Computerworld kunne like godt foreslått at du slutter å bruke internett

chains av sciain på flickr. CC by AT-NC-ND. Informasjonen er ikke sikrere enn det svakeste ledd. Dumt når det svakeste leddet ligger hos Apples kundeservice…

Computerworld surfer i en artikkel på en bølge av frykt for at du blir et offer for ID-tyveri på nett. Bakgrunnen er historien til Mat Honan som fikk slettet all data på sin iPhone, iPad og Mac da noen fikk tilgang til Apple IDen hans. Dette ble gjort gjennom å utnytte noen svakheter som oppstår ved at Amazon og Apple har forskjellige krav til identifisering for å få tilsendt nye koder. Les historien om Mat for å forstå hele sammenhengen.

Så da kommer Computerworld deg i møte for å gjøre livet sikrere. Det eneste du må gi avkall på er brukervennlighet eller brukbarhet. Dersom du følger deres råd til punkt og prikke vil du ende opp med et sikkerhetsregime som er totalt uoversiktlig, som hindrer deg maksimalt i å få gjort det du skal og som krever at du skriver ned hvert eneste skritt for å huske det igjen når du en gang har glemt et av passordene dine. La oss se på tipsene deres:

1. Bruk forskjellige passordIkke bruk samme passord på alle tjenester på nettet. Dette er og blir første svake ledd for alle som vil angripe deg og dine favorittjenester.

De har i og for seg helt rett i dette. Men for å kunne gjøre dette og faktisk gjennomføