Da jeg stod opp idag fikk jeg ikke logget meg inn på facebook pga feil passord. Fant deretter ut at passord på både mail og fb var blitt endret en gang på natten. Fikk utover dagen se at flere tilfeldige innlegg ble likt av personen som hadde tilgang til brukeren min.

Har nå fått tilbake kontroll på fb ved at jeg sendte inn bilde av ID. Når jeg kom innpå stod det at jeg var innlogget på en mobil i Tysnes,men fikk logget av med en gang. mailen har jeg ikke klart å få tilbake, men ettersom det kun var fb mailen var brukt til gjør ikke det noe. Alt av passord er byttet.

Men hva i alle dager har skjedd her? Hva får personen utav å like tilfeldige innlegg? Trenger jeg gjøre noe mer enn å bytte passord? Jeg forstår virkelig ikke hvordan personen har fått tilgang og hva han fikk oppnådd.

Takk for utfyllende svar.

Det virket derimot ikke som at personen prøvde å drite meg ut. Det så egentlig ut som han bare hadde likt alt av innlegg som var på feeden. Forstår ikke hensikten med dette.

Søkte opp mailen på https://haveibeenpwned.com og fikk opp den var brukt på to sider som var breached. Passordet var dårlig og ikke byttet på lange tider så det er mye mulig de har komt inn på mailen på denne måten.

Får ta en skikkelig omgang med antivirus og formatering.

Dette høres ut som et helt tilfeldig automatisert angrep. I korte trekk er det snakk om en robot som spiser seg rundt på internett og tester forskjellige kombinasjoner av brukernavn og passord på masse ulike tjenester (særlig sosiale medier og e-post). Brukernavn og passord som testes kommer stort sett fra database-lekasjer (haveibeenpwned.com og lignende, åpne kilder), samt ordbøker.

Hvis du har et "svakt" passord, altså et ord eller en frase som finnes i ordbøker, så vil et automatisert angrep få tilgang i løpet av veldig kort tid hvis ditt brukernavn tilfeldigvis blir plukket ut av roboten. Vi mennesker tror vi er gode på å generere tilfeldige og sikre passord, men nesten alle passord du klarer å tenke på som er vanskelige for folk å gjette, men samtidig lette nok til at du klarer å huske dem, de er gjerne barnemat for en robot å finne ut av. Robotene som brukes i dag klarer å se gjennom at du har erstattet i-er med 1-tall og t-er med 7, @ i stedet for a og så videre. De er programmert av mennesker som har interesse for datasikkerhet, og de vet alle triks du og jeg vet om - pluss mange flere.

Nå i dag så er den generelle anbefaling fra alle sikkerhetseksperter at du skal bruke en passord-manager, slik som KeePass eller LastPass. Dette er programmer som bruker et "master-passord" for deg, og så sørger den for å vedlikeholde et helt unikt og sinnsykt sterkt passord for hver eneste tjeneste du skal logge inn på. Jeg har passord-manageren min som en add-on i nettleseren og som en app på telefonen min. Hver gang jeg blir bedt om å logge inn så blir brukernavn og passord automatisk fylt ut av manageren. Disse programmene er også i stand til å automatisk skifte passord på populære plattformer for deg med jevne mellomrom, og du trenger aldri å tenke på det.

Passordene mine ser slike ut: L^9rSve02lnDCuONS*56*%@VtK7Hl#o@

Selv en robot med tilnærmet ubegrenset kapasitet vil bruke flere hundre år på å knekke dette, fordi det er fullstendig tilfeldig og ikke har rot i noe som helst kjent mønster.

Det er mer hassle å bruke passord-managere enn å bare huske passordet sitt selv. Det skal jeg ikke feie under teppet. Særlig hvis du må logge inn fra noen andres maskin (men jeg gjør som regel aldri dette nettopp fordi jeg ikke aner hvor trygg denne maskinen er. Jeg bruker heller bare mobilen min eller nettbrettet, hvor manageren min fungerer). Men om du har lyst til å være på den sikre siden, så er det absolutt verdt å ta det i bruk. Du må også huske på at hvis du bruker en online manager, slik som LastPass er, så er passordene dine lagret et sted i skyen, og det følger selvsagt med sårbarheter knyttet til det. Hvis LastPass gjør en gedigen tabbe og klarer å bli hacket, så kan det gjøre mye skade. Er det mer sannsynlig at det skjer, sammenlignet med at noen klarer å få fysisk tilgang til dine enheter, tekstfila hvor du har skrevet ned passordene dine eller at du logger på fra en virus-infisert maskin? Nei. Jeg stoler mer på en moderne passordmanager enn på mine egne rutiner.

