Er du blitt hacket?
Hvorfor bryte seg inn, når man kan låse seg inn? Bruker du samme passord overalt, kan du like gjerne la døren stå åpen. Spørsmålet er ikke OM uvedkommende kommer til å logge seg inn på kontoene dine, men NÅR.
Tekst: Siri Gjelsvik Foto: Morten Brakestad
– Ofte hører vi folk si «facebooken min er hacket». Men det er ikke hacking når alt man trenger å gjøre for å komme seg inn, er å logge seg inn med passordet ditt, sier Vidar Sandland, seniorrådgiver i Norsk senter for informasjonssikring (NorSIS). Sammen med kollega Hans Marius Tessem gikk han, i anledning nasjonal sikkerhetsmåned, gjennom vår digitale sårbarhet på et medlemsmøte i regi av Finansforbundet avdeling Oslo og Akershus.
SAMME PASSORD
Den største og vanligste synden mange gjør, er å bruke samme passord overalt.
– Tidligere ga vi råd om at alle passord skulle ha minst 16 karakterer, bestående av store og små bokstaver og tall og ikke være et ord. Men rådet skal jo være forenlig med å leve i denne verdenen også. Med så mange passord vi er nødt å forholde oss til, sier det seg selv at det blir vanskelig, sier Hans Marius Tessem.
Foruten unike passord til hver tjeneste du logger inn på, er rådet derfor at du aktiverer totrinnsbekreftelse der hvor det er mulig. Det er fordi at selv med sterke og unike passord, er det fort gjort å la seg lure av såkalt phishing: Det er enkelt å sette opp falske innloggingssider, som ved første øyekast ser ut som for eksempel innloggingssiden til Facebook. Er du våken, ser du kanskje at linken du ledes til, ikke stemmer helt. Mer sannsynlig er det at du allerede har svelget det første agnet, som er en form for sosial manipulering.
SOSIAL MANIPULERING
– Frykt, fristelse og tillit er teknikkene som brukes. Du får kanskje en melding i innboksen som sier «herregud, er dette bildet av deg?», sammen med en link. Så logger du på i full fart, for å se hva i alle dager det er for noe. Vips, så har de både brukernavnet og passordet ditt. Og hvis du har samme passord til alt annet du driver med, har hackerne samtidig fått tilgang til det, sier Sandland. Som eksempel på hvilke konsekvenser det kan ha, viser han et digitalt angrep mot en bensinstasjon. Gjennom tilgang til passord, kan han endre både pumpepris og pris på hyllevarer.
– Dette ble gjort på oppdrag fra bensinstasjonen, det er altså ikke noe vi driver med på eget initiativ. Men det viser hvor enkelt det kan være å komme seg inn i ganske viktige systemer. Har du totrinnsbekreftelse aktivert, er du mindre utsatt selv om noen får tak i passordet ditt, sier Sandland.
BankID er et godt eksempel på totrinnsbekreftelse. For å logge inn, trengs både noe du har, som engangspassord fra kodebrikke eller mobil, og noe du vet, som passord eller eventuelt fingeravtrykk.
SKRIV NED
For å holde styr på passordene til alle de ulike tjenestene vi forholder oss til, anbefaler NorSIS å skrive dem ned, gjerne i en passordhåndterer. Det er som en virtuell safe, som du installerer på mobil eller datamaskin, og som samler inn alle brukernavn og passord og krypterer dem før det lagres i en database.
– Dermed trenger du kun å huske passordet som låser opp databasen. Hver gang du skal logge inn noe sted, som banken eller e-postkontoen, taster du inn passordet til databasen. På denne måten kan du ha unike passord for hver konto, selv om du har hundrevis av kontoer, uten at du må huske noen av dem, understreker NorSIS.
En annen anbefaling er at du sier fra så tidlig som mulig dersom du har vært utsatt for dataangrep i en eller annen form. Da begrenses skaden.
Passord-anbefalinger fra NorSIS:
- Et passord skal være lett å huske for deg og vanskelig å gjette for andre
- Bruk ulike passord for ulike tjenester
- Passordet bør være så langt som mulig
- Bytt passord med jevne mellomrom eller hvis du tror det er på avveier
Nyttig link:
På Nettvett.no finner du ulike veiledninger, som hvordan du aktiverer totrinnsbekreftelse, sikkerhet i sosiale medier, hva du skal gjøre om du er utsatt for ID-tyveri eller seksuell utpressing på nett og hvordan du lager sterke passord.
Hva gjør du for å sikre deg mot hacking?
Torunn Korsnes
Jeg har totrinnsbekreftelse samt at jeg aldri trykker på linker i eposter som ber om at jeg skal legge igjen passord og kode.
Karete Gundersen
Jeg har vært forsiktig hele tiden og har alltid hatt forskjellige passord. Men nå har jeg lært at jeg også må aktivere totrinnsbekreftelse.
Anne Fremo
Oppdateringer av utstyr er det viktigste jeg gjør mot hacking. Jeg oppdaterer mobil og mac fortløpende også på testsenteret på jobb.