Tråd: Mistet tilgang til mail og facebook
View Single Post
Moff
Limited edition
Moff's Avatar
1.201
9. mars 2019
Dette høres ut som et helt tilfeldig automatisert angrep. I korte trekk er det snakk om en robot som spiser seg rundt på internett og tester forskjellige kombinasjoner av brukernavn og passord på masse ulike tjenester (særlig sosiale medier og e-post). Brukernavn og passord som testes kommer stort sett fra database-lekasjer (haveibeenpwned.com og lignende, åpne kilder), samt ordbøker.

Hvis du har et "svakt" passord, altså et ord eller en frase som finnes i ordbøker, så vil et automatisert angrep få tilgang i løpet av veldig kort tid hvis ditt brukernavn tilfeldigvis blir plukket ut av roboten. Vi mennesker tror vi er gode på å generere tilfeldige og sikre passord, men nesten alle passord du klarer å tenke på som er vanskelige for folk å gjette, men samtidig lette nok til at du klarer å huske dem, de er gjerne barnemat for en robot å finne ut av. Robotene som brukes i dag klarer å se gjennom at du har erstattet i-er med 1-tall og t-er med 7, @ i stedet for a og så videre. De er programmert av mennesker som har interesse for datasikkerhet, og de vet alle triks du og jeg vet om - pluss mange flere.

Nå i dag så er den generelle anbefaling fra alle sikkerhetseksperter at du skal bruke en passord-manager, slik som KeePass eller LastPass. Dette er programmer som bruker et "master-passord" for deg, og så sørger den for å vedlikeholde et helt unikt og sinnsykt sterkt passord for hver eneste tjeneste du skal logge inn på. Jeg har passord-manageren min som en add-on i nettleseren og som en app på telefonen min. Hver gang jeg blir bedt om å logge inn så blir brukernavn og passord automatisk fylt ut av manageren. Disse programmene er også i stand til å automatisk skifte passord på populære plattformer for deg med jevne mellomrom, og du trenger aldri å tenke på det.

Passordene mine ser slike ut: L^9rSve02lnDCuONS*56*%@VtK7Hl#o@

Selv en robot med tilnærmet ubegrenset kapasitet vil bruke flere hundre år på å knekke dette, fordi det er fullstendig tilfeldig og ikke har rot i noe som helst kjent mønster.

Det er mer hassle å bruke passord-managere enn å bare huske passordet sitt selv. Det skal jeg ikke feie under teppet. Særlig hvis du må logge inn fra noen andres maskin (men jeg gjør som regel aldri dette nettopp fordi jeg ikke aner hvor trygg denne maskinen er. Jeg bruker heller bare mobilen min eller nettbrettet, hvor manageren min fungerer). Men om du har lyst til å være på den sikre siden, så er det absolutt verdt å ta det i bruk. Du må også huske på at hvis du bruker en online manager, slik som LastPass er, så er passordene dine lagret et sted i skyen, og det følger selvsagt med sårbarheter knyttet til det. Hvis LastPass gjør en gedigen tabbe og klarer å bli hacket, så kan det gjøre mye skade. Er det mer sannsynlig at det skjer, sammenlignet med at noen klarer å få fysisk tilgang til dine enheter, tekstfila hvor du har skrevet ned passordene dine eller at du logger på fra en virus-infisert maskin? Nei. Jeg stoler mer på en moderne passordmanager enn på mine egne rutiner.

Punkt 2; 2FA (to-faktor-autentisering). Du bør bruke 2FA på alle tjenester som tilbyr dette, særlig de du bryr deg om, som e-post og Facebook. Dette går ut på at du mottar en kode du må skrive inn på for eksempel SMS eller i en 2FA-app. Hensikten er at selv om en hacker eller robot har brukernavn og passord, så kommer de ingen vei uten å samtidig ha fysisk tilgang til din ulåste mobiltelefon - og det skal veldig, veldig godt gjøres. Alle seriøse tilbydere av tjenester i dag støtter 2FA, og som regel trenger du bare én app for å sette det opp, slik som Google Authenticator eller Authy.

2FA er derfor også en relativt god beskyttelse mot at informasjon blir stjålet fra virus-infiserte enheter du bruker underveis.

Når det kommer til motivasjonen for slike angrep så er det som regel så enkelt som at kontoen din (eller PC-en din, hvis hele maskinen på ett eller annet vis blir infisert) blir en del av et bot-nettverk. Over hele verden står det millioner av datamaskiner og mobiltelefoner som er "zombier" i slike bot-nettverk, uten at eieren vet om det. Disse nettverkene kan da brukes til å utføre oppgaver, som å like en Facebook post, en YouTube-video eller et Instagram-bilde, med den hensikt å få løftet posten opp til "trending" eller tilsvarende status. Dette kan brukes til å spre politisk propaganda under valgkamper, spre reklame for et produkt eller i verste fall utføre tjenestenekt-angrep mot noen ved å overbelaste en tjeneste med alt for mange forespørsler samtidig. For tjenesteleverandører så er det utrolig vanskelig å se forskjell på slike zombier og normal trafikk, fordi kontoen din har startet som en helt normal, organisk konto og deretter blitt tatt over av en robot. Det vil ta lang tid før slike kontoer gir noe utslag i statistikk som tyder på at det er robotstyrt, særlig hvis eieren er helt uvitende og bruker kontoen samtidig. Det finnes mange kontoer som blir opprettet av slike roboter også, men disse blir som regel raskt stengt ned igjen fordi det er "relativt" lett å se at det ikke er et menneske som står bak fra starten av.

Og til slutt, hett tips for de som ikke vil ha passord-manager: Ikke bruk et ord, bruk heller en setning som du forkorter, slik at du tar forbokstaven i hvert ord og danner et passord ut i fra det. Det vil være mye bedre enn et ord eller en hel setning, fordi det fremstår som mye mer tilfeldig.

Tilfeldig eksempel på et slikt passord som jeg vil være i stand til å huske: .i4A5b1D,7@t9D8o4W6-

Huskeregel:
- Punktum først.
- Skriv setningen "I am become death, the destroyer of worlds" med kun forbokstaver, annen hvert ord med stor og liten bokstav og start med liten.
- Mellom hver bokstav, skriv inn ett siffer fra telefonnummeret mitt. (Spoiler, dette er ikke mitt telefonnummer.)
- @ midt inni.
- Bindestrek til slutt.

Resultatet er 20 tall, bokstaver og tegn i en tilsynelatende helt tilfeldig rekkefølge som vil være svært vanskelig for en robot å knekke.