<strong>ER PASSORDET TRYGT?</strong> Svært mange nettsteder har hatt et sikkerhetshull i to år som gjør det mulig for uvedkommende å fange opp passordet ditt. Foto: ALL OVER PRESS
ER PASSORDET TRYGT? Svært mange nettsteder har hatt et sikkerhetshull i to år som gjør det mulig for uvedkommende å fange opp passordet ditt. Foto: ALL OVER PRESSVis mer

Skifte passord eller ikke?

Sikkerhetshull i to år hos tusenvis av nettjenester.

Vårt søsternettsted digi.no meldte i går om at et alvorlig sikkerhetshull er avdekket i OpenSSL og at en oppdatering som tetter hullet er sluppet. Sikkerhetshullet er døpt Heartbleed.

LES OGSÅ:

OpenSSL er et såkalt kryptobibliotek, som benyttes av svært mange nettjenester for å sørge for at kommunikasjonen mellom din PC og nettjenesten blir kryptert, slik at den ikke kan avlyttes av andre.

Eksistert i to år

Sikkerhetshullet har vært der i to år og har gjort det mulig for «alle» å lese minnet til systemer som benytter seg av OpenSSL. Dermed kan uvedkommende få tak i nøklene som brukes til krypteringen, og da potensielt avlytte trafikken og dermed snappe opp sensitiv info, passord og den slags.

Like ille er det at dette kan gjøres uten å legge igjen noen spor – nettstedene har derfor i liten grad mulighet til å finne ut hvorvidt data har blitt tappet eller ikke.

Om noen har utnyttet sikkerhetshullet før det ble kjent denne uka er imidlertid usikkert.

Spør du oss, er det bedre å være føre var og anta at uvedkommede kan ha fanget opp dine opplysninger. Særlig nå som sikkerhetshullet er blitt kjent.

Hvilke nettsteder er rammet?

Mashable har gjort en solid jobb i å kontakte mange av verdens største nettaktører for en kommentar på hvorvidt de har hatt dette sikkerhetshullet, og listen over affiserte nettsteder er lang og inkluderer både Google, Yahoo, Dropbox og flere til.

Artikkelen fortsetter under annonsen

Passordtjenesten LastPass har et verktøy der du kan sjekke om nettstedet er rammet av sikkerhetshullet. Tjenesten har selv også brukt OpenSSL, men hevder ifølge Mashable at de også har implementert flere sikkerhetslag slik at de aktuelle nøklene ikke har vært mulig å fange opp.

Et annet verktøy for å sjekke er denne nettsiden:

SJEKK SELV: Denne testen lar deg teste ulike nettadresser for Heartbleed-hullet.
SJEKK SELV: Denne testen lar deg teste ulike nettadresser for Heartbleed-hullet. Vis mer

Må du bytte passord?

Men bør du bytte passord nå? Ja, på tjenester som har tettet sikkerhetshullet bør du definitivt bytte passordet du hadde der, siden det kan ha blitt snappet opp av andre. En av disse er for eksempel Telenor, som ifølge Aftenposten skal ha tettet hullet nå.

Men hva med tjenester som ikke har tettet sikkerhetshullet ennå? Hackere er nå sikkert i full gang med å utnytte sikkerhetshullet hos nettjenester som ikke har lappet det ennå, så å bytte passordet før det er tettet har begrenset nytte, siden det nye passordet fortsatt kan snappes opp.

Husk også at det er mange mindre aktører som muligens aldri kommer til å tette dette hullet.

Dog vil vi anbefale deg å bytte passordet dersom du også bruker det samme på andre nettjenester.

PASSORD-HVELV: Tjenester som LastPass bevarer passordene dine trygt bak lås og slå.
PASSORD-HVELV: Tjenester som LastPass bevarer passordene dine trygt bak lås og slå. Vis mer

Bruk unike passord

For – det er det som er det kritiske her. Mange nettbrukere bruker det samme passordet overalt (eller varierer mellom en håndfull passord), så har uvedkommende fått tak i passordet ett sted, er det fritt frem å prøve brukernavn/passord-kombinasjonen andre steder.

