Lösenord på vift - vad kan du som organisation göra för att skydda dig?

0 kommentarer
Vi kunde igår läsa om hundratusentals lösenord på vift efter att ett sextiotal sajter hackats. Det finns två viktiga aspekter på det. Dels den jag skrev om igår: Vad du som användare kan göra för att skydda dig. Dels vad du som organisation eller utvecklare kan göra för att minska risken för att du eller dina användare drabbas.

Vad du som organisation kan göra för att minska risken för lösenordsrelaterade intrång
  1. Lagra inte lösenord i klartext
    Om du lagrar dina användares lösenord i krypterad form blir det mycket svårt för en inkräktare att använda lösenorden även om du blir utsatt för ett intrång. Räkna alltid med att du kommer att bli utsatt och arbeta utefter tesen att minimera konsekvenserna. Dit hör att göra det svårt för en inkräktare att använda de stulna lösenorden. Ärligt talat: Varför behöver du veta dina användares lösenord? Det du behöver veta är om ett inmatat lösenord är rätt lösenord och det löser du med hjälp av envägskryptering eller sk. hashning. På så sätt jämför du bara de krypterade versionerna av det inmatade och det lagrade lösenordet. Om de stämmer överens vet du att rätt lösenord har använts, utan att du lagrar lösenordet i klartext. Genom att dessutom salta hashen försvårar du ytterligare för en inkräktare att härleda lösenordet även om olyckan skulle vara framme.
     
  2. Single sign-on och federerade identiteter
    Single sign on eller SSO innebär att du inte hanterar alla användares konton i alla system där de loggar in. Användarens konto finns på ett ställe dit man ansluter flera andra system som användaren ska kunna logga in i. Risken med att ha olika konton i olika system är att användarna av bekvämlighetsskäl använder samma lösenord på många olika platser. Om ett system blir utsatt för ett lyckat intrång är risken stor att inkräktaren kan logga in i andra system med samma användarnamn och lösenord. Vän av ordning frågar sig om det är säkert att ha ett användarnamn och lösenord som styr tillgången till många system, men på detta sätt får man en kontrollpunkt som är lätt att hålla reda på både för användaren och administratören. Man måste dock alltid göra en analys av den totala säkerheten och värdera riskerna med olika alternativ.
    Federering innebär att en och samma identitet kan användas i flera olika organisationer och deras system. Exempel är företag och organisationer som samarbetar och som håller reda på sina egna användares identiteter och samtidigt litar på identiteterna i andras system.

  3. Tvåfaktorautenticering
    Även om SSO och federering gör det enklare för oss att hantera lösenord, löser dessa tekniker inte problemet med att lösenord kan stjälas. Därför bör man överge rena lösenord till förmån för två- eller flerfaktorautenticering. Det går till så att man autenticerar med något användaren vet (lösenordet) och något användaren har (säkerhetsdosa, certifikat, mobiltelefon som tar emot SMS etc.). Där finns idag många exempel från olika tillverkare som du kan integrera i din IT-miljö. Vilken av de olika teknikerna som är bäst beror på egenskaperna i din miljö, exempelvis hur många användarna är, hur ofta de behöver autenticera, varifrån de autenticerar och med vilken typ av enhet (dator, laptop, telefon, smartphone, surfplatta, internetcafé etc.) Helt klart är i att du genom att använda mer än bara lösenord för autenticering helt eliminerar risken för att stulna lösenord leder till intrång. Inkräktaren behöver stjäla något mer - något som användaren förhoppningsvis märker att det är stulet. När vet du om ditt lösenord är stulet? Saknar du något? Om du har tur dyker det upp i ett publikt Internetforum så att alla ser det innan det hunnit användas. Om du har otur får du inte reda på det förrän en obehörig har använt lösenordet.
  4. Jobba aktivt med säkerhet - OWASP Top 10
    En god lösenordshygien är viktigt både för dig som systemägare och för dig som användare. De flesta storskaliga stölder av användares kontouppgifter vi sett på senare tid har dock skett till följd av dåligt implementerade system. System som varit sårbara för attacker som exempelvis SQL Injection, Cross Site Scripting, bristande säkerhet i datareferenser etc. Genom att redan från början föra in säkehretsaspekten och göra alla medvetna om säkerheten när du kravställer och implementerar dina system minskar du risken för att drabbas av framtida intrång. Ett mycket bra ställe att börja på är OWASP:s topp 10-lista över de vanligaste sårbarheterna. Om du klarar av att hantera dessa är du och ditt system väl rustade för att möta dagens hotbild på Internet. Detta gäller oavsett om du är en enmansutvecklare av ett litet system eller en större organisation med hundratals utvecklare.
Michael Westlund
IT-säkerhetsexpert

Följ mig på Twitter: @michaelwestlund

Lösenord på vift - vad kan du som användare göra för att skydda dig?

