Tag Archives: keepass

Bra om lösenord i Svenska Dagbladet

Lösenordshygien är ett ämne som alltid, alltid är aktuellt. Idag publicerade Svenska Dagbladet en riktigt bra artikel om säkra lösenord.

De tipsar också om att skaffa ett program för lösenordshantering, vilket jag brukar rekommendera starkt. Keepass är ett bra kostnadsfritt open source-program som förvarar dina lösenord skyddade och krypterade. Programmet genererar säkra lösenord som du aldrig behöver lägga på minnet, allt du behöver komma ihåg är ett enda lösenord – det till Keepass.

De flesta loggar ju in på flera olika datorer, kanske du invänder, och det stämmer ju. Det problemet kan man lösa genom att ha Keepass installerat på mobilen och lösenordsdatabasen på ett Dropboxkonto.

Läs även denna ett par veckor gamla artikel om nya tekniker som kan ersätta lösenord vid inloggningar.

Vad kan man lära sig av #sdgate?

När det första lugnet efter #sdgate-stormen börjar infinna sig i olika medier så finns det ett par saker man kan lära sig:

  • Lösenordssäkerhet. Lösenordssäkerhet. Lösenordssäkerhet.
    Att vara försiktig med sitt lösenord är något som många kanske tänker att de borde vara, men inte efterlever i praktiken. I det här fallet så är det två uppenbara saker som orsakat problem.

    Först och främst är det ett stort problem att folk använder samma lösenord på flera olika tjänster. Bloggtoppen hackades, och i samband med det spreds lösenorden. De som då har haft samma lösenord på sitt Bloggtoppen-konto som på t.ex. Twitter, sin e-post eller sin blogg kan redan ha fått sina andra konton hackade, utan att de vet om det. Det lutar ju mot att det var så de tog sig in på Petzälls konto, för att han använde samma lösenord där, som på sitt Twitter- eller e-postkonto.

    Man borde VERKLIGEN ha olika lösenord på olika tjänster, eller i alla fall se till att man har unika och säkra lösenord på de viktigaste kontona (främst e-posten då det kan användas för att ta över andra konton). Det finns flera olika lösningar som kan hjälpa användaren att ha säkra lösenord, och personligen så gillar jag programmet KeePass som finns för ”alla” operativsystem och mobiltelefoner.

    MEN, det är inte bara användarna som behöver tänka på lösenordssäkerhet, utan även utvecklare och webbtjänster måste ta det seriöst. När man utvecklar en tjänst där användarna ska kunna logga in måste man kunna autenticera dem på något sätt. Antingen använder man en tredjepartstjänst (t.ex. att man loggar in via sitt Google- eller Facebook-konto), eller att användaren får ett eget konto och lösenord tjänsten. Om man får ett eget konto på webbplatsen, så måste de spara användarnamn och lösenord i någon form. I värsta fall sparas de direkt i klartext, vilket gör att sajtägaren eller någon hackare kan se lösenorden på gång.

    Man kan även välja att spara lösenorden antingen krypterade, eller, något som är ännu säkrare, hashade. Då sparas istället för själva lösenordet, en checksumma av lösenordet. Hos Bloggtoppen sparades lösenorden med ett MD5-hash. Problemet med det är att med just MD5 så går det rätt snabbt att räkna ut vilket lösenord det är baserat på checksumman, och att det går att få ännu bättre säkerhet genom att använda ett så kallat ”salt”. Mer information om hash och salt finns på wikipedia. Istället för bara MD5, så kan man spara lösenordet hashat med ett salt, eller en säkrare algoritm, såsom Bcrypt.

  • Säkerhet vid utveckling
    Utöver problemet med att spara lösenord ”rätt”, så är det också viktigt att man ”programmerar säkert” för att minska risken att bli hackad. Bloggtoppen hackades via en så kallad SQL-injektion, vilket innebär att hackaren kan påverka det som skickas till databasen där allting sparas. På så sätt kan man hämta ut information om exempelvis lösenord, eller t.ex. skapa nya inlägg på en blogg, utan behörighet.

    Vid utveckling av webbtjänster finns det en sak som är viktigare än allting annat. Kontroll av input! Man måste kontrollera att man får in värden som man förväntar sig. Om du t.ex. har ett fält för ålder, finns det ingen anledning att någon ska skicka annat än siffror, så då ska allting annat än siffror blockeras på serversidan.

Som användare kan man inte alltid lita på att webbplatser man skapar konton på är säkra, men det minsta man kan göra, är att undvika att ha samma lösenord på olika webbtjänster. Det är kritiskt viktigt, något som snabbt visas i fall som dessa.

Det är långt från första eller sista gången som en webbplats hackas, och det är ofta bara en bråkdel av gångerna som sajtägaren vet om det, eller som användarna i sin tur får veta om att deras kontouppgifter kan ha spridits. Enligt uppgift så verkar säkerhetshålet på Bloggtoppen ha varit känt i flera månader. Om någon av de över 90.000 användare som hade konto där, hade samma (eller liknande) lösenord på sin e-post, sin Facebook eller sin Twitter, borde man faktiskt räkna med att någon okänd redan har loggat in där, och gått igenom allting. När sådana listor sprids publikt så brukar det inte ta lång tid innan alla konton testats, även om det är tiotusentals användare.

Säkerhetsnyheter på rad

Lösenordsbytardagen är kommen. Bra initiativ av PC för Alla. Byt lösenord ibland!

Ett säkert lösenord…

  • Byts regelbundet
  • Har minst 7 tecken, gärna fler
  • Blandar stora och små bokstäver med både siffror och symboler
  • Skrivs aldrig ut i e-post eller chattar

Ett bra tips är att använda ett program för lösenordshantering, det finns flera kostnadsfria lösningar att testa. Själv brukar jag rekommendera KeePass.

The Christian Science Monitor är inte en helt vanlig källa till säkerhetsnyheter för mig, men via Slashdot.org hittade jag en ganska gammal artikel om hur flottiga fingeravtryck på din smartphone gör det enkelt att hacka den. Det gäller särskilt Androidtelefoner där man kan logga in med en gest som i värsta fall lämnar ett tydligt mönster på skärmen. Ett enkelt knep för att undvika detta är att helt enkelt ta för vana att torka av då och då.

Stuxnet har allmänt ansetts vara unikt i sin komplexitet, men på konferensen Black Hat DC kom i dagarna en avvikande åsikt fram, vilket the The Register berättade igår. Säkerhetskonsulten Tom Parker menade att det finns brister i programmeringen som antyder att skaparna inte var de genier som det påståtts. Enligt Tom Parker hade bland annat bättre skriven kod mask inte läckt ut på Internet. Det går dock inte att komma ifrån att Stuxnet utnyttjade flera dittills okända säkerhetshål och faktiskt krävde stora kunskaper inom vitt skilda områden. Det är helt unikt.

IT World skriver om en ny variant av en gammal phishingteknik – det handlar om ett nytt sätt att få in skadlig kod på småföretagares datorer för att via dem komma in på bankkonton. Nu har cyberskurkarna kommit på att man kan föra in skadlig kod via falska jobbansökningar, och företag som vill anställa är lätta att hitta.

Fyra tips för säkrare lösenordshantering

Det svävar ofta runt olika typer av tips i cybervärlden om hur ett lösenord ska vara utformat och hur man ska hantera lösenord för att hålla så hårt på sin egen säkerhet som möjligt. Eftersom jag själv tycker att detta är viktigt tänkte jag passa på att ge mina fyra favorittips på hur man som vanlig datoranvändare kan hantera och utforma sina lösenord.

Ofta handlar den här typen av listor om vad man inte ska göra, men jag tänkte istället lista saker man ska tänka på.

Använd lösenmeningar

Den enklaste regeln är kanske också den svåraste att följa – långa lösenord är säkrare. Tyvärr är de också svårare att komma ihåg. Att hålla, till exempel, 39 slumpmässigt utvalda tecken i minnet är inte praktiskt möjligt för de flesta av oss. Men det fina i kråksången är att tecknen inte behöver vara slumpmässigt utvalda. Det går nämligen utmärkt att använda en ”lösenmening” istället för ett ”lösenord”. Meningen ”2004 gick Gefle IF slutligen upp i Allsvenskan” är mycket lättare att komma ihåg. Dessutom innehåller lösenmeningen både siffror och versaler och är ett säkert lösenord.

Vikten av olika lösenord

Om du använder samma lösenord på alla sajter som du är medlem i kommer Internetbrottlingen som får tag på lösenordet på en sajt också ha nyckeln till alla andra sajter. Sprid därför dina risker och använd olika lösenord.

Skriv ner ditt lösenord

Tvärtemot vad många tipsar om så är det okej att skriva ner sitt lösenord. Hur ska du annars komma ihåg dina 20 teckens lösenmeningar till de där tio sociala nätverkssajterna som du är medlem i? Vad som däremot är extremt viktigt är att du förvarar dessa nedskrivna lösenord på ett säkert ställe och att du är noggrann med att hålla dem för dig själv.
Ett bra program för att spara lösenord är Keepass som du med fördel kan köra från ett USB-minne. Kom ihåg att säkerhetskopiera lösenordsdatabasen bara.

Byt lösenord

Sätt upp en rutin för att byta ditt lösenord då och då. Beroende på hur bra ditt lösenord är och vad det är som du skyddar med det så varierar tiden mellan hur ofta du ska byta. För lösenord som är bra, till ”kritiska” webbplatser/tjänster, kan en tumregel vara att byta var sjätte till tolfte vecka, speciellt om du loggar in från flera olika ställen (jobbet, hemma, hos kompisar, etc).