Meny

Én milliard Yahoo-kontoer rammet:

Passord-lekkasjene: hva kan du gjøre?

Se video.
Se video.
Onsdag innrømmet den fallerte nettkjempen Yahoo enda et enormt sikkerhetsbrudd. Norske brukerdata er antakelig også på avveie. Hva kan du gjøre for å sikre deg?

Noen råd om passord

Faren for at passordet ditt på ett eller annet tidspunkt kommer på avveie, er ifølge Nasjonal sikkerhetsmyndighet stor.

  • Bruk 2-faktor autentisering der det tilbys. To-faktor autentisering er autentisering med noe man vet og noe man har, for eksempel et passord og en kodebrikke.
  • Bruk unike passord for ulike tjenester. Da begrenser man skadevirkningen ved en lekkasje.
  • Tjenester som inneholder sensitiv informasjon bør ha særlig høy passordsikkerhet. Eksempler: jobb-passord, e-post, helseopplysninger.
  • Skriv gjerne ned passordene på papir. Listen bør behandles som et verdipapir, og beskyttes deretter. Eller bruk et elektronisk passordverktøy.
  • Passord skal være lange, komplekse og «uvanlige». Bruk særegne tegn, hele setninger bare du kan huske, gjerne en kombinasjon. Ingen andre bør kunne ha valgt samme passord som deg.
  • Passord kortere enn ti tegn regnes som svake. Vanlige angrepsformer i dag kan teste milliarder av kombinasjoner på kort tid, og knekker kortere passord raskt.

Flere kortfattede råd om passordsikkerhet fra Nettvett.

Kilder: Anne-Marie Eklund Löwinder og rapporten Lösenord för alla (IIS), NSM.

«Yahoo tror en uautorisert tredjepart i august 2013 stjal data knyttet til mer enn én milliard brukerkontoer», het det i en uttalelse fra selskapet onsdag. Yahoo understreker at dette er en separat hendelse fra 2014-lekkasjen som ble kjent 22. september 2016. Denne berørte 500 millioner brukere, og var den største kjente lekkasjen til da.

Yahoo sier at selskapets eksperter oppdaget den seneste lekkasjen under etterforskningen av den som ble kjent for tre måneder siden.

På midten av 90-tallet var Yahoo blant de mest populære adressene på internet, og hjalp mange navigere på web for første gang. Yahoo er kanskje ikke lenger nummer én-tjenesten for de fleste nordmenn, men mange av oss har eller har hatt en konto der.

Dersom du fremdeles har en Yahoo-konto, og ikke endret din påloggingsinformasjon allerede da forrige lekkasje ble kjent, anbefaler nettstedet nå å endre passord og sikkerhetsspørsmål for tjenesten. Brukernavn og passord har også en lei tendens til å bli gjenbrukt over flere nettsteder. Her må de også endres.

Les også: «Avalanche»: – Datanettverk ga «brukerstøtte» til kriminelle

Mange store lekkasjer

ABC Nyheter har i høst skrevet flere artikler om passordsikkerhet og andre problemstillinger rundt de store datalekkasjene. Yahoo er langt fra det eneste store selskapet som har vært rammet: LinkedIn hadde et innbrudd i 2012, der 117 millioner passord lagt ut for salg i mai i år antas å stamme fra dette angrepet. Skytjenesten Dropbox ble også rammet i 2012. Denne lekkasjen omfattet brukerinformasjon fra 68,6 millioner kontoer.

Det finnes flere nettsteder som tilbyr å teste dine brukernavn (e-post og tilsvarende) for å se om de er omfattet av slike kjente sikkerhetslekkasjer.

Sikkerhetssjef i Internetstiftelsen i Sverige, Anne-Marie Eklund Löwinder, regnes som en av Sveriges fremste eksperter på IT-sikkerhet. Foto: IIS.
Sikkerhetssjef i Internetstiftelsen i Sverige, Anne-Marie Eklund Löwinder, regnes som en av Sveriges fremste eksperter på IT-sikkerhet. Foto: IIS.

Den svenske IT-sikkerhetseksperten Anne-Marie Eklund Löwinder anbefalte tidligere i høst nettstedet «Have I Been Pwned?» for ABC Nyheters lesere. Merk at enkelte slike nettsteder også drives av kriminelle, som vil lure deg til å oppgi ditt passord.

– Hvis man får røde treff [på sitt brukernavn i Have I Been Pwned], betyr det at man har vært offer for en av de mest kjente lekkasjene og bør skifte sine passord, uttalte Löwinder i artikkelen «– Tvungent passordbytte er direkte skadelig».

Les også: Er passordet ditt avslørt?

– Unike passord for hver tjeneste

Löwinder, sikkerhetssjef i svenske Internetstiftelsen (IIS), anbefalte også at man har unike, sterke passord for hver tjeneste man bruker (se faktaboks for råd om sterke passord).

– Da begrenser man skadevirkningen om det skulle komme en lekkasje, sa sikkerhetssjefen.

