Digitalt självförsvar

Digital brottslighet har sedan flera år tillbaka varit vanligare än icke-digital brottslighet. Tanken "Jag är trygg för att skurkar inte är intresserade av mig" är rätt så vanlig, men tyvärr inte sann.

shutterstock_1043518051.jpg

- Hurraa för att vara så ointressant för skurkar att man kan strunta i säkerhet!

Det finns många olika sätt att stjäla pengar av oss eller utnyttja oss. Alla busar är inte intresserade av just dig. Men det finns mera än nog med sådana som är intresserade av oss alla. Att stoppa huvudet i sanden och upprepa mantrat "Jag är ointressant" är inte ett fungerande angrepssätt till digital säkerhet.

Olika människor har olika säkerhetsbehov. Men vissa risker är gemensamma för oss alla. Här under går jag igenom grunderna som vi alla borde ha koll på.

Om sårbarheter

Så gott som dagligen får vi läsa nyheter om hur personer eller företag blivit hackade. Det viktiga att veta med de här historierna är att det ofta är fråga om fanskap vilket skulle ha kunnat undvikas.

Att bli hackad handlar i grund och botten om att någon lyckats hitta en sårbarhet. Ett hål i säkerheten. Sårbarheter kan delas in i två kategorier:

  1. sårbaheter i de program och manicker vi använder

  2. sårbarheter i oss som användare

Sårbarheter i sakerna vi använder har att göra med sårbarheter i datorer, appar, online tjänster, mm. Det är oftast sådant vi som användare inte är ansvariga för att säkra men vi kan ändå råka illa ut ifall de är osäkra.

Sårbarheter i oss som användare handlar långt om våra ur ett säkerhets-perspektiv dåliga val (typ lättgissade lösenord) och om risken att vi blir lurade (t.ex. genom att falla för phishing).

Om varför det är viktigt att uppdatera datorn

En viktig sak att veta är att det pågår en ständig kapplöpning mellan å ena sidan sådana som söker sårbarheter för att kunna säkra dem - lappa hålet, liksom - och å andra sidan sådana som söker sårbarheter för att utnyttja dem för potentiellt otrevliga syften - som att hacka våra konton, stjäla våra pengar, etc.

Det är förvånansvärt vanligt att skurkar lyckas med digifanskap tack vare att offrens datorer helt enkelt har föråldrade programversioner. Program som alltså kan innehålla kända sårbarheter vilka redan blivit lappade. Men vilka på offrens datorer inte blivit det.

Hur kan det gå så? Ett sätt är det där "remind me later" -alternativet. Skjuter vi på en uppdatering tillräckligt länge (och jag vet fall där människor gjort det i månader om inte längre) så kommer det förr eller senare att gå åt pipan.

update.png

Update (Källa: xkcd)

Överlag så är det svårt för skurkar att hitta nya sårbarheter. Men det är lätt att (försöka) utnyttja kända sårbarheter. Om vi då är inne på vår andra månad (eller vårt andra år) av att skjuta på uppdateringen så är vi bland de sårbara.

Så nästa gång du ser ett meddelande om en säkerhetsuppdatering, ta en kopp kaffe och låt datorn förbättra din säkerhet medan du väntar :-) Och så har det blivit dags att snacka sårbarheter i oss som användare.

Om hur man säkrar sina online konton

Man kan tänka sig att det att vi låter oss luras är en slags sårbarhet. Olika sätt som skurkar försöker lura oss på tar jag upp i ett eget inlägg. Här tittar vi närmare på säkra och osäkra val. Och bland de absolut viktigaste grejerna här är hur vi säkrar våra online konton (som e-post, social media, mm.).

Med jämna mellanrum kommer det nyheter om hur diverse kändisar blivit hackade och deras nakenbilder hamnat ut på nätet eller de blivit offer för något annat fanstyg. Rotar man i de här fallen så är det inte ovanligt att sårbarheten i fråga visade sig vara dåligt säkrade online konton. Så vi går igenom tre viktiga grejer när det gäller att skydda sådana konton:

  1. lösenord (och lösenordshandterare)

  2. tvåstegsverifiering

  3. säkerhetsfrågor

Om bra och (förskräckligt) dåliga lösenord

​Lösenord är inte ett speciellt användarvänligt sätt att skydda konton. Men det är sättet som är i allmänt bruk, så vi får försöka orka använda dem så tryggt som möjligt tills det tas i bruk ett bättre sätt att skydda konton.
 

Ett bra lösenord är ett som ingen annan än du vet eller kan gissa sig fram till. I praktiken betyder det att undvika vissa slags lösenord. T.ex.:

  • Saker man kan gissa om man känner dig är osäkra lösenord. Typ ditt eller dina familjemedlemmars namn, födelseår, favoritförfattare eller idrottslag, namn på husdjur osv.

  • Vanliga lösenord - ofta populära för att de är lätta att komma ihåg. Det finns långa listor av vanliga lösenord på nätet vilka skurkar kan använda sig av. Så undvik qwerty123, letmein, password, mm.

  • Alla default lösenord. Alltså lösenord som ställts in på förhand. Default lösenord är inte vanliga i online konton, men nog t.ex. i smartprodukter man skaffar för hemmet. I värsta fall kan sådana lösenord hittas på nätet eller helt enkelt gissas genom att testa på vanliga default lösenord (admin, user, 1234 mm.) Så det är säkrast att alltid ändra på default lösenord.

Nog med prat om dåliga lösenord. Nu byter vi tema till starka lösenord.

shutterstock_401342044.jpg

Hänglås. Inte ett effektivt sätt att säkra oline konton.

Om långa lösenord: lösenfraser

Ett sätt att förbättra sina lösenord är att sluta tänka på dem som lösenord och istället börja tänka på dem som lösenfraser eller -meningar. En nonsens mening som "TreGulaGrodorGjorde#Spagat!" är ett väldigt starkt lösenord.

Så nästa gång du måste komma på ett lösenord, tänk istället på det som en mening eller kombination av ord. Och så kan du ytterligare öka på säkerheten genom att sätta med något specialtecken eller skriva något ord fonetiskt.

Sku vi bara behöva ett enda lösenord så sku det rådet vara oproblematiskt. Men vi behöver en sjuhelsikes massa lösenord. Desto flera lösenord man måste komma ihåg desto svårare har man det. Och att komma ihåg dussintals med långa lösenord är inte något vi kan förvänta oss klara av. (Åtminstone min hjärna är redan fylld till bristningsgränsen med en massa 80-tals popmusik.)

this-is-spinal-tap.jpg

Långa, unika lösenord och tvåfaktorsverifiering tar kontots säkerhet till 11.

Om varför man inte ska återanvända lösenord

Ett vanligt sätt att lösa det här problemet är att återanvända samma lösenord på många ställen. Vilket besvärligt nog är en stor risk. Orsaken är att om någon lyckas komma åt lösenordet för ett konto så kan de komma åt alla andra konton också. Och det kan hända även om du själv inte gör något fel.

Om dataintrång

Du har kanske hört om dataintrång. Vilket handlar om att information som inte borde hamnat ut på nätet gjorde det ändå. Till sådant som hamnat ut på nätet kan även höra lösenord. (En välgjord sajt sparar lösenord krypterade, men det är ändå en risk om de läcker ut.)

Det kan vara fråga om någon meningslös sajt du gick med i åratal sedan och har glömt att du ens har ett konto där. Och som verkligen inte spelar någon roll om någon kommer åt kontot. Men - använder du samma lösneord för något viktigt konto så kan det gå åt helsike.

Det finns skurkar som testar läckta lösenord tillhörande en viss e-post eller ett visst användarnamn för att se om man med samma e-post eller användarnamn och samma lösenord kan komma in på andra konton.

Okej, så vi ska inte ha samma lösenord överallt, men kan inte komma ihåg en massa olika lösenord. Hur gör vi då?

Om att göra livet lättare med en lösenordshanterare (eller en papperslapp)

Om du bor ensam (eller med sådana du vet att du kan lita på) så kan du helt enkelt ha ett häfte eller en papperslapp där du skriver upp alla lösenord. Vill du öka på säkerheten så kan du låsa in häftet eller lappen i ett skrin el.dyl.

Ett annat alternativ är att använda en såkallad lösenordshanterare, på engelska password manager. En lösenordshanterare är ett program som håller koll på dina lösenord för din del. För att kunna se lösenorden måste man kunna ett skilt lösenord, vilket "låser upp" den metaforiska kistan så du kan komma åt alla dina andra lösenord.

 

En bra lösenordshanterare kan också generera (hitta på) långa, trygga lösenord åt dig. Ett långt (tiotals tecken) lösenord bestående av slumpmässigt valda tecken är ännu säkrare än en nonsens mening.

Nyttan med ett sådant system är att du endast måste komma ihåg ett enda lösenord. Avigsidan med det är att du måste lita på en tredje part att inte smygtitta på dina lösenord.

