avveie litt mer for hver nye tjeneste du bruker det på.
Å oppdage når ulykken er ute
Da har vi gått litt igjennom noen grunnleggende problemer med passord og hvilke tiltak vi har tilgjengelig for å sikre oss. Hva kan vi gjøre for å oppdage at noen har kommet seg inn på kontoen? Jo, flere tjenester tilbyr å sende en notis hver gang det logges inn fra en ny enhet eller fra et annet geografisk område. For eksempel, hvis noen logger inn på kontoen min fra en ny enhet får jeg en melding om når det ble gjort og hvor det kom fra. Dette er en flott mekanisme som lar oss reagere fort og ta tilbake kontrollen, men det forutsetter selvsagt at vi er våkne når det skjer og det er vi jo nødvendigvis ikke. Det er nok flere fortvilte sjeler som har våknet til meldinger om innlogginger som har skjedd midt på natten. Da kan det være for sent å reagere.
For at du skal kunne ta kontoen enkelt tilbake bør du ha koblet tjenesten din opp til en annen tjeneste, merk: med et annet passord, for å resette. Har du ikke gjort det, kan dette bli en lang og tung prosess.
For kontoer på sosiale medier har du også jungeltelegrafen til å si ifra når kontoen din begynner å spre virus og spam, men jeg ville ikke stolt 100% på den heller. Noen trusler har mer ondsinnede hensikter enn å spre dritt på nett.
Risikobasert som en cyberboss
Hva skal vi gjøre med dette og hvordan håndterer vi disse risikoene? Jo, vi skal være risikobaserte! Carl von Cyberwitz sa en gang på 1700-tallet: “Man kan ikke være risikobasert uten å være informasjonsklassifisert og verdivurdert!” Men finnes det to ord som er mindre inspirerende enn det der? Jeg forstår godt at du kjenner motvilje når du hører at du skal bli informasjonsklassifisert, men bear with me som vi sier på Moelv. For å kaste fancy fagterminologi til drive wiperen, så handler dette om å forstå hva man har og hva man gjør med det. Og her er indrefileten på storauren:
Passordene dine har forskjellig verdi. Både for deg og hackere. Derfor bør vi håndtere de forskjellig.
Så kjedelig som det er må vi rett og slett sortere passordene våre og sikre de etter verdi:
Mange er kjent med klassifiseringsbegrepene fra NATO: COSMIC TOP SECRET, SECRET, CONFIDENTIAL, RESTRICTED og UNCLASSIFIED. Disse er intuitive og i denne artikkelen bytter vi ut NATO med “Gaute” fordi det er mitt regime. Vi bruker en enkel klassifisering for å verdivurdere. Slik ser sånn ca. mitt passordhierarki med sikringstiltak ut:
Jeg har garantert glemt noe i tabellen over her, men som du forstår handler hierarkiet om konsekvenser. Det er en sortering av passord basert på mulige konsekvenser av at et passord kommer på avveie. Hele poenget med sikringen i dette hierarkiet er at ingen kan bevege seg oppover i klassifiseringsnivå ved bli kjent med en hemmelighet på lavere nivå. På de to høyeste nivåene skal heller ikke angriperen ha mulighet til å få tilgang til andre kontoer på samme nivå ved å få tilgang til en.
Gaute Top Secret
Her befinner det aller viktigste seg: Pengene mine (BankID), offentlig digital identitet, passordet på passord manageren, og mine gamle epostkontoer. Avhengighetene til sistnevnte gjør at hvis de blir tatt så er det en reell risiko for at flere av kontoene lenger ned i hierarkiet faller som en domino via passordresett. Disse passer jeg derfor ekstra godt på.
Uten å avsløre altfor mye om mine kontoer, har jeg en Microsoft-konto, big surprise! Når jeg går inn på denne kan jeg gå inn på sikkerhet for å se påloggingsforsøk. Tror du ikke trusselen er ekte?
Jeg har ikke vært i Malaysia i hele mitt liv. Verken IRL eller via VPN (som jeg vet om). Her har dette kjekke eksemplaret av en asiat sannsynligvis fått tak i brukernavnet mitt og et gammelt passord jeg har brukt tidligere. Et passord som nå befinner seg i gruppen Gaute unclassified. “Koster jo ingenting å prøve da!”, tenkte han sikkert på malaysisk. Mye å vinne, lite å tape for han. For meg og deg er det motsatt.