Men hun medga at det å huske ti-tjue forskjellige sikre passord er nærmest umulig. Selv bruker hun et passordverktøy, et dataprogram som kan både lagre og generere passord for deg. Dette kan man også ha som app på mobilen.

Passordverktøyet kan sammenlignes med et verdiskap. Det hjelper deg både å skape sterke passord, og oppbevarer passordene dine på en sikker måte.

– Det eneste passordet man behøver huske med en slik løsning, er det ene til passordverktøyet, forklarte Löwinder.

Én milliard Yahoo-kontoer kan være omfattet av sikkerhetsbruddet i august 2013. Dette er dobbelt så mange som den tidligere kjente lekkasjen fra 2014. Foto: Ritchie B. Tongo / EPA
Én milliard Yahoo-kontoer kan være omfattet av sikkerhetsbruddet i august 2013. Dette er dobbelt så mange som den tidligere kjente lekkasjen fra 2014. Foto: Ritchie B. Tongo / EPA

Det finnes en rekke slike programmer. Her har PC Magazine en gjennomgang av årets beste passordverktøy, i en artikkel fra august.

NSM: – Greit å skrive ned passord

For dem som synes passordverktøyene virker plundrete å sette seg inn i har Nasjonal sikkerhetsmyndighet (NSM), en av våre hemmelige tjenester, en god nyhet:

– Hackerne som stjeler passordet ditt befinner seg ikke på ditt hjemmekontor, ved din maskin. Så det å skrive passordet ned på en lapp hjemme er faktisk uproblematisk, sa avdelingsdirektør i NSMs avdeling for cybersikkerhet, Hans Christian Pretorius, til ABC Nyheter i artikkelen «Din e-post er mål for kriminelle».

NSM understreker at listen bør behandles som et verdipapir, og beskyttes deretter. Den bør heller ikke ligge synlig i nærheten av din datamaskin.

«Velger du å skrive ned passordene dine, så gjør det med penn og papir. IKKE lagre dem som en fil på datamaskinen», heter det i passordrådene fra NSM til privatpersoner.

På sikt anbefaler både Löwinder og NSM at brukere benytter tofaktors-autentisering der det er mulig, ikke minst på viktige tjenester med mange sensitive opplysninger. Den ene faktoren kan være et passord, det andre en engangsnøkkel man får tilsendt for eksempel til mobil. Altså samme prinsipp som de fleste av oss allerede bruker med kodebrikken i nettbanken. Google, Dropbox og Facebook er blant tjenestene som allerede tilbyr slike to-faktorløsninger.

Les også: Slik gikk det da «Microsoft» forsøkte å svindle ABC Nyheter

– Vanskelig for brukerne å vite sikkert

«Yahoo har truffet tiltak for å sikre brukerkontoer, og samarbeider tett med politiet», het det i uttalelsen fra onsdag.

Yahoo skal ha knyttet noe av aktiviteten omkring lekkasjen til «den samme statsstøttede aktøren vi tror var ansvarlig for datatyveriet selskapet gjorde kjent 22. september». Andre analytikere har trukket statsaktør-teorien i tvil.

Yahoos brukere vil nå bli bedt om å endre passord, og ikke-krypterte sikkerhetsspørsmål og –svar har blitt gjort ugyldige.

Avdelingsdirektør i Nasjonal sikkerhetsmyndighets (NSM) avdeling for cybersikkerhet, Hans Christian Pretorius. Foto: NSM.
Avdelingsdirektør i Nasjonal sikkerhetsmyndighets (NSM) avdeling for cybersikkerhet, Hans Christian Pretorius. Foto: NSM.

Brukerinformasjonen i den tidligere kjente 2013-lekkasjen kan ha inkludert navn, epostadresser, telefonnummer, fødselsdatoer, passord med «hash» og i visse tilfeller krypterte og ikke-krypterte sikkerhetsspørsmål og –svar, ifølge Yahoo. Hackerne skal ikke ha fått tilgang til passord i ren tekst, kredittkortdata eller bankkontoopplysninger.

– Jeg blir like forundret hver gang det lykkes hackere å få tak i denne mengden data. Vi anbefaler alltid kryptering som et opplagt tiltak [for bedrifter]. Man må kunne forvente at denne typen informasjon ligger kryptert, sa avdelingsdirektør Pretorius i NSM da ABC Nyheter snakket med ham om blant annet den tidligere kjente Yahoo-lekkasjen tidligere i år.

– Dessverre er det vanligvis slik at alminnelige brukere i liten grad kan vite om de er rammet før tjenesteleverandøren kontakter dem direkte, sa Pretorius.

Her har det norske Datatilsynet laget en test der du kan få en vurdering av hvor utsatt du er for ID-tyveri. På hvert punkt kan du også lese deg opp på noen enkle tips om tiltak for økt sikkerhet.

Øvrige kilder: AFP.

Annonse
Populært