Om hur man gör sina konton ännu säkrare: tvåstegs-verifiering

Går det åt pipsvängen och någon lyckas gissa eller på annat sätt få tag på ditt lösenord så finns det en säkerhetsåtgärd du kan ta i bruk för att hindra att de kommer åt ditt konto. Det är fråga om något som kallas tvåstegsverifiering, eller på engelska two-factor authentication (2FA). Alternativt multi-factor authentication (MFA).

Tvåstegsverifiering betyder att du på två olika sätt måste bevisa att du är du innan du får komma åt ditt konto. Man brukar tänka på det som:

 

  1. Någonting du vet

  2. Någonting du har

Det man vet är då ett lösenord. Den andra faktorn, någonting man har, kan implementeras på olika sätt. Två exempel:

  • En telefon. Efter att man har skrivit in sitt lösenord så får man en kod skickad till sin telefon. Sedan måste man ännu mata in den koden innan man kan logga in till sitt konto.

  • En fysisk manick specifikt för ändamålet. Det kan vara en en USB sticka som måste vara instoppad i datorn för att kunna logga in till ett konto. Eller en manick (med en liten skärm) som genererar ett nytt lösenord med jämna mellanrum.

Nyttan med tvåstegsverifiering är att om någon får tag på endast ditt lösenord så kommer de ändå inte åt att logga in på ditt konto.

 

Och ifall du skickas en 2FA kod till telefonen utan du har försökt logga in så kan du dessutom märka att någon försöker logga in på ett av dina konton.

RSA_SecurID_SID800.jpg

En tvåstegsverifierings manick. (Bild A. Klink)

Nu och då hittar skurkar en sårbarhet i något tvåstegsverifierings system som gör att de lyckas kringgå det. Men sådant är sällsynt och det är utan vidare klart bättre att ha tvåstegsverifiering i bruk än att inte ha det i bruk. Så ta det gärna i bruk åtminstone för dina viktigaste konton.

Om varför man åtminstone borde ha tvåstegsverifiering på sin e-post

Nå vad är då ett viktigt konto? Du vet själv bäst vilka konton som är mest katastrofala om någon kommer åt dem. Men ett klart exempel är din huvudsakliga e-post. Orsaken bakom det är den där "har du glömt ditt lösenord?" frågan på inloggningssidor.

Om någon kommer åt din e-post så kan de metodiskt gå igenom alla konton som är kopplade till e-posten och byta lösenord på dem alla. Och på e-posten. Mister man kontrollen av sin e-post så kan man lätt mista kontrollen på allt som är kopplat till e-posten.

Om varför man alltid ska ljuga i säkerhetsfrågor

Och så har vi ännu en sak att gå igenom. Något av det mest osäkra som finns på säkerhetsfronten: säkerhetsfrågor. Tanken bakom dem är att om man glömmer sitt lösenord så kan man istället bevisa sin identitiet - att den är ens eget konto man försker logga in på - genom att svara på en fråga.

security_question.png

Security questions (källa: xkcd)

Säkerhetsfrågor är en kvarlämna från tiderna före social media. Frågor som var vi bodde som barn, vilken vår favoritfilm är, vad vår mammas flicknamn var mm. var någorlunda tryggare innan all den informationen fanns lagrad på dvse. sociala medier. Men till och med då det inte är fråga om sådant man har delat på sociala medier så är säkerhetsfrågor ofta ändå problematiska.

Senast jag stötte på dem var det en online tjänst som ville att jag sku skydda mitt konto genom att svara på säkerhetsfrågan "Vilken hushållssyssla tycker du minst om?" Det är säkert inte så att alla i världen tycker lika. Men sku man testa på t.ex. 10 stycken hushållssysslor (diska, dammsuga, städa, tvätta kläder, torka damm, osv.) så sku man nog lyckas bryta sig in i ganska många människors konton.

Det är inte så ofta man stöter på säkerhetsfrågor numera. Men råkar du ut för att du måste skapa en så kan du skydda dig mot osäkra säkerhetsfrågor genom att helt enkelt slänga moralen genom fönstret och ljuga. Alltså, att vad du än svarar så ser du till att det har absolut ingenting alls att göra med frågan.

Om att det nog finns mera att lära sig

Här har jag fokuserat på saker som är relevanta för oss alla. Men det finns mera att lära sig om du är intresserad - du kan till exempel börja med att läsa de andra delarna av den här sajten :-)

Om specialfallet att man har en otrevlig ex

Och så finns det de av oss som är i en speciellt otrevlig situation. Som om man har en ex (eller någon annan) som aktivt försöker hacka ens konton eller hitta på annat fanskap.

 

För just en sådan situation har jag, tillsammans med Laura Kankaala, skrivit en skild guide. Den finns på engelska och finska (inte svenska - åtminstone ännu, tyvärr) och du hittar den på outrch.org.