Som du forstår: I Top secret har jeg aktivert alt av sikkerhetstiltak jeg kjenner til. I tillegg så er ikke disse passordene nedskrevet noe sted. Det er snakk om rundt 5 passord og det klarer jeg å huske. Det klarer du også hvis du spiser nok B-vitaminer.
Gaute Secret
Det er ikke superlett å skille mellom Top Secret og Secret, men jeg har gjort et forsøk. Den praktiske forskjellen er at dette er passord jeg tør å putte i passord-manageren min. Selv om jeg har høy tillit til den, er den ikke 100%. Databasen må ligge skyen for at den skal kunne synkronisere på tvers av enhetene mine og medfører derfor litt ekstra risiko. Men nå er jeg i ferd med å smitte min egen paranoide beredskap over på deg, kjære leser. Og det er ikke intensjonen.
De viktigste sosiale medie-kontoene mine befinner seg på dette nivået, sammen med kjøp og salg, finansielle transaksjoner (selv om jeg nesten aldri bevisst velger å lagre kortinfo noe sted), og generelt tjenester som håndterer penger. Utvalgte arbeidskontoer til viktige tjenester ligger her. Mitt personlige PC-passord og kontoer som inneholder personinformasjon om familien min befinner seg også her. Du skjønner tegninga og dette begynner å bli kjedelig å skrive om. Mindre konsekvenser enn Cosmic, men fortsatt ganske slitsomme greier.
Gaute Confidential og Restricted
Nå kommer vi et interessant område: lavrisikotjenester. Skillet mellom Confidential og Restricted er litt opp til deg. Selv om ledende eksperter innen passord sier at du aldri skal gjenbruke passord eller dele passord med andre, så syns jeg begge deler er helt greit under visse forutsetninger: du forstår verdien av tjenestene dine og konsekvensen av misbruk. Da kan du ta en risikobasert beslutning. Det er f.eks. helt greit å dele Wi-fi passordet ditt med folk du stoler på. Har du et standardpassord for søppeltjenester? Jeg syns det også er greit. Bare la det være litt langt, helst over 12 tegn, så det blir litt vanskelig å knekke. Bruk passordregler for å få enkle variasjoner mellom tjenester slik at passordene er enkle å huske, men forskjellige.
Selv om jeg for tiden flytter alt over til passord manageren min, betyr ikke det at det er nødvendig, det er bare god praksis. Her er vi pragmatiske: Hva har det å si om noen kommer seg inn på f.eks. Netflix eller Spotify-kontoene mine? Ja, det er kjipt hvis de sletter playlisten min eller tjuvstreamer på min regning, men det er slettes ikke verdens undergang, i hvert fall ikke for meg. Det er 100 ganger verre hvis noen kommer seg inn på bankkontoen.
Gaute unclassified
“Hemmeligheter på internett er til å for å bli avslørt,” sa Cyberstotles i år 233 før Kristus. Og passord er intet unntak. Passord som var sterke for 20 år siden er ikke nødvendigvis sterke i dag og de fleste bedrifter vil oppleve et hackerangrep med passord på avveie. Noen passord blir kjente over tid og da er det på tide å bytte de ut. Hvor mye arbeid det blir kommer an på hvor mange tjenester du bruker passordet på. Er det bare en tjeneste er det en smal sak.
The Final Boss of the Internet
Som du skjønner tar jeg dette med ID-tyveri på alvor, det bør du også. Med mitt regime er jeg neppe The Final boss for ID-tjuver og hackere, men jeg er et vanskelig mål: Det kommer til å koste mye tid og arbeid for å ta over hele min digitale identitet, forhåpentligvis så mye at det ikke er verdt det. Og jeg er robust hvis jeg for eksempel skulle falle for en phishing epost og ett av passordene mine skulle komme på avveie. Jeg har begrenset konsekvensene og er forhåpentligvis i stand til å oppdage hvis noe skulle skje.
Jeg forstår også at dette kanskje virker komplisert og ikke passer for deg. Du har garantert en annen risikooppfattelse enn meg, men hovedprinsippene i denne tilnærmingen er like uansett:
Du har noen passord som er mye mer verdt enn andre og du bør identifisere de og sikre de.
Avslutningsvis er det opp til deg hvor hardt eller mykt mål du vil være. I møte cyberkriminelle, vil du være
Eller
Det er ikke umulig å slå oss, men vi skal være en så hard nøtt å knekke at det ikke er verdt det for motstanderen!