Punkt 2; 2FA (to-faktor-autentisering). Du bør bruke 2FA på alle tjenester som tilbyr dette, særlig de du bryr deg om, som e-post og Facebook. Dette går ut på at du mottar en kode du må skrive inn på for eksempel SMS eller i en 2FA-app. Hensikten er at selv om en hacker eller robot har brukernavn og passord, så kommer de ingen vei uten å samtidig ha fysisk tilgang til din ulåste mobiltelefon - og det skal veldig, veldig godt gjøres. Alle seriøse tilbydere av tjenester i dag støtter 2FA, og som regel trenger du bare én app for å sette det opp, slik som Google Authenticator eller Authy.

2FA er derfor også en relativt god beskyttelse mot at informasjon blir stjålet fra virus-infiserte enheter du bruker underveis.

Når det kommer til motivasjonen for slike angrep så er det som regel så enkelt som at kontoen din (eller PC-en din, hvis hele maskinen på ett eller annet vis blir infisert) blir en del av et bot-nettverk. Over hele verden står det millioner av datamaskiner og mobiltelefoner som er "zombier" i slike bot-nettverk, uten at eieren vet om det. Disse nettverkene kan da brukes til å utføre oppgaver, som å like en Facebook post, en YouTube-video eller et Instagram-bilde, med den hensikt å få løftet posten opp til "trending" eller tilsvarende status. Dette kan brukes til å spre politisk propaganda under valgkamper, spre reklame for et produkt eller i verste fall utføre tjenestenekt-angrep mot noen ved å overbelaste en tjeneste med alt for mange forespørsler samtidig. For tjenesteleverandører så er det utrolig vanskelig å se forskjell på slike zombier og normal trafikk, fordi kontoen din har startet som en helt normal, organisk konto og deretter blitt tatt over av en robot. Det vil ta lang tid før slike kontoer gir noe utslag i statistikk som tyder på at det er robotstyrt, særlig hvis eieren er helt uvitende og bruker kontoen samtidig. Det finnes mange kontoer som blir opprettet av slike roboter også, men disse blir som regel raskt stengt ned igjen fordi det er "relativt" lett å se at det ikke er et menneske som står bak fra starten av.

Og til slutt, hett tips for de som ikke vil ha passord-manager: Ikke bruk et ord, bruk heller en setning som du forkorter, slik at du tar forbokstaven i hvert ord og danner et passord ut i fra det. Det vil være mye bedre enn et ord eller en hel setning, fordi det fremstår som mye mer tilfeldig.

Tilfeldig eksempel på et slikt passord som jeg vil være i stand til å huske: .i4A5b1D,7@t9D8o4W6-

Huskeregel:
- Punktum først.
- Skriv setningen "I am become death, the destroyer of worlds" med kun forbokstaver, annen hvert ord med stor og liten bokstav og start med liten.
- Mellom hver bokstav, skriv inn ett siffer fra telefonnummeret mitt. (Spoiler, dette er ikke mitt telefonnummer.)
- @ midt inni.
- Bindestrek til slutt.

Resultatet er 20 tall, bokstaver og tegn i en tilsynelatende helt tilfeldig rekkefølge som vil være svært vanskelig for en robot å knekke.

Kan du hugse 150-200 av dei der?

Ha unike passord. Over fuckings alt. Største trusselen i dag er at passord havner på avvege frå ein database, og om det passordet kun er brukt den eine plassen er følgeskader av det minimal.

Nå ble dette tatt litt ut av kontekst; Jeg støtter fullt og helt bruken av passord-managere, bruker dem selv, og fraråder å ha ett passord for alle tjenester. Det jeg skriver er det jeg mener er best-practice for folk som på død og liv ikke vil bruke passord-managere, og dermed er bundet til å ha det samme eller svært like passord på alle tjenester, fordi de ikke klarer å huske mange av dem.

Å skrive ned passord på et ark fungerer hvis du stoler fullt og helt på de du eventuelt bor sammen med, og du ikke logger inn fra offentlige steder hvor alle forbipasserende vil kunne se notatarket ditt.

Nei, det er nettopp det som er poenget. Rådet ditt er det vi har prøvd i 30-40 år. Det funker ikkje, og det forhindrer ikkje den viktigaste angrepsvektoren, som er passordlekkasjer. Problemet er ikkje folk som shouldersurfer passordet ditt. Problemet er lekkasjer.

Forbipasserande vil jo sjølvsagt ha små sjanser til å memorere eit av fleire passord på eit ark når dei går forbi... Det er langt tryggare å ha eit slikt opplegg, enn felles passord for fleire tenester.

Dessutan er best practice for folk som ikkje vil bruke programvare for passordstyring omtrent som å ha best practice for folk som insisterer på å køyre i fylla...

Takk for mange gode tips. Tok en god gjennomgang kort tid etter og byttet alt av passord ved hjelp av LastPass.