0 kommentarer
Efter gårdagens nyheter om att Bloggtoppen hackats och att användarnamn och lösenord är på vift har det kommit fram att det är fler sajter som är drabbade. Ytterligare 57 sajter och uppemot 180000 konton är på vift. Om du har eller har haft ett konto på någon av dessa sajter bör du omedelbart se till att byta dina lösenord. Speciellt om du har återanvänd samma lösenord på flera platser. Se längst ned för en lista över drabbade webbplatser.

Det är självklart alarmerande att flera kända sajter har blivit av med sina användares kontouppgifter, men det är dessvärre någonting som händer hela tiden. Och det kommer att hända igen.

För dig som användare och enskild person är det svårt att motverka intrång hos någon annan. Det handlar istället om att minska konsekvenserna för dig själv när det inträffar.

Här är några tips på hur du kan hantera dina egna lösenord för att minska risken för allvarligare konsekvenser:
  1. Välj säkra lösenord.
    Ett säkert lösenord är lätt för dig att komma ihåg men svårt för någon annan att gissa. En hjälp på vägen är att använda lösenordsfraser istället för lösenord. En fras eller mening är i regel lättare att komma ihåg än ett ord som inte betyder något. Tycker du att det blir för långt, eller klarar inte systemet av långa lösenord? Välj första bokstaven i varje ord.
    Byt ut någon eller några av bokstäverna mot specialtecken eller siffror för att ytterligare förstärka lösenordet.
  2. Använd olika lösenord för olika system.
    Med det stora antal konton vi måste hålla reda på idag är det lätt att falla i fällan att använda samma lösenord på flera ställen. Det är tyvärr en mycket dålig idé. Många dataintrång sker till följd av att samma lösenord används på flera ställen. Genom att använda olika lösenord på olika ställen eliminerar du risken för att någon som kommit över ditt lösenord på ett ställe lyckas använda det någon annanstans. Det kan räcka med att byta ut några tecken i lösenordet så att det blir lättare att komma ihåg men inte är exakt samma i olika system.
  3. Använd SSO om du kan!
    Det blir vanligare att webbsajter använder sig av SSO, Single Sign On. Det innebär att kontouppgifter hämtas från ett annat system. Ett exempel är Facebook som i flera fall används för att logga in på andra tjänster som exempelvis Spotify, Familjeliv och andra forum på nätet. Det kan till en början kännas osäkert att ha ett konto för inloggning på flera sajter, men du som användare får färre lösenord att skydda. I de flesta fall finns inte heller lösenordet mer än på ett ställe.
  4. Aktivera stark autenticering
    Flera tjänster, bland annat Facebook och Google erbjuder SMS-autenticering eller autenticeting med en programvara i din telefon. En inkräktare måste alltså stjäla din mobiltelefon för att kunna logga in. Det här minskar också risken för att någon stjäl ditt lösenord när du loggar in från högriskplatser som exempelvis internetcaféer eller okrypterade trådlösa nätverk. 
Det finns självklart mer att göra, men om du följer ovanstående råd minskar du risken för att drabbas av intrång om dina konsouppgifter blir stulna från någon av de sajter du använder.
Listan över drabbade webbplatser
adcomlive.se
bag.nu
bildbank.eslov.se
billesholmsgif.se
bilrecension.se
blasarsymfonikerna.se
bloggtoppen.se
bildalbumet.se
bonti.se
call-up.se
campaign.iqmedier.se
carlwisborgab.se
dagensps.se
discsport.se
djurensjurister.se
easykb.se
ecoprofile.se
emusic.se
find-websites-directory.com
fjaderborgen.se
gamman.se
genealogi.se
golfbycarl.se
gulabutikerna.se
hobby.se
iplay.norran.se
itservice.omv.lu.se
kloaken.net
kryolan.se
lensy.se
matlycka.se
mchuset.se
meetingsinternational.se
natalie.se
nivado.com
nordportalen.se
nylandsnation.com
plusikassan.se
puff.se
quakeworld.nu
reklamkraft.tv
retrospelbutiken.se
rullma.fi
saifa.se
scrabbleforbundet.se
seriehyllan.se
serieplaneten.se
shellkonto.se
skcab.se
sportbilen.se
tarotlive.se
topblogarea.se
tramsmail.se
tropicarium.se
veteran.se
vilse.studorg.liu.se
world-superstore.com
yle.fi (Sex och såntdelen)

Michael Westlund
IT-säkerhetsexpert

Följ mig på Twitter: @michaelwestlund