Hva med deg? Bruker du Facebook-passordet ditt kun på Facebook, eller bruker du det også andre steder? PayPal-passordet? Google-passordet? Amazon? App store?

Skal du være godt sikret på nett, bør du ha unike passord for hvert nettsted du ferdes på. Én mulighet er å bruke en passordtjeneste som LastPass, Keepass, 1Password eller lignende. Da logger du på med ett hovedpassord (som du selvsagt lager ekstra langt og vanskelig), og så kan du generere unike passord for hver tjeneste du bruker, der tjenesten også kan fylle dem ut i passordfelt så lenge du har logget deg på i nettleseren.

Det er selvsagt en formidabel jobb til å begynne med, men selv hadde jeg aldri klart meg uten, med unike passord hos over 400 nettsteder lagret i Lastpass-hvelvet mitt. Når du er oppe og kjøre er det ikke store anstrengelsene som skal til.

>> GUIDE: Unike passord overalt med Lastpass

Forståelig nok er mange skeptiske til slike tjenester, for hva om de ble hacket, eller om noen fanget opp hovedpassordet ditt?

Her er derfor også noen andre forslag til hvordan du kan gå frem for å ha unike passord på hvert nettsted:

Stamme + endring
Her kan vi tenke oss at du har en stamme som du gjenbruker overalt. La oss si at denne er kaos3kfa4. Deretter lager du deg en "funksjon" som manipulerer denne, basert på nettjenesten du skal bruke.

Eksempelvis kan du legge til første bokstav i nettjenesten bakerst og siste bokstav først. Antall vokaler i tjenestenavnet kan for eksempel legges til det ene sifferet, mens det andre økes med antall bokstaver mellom de to i alfabetet.

Dermed får vi f.eks. kkaos7kfa9f for Facebook (k, f, fire vokaler, 5 bokstaver fra f til k) og rkaos5kfa6t for Twitter (r, t, to vokaler, to bokstaver fra r til t).

Stammen og funksjonen må du selvsagt finne på selv.

KORT: Passwordcard lar deg skrive ut et lite kort du kan ha i lommeboka der du selv lager regler for hvordan du bruker det.
KORT: Passwordcard lar deg skrive ut et lite kort du kan ha i lommeboka der du selv lager regler for hvordan du bruker det. Vis mer

Passordkort
Synes du det blir litt slitsomt å lage passordene på denne måten, finnes også tjenester som Passwordcard, som lar deg skrive ut et kort som du kan ha i lommeboka og som du kan bruke for å lage og finne passordene på en ganske snedig måte. Les mer om tjenesten bak lenka du nettopp passerte.

Fri assosiering
Hva tenker du på når du hører Twitter? Fuglekvitter? Duer? Hva tenker du på når du hører duer – fuglebæsj på statuer? Kanskje kan Twitter-passordet bare være DuerBæsjerPåStatuer? Det inneholder riktignok ingen sifre eller spesialtegn, men er allikevel langt og vanskelig å finne. Vi har skrevet litt om denne typen passord tidligere.

Har du noen snedige metoder du bruker for å lage unike passord, hører vi gjerne fra deg i kommentarfeltet.

Ekstra sikkerhet med tofaktorautentisering

Stadig flere nettjenester tilbyr såkalt tofaktorautentisering. Dette fungerer på samme måte som i norske nettbanker, der du i tillegg til et passord også er nødt til å være i besittelse av en kodegenerator eller en mobiltelefon som mottar en engangskode for å logge inn.

Både Google, Dropbox, LastPass med flere støtter dette, og da holder det ikke for uvedkommende å kjenne brukernavnet og passordet ditt – for å logge inn fra en ny maskin er de også nødt til å være i besittelse av enheten som står for engangskodene.

På nettstedet Twofactorauth.org får du en oversikt over hvilke tjenester som støtter tofaktorautentisering.

Kanskje bør derfor bytting av nettpassord være på TODO-listen denne helgen.

Det kan være greit å gjøre uansett; Heartbleed eller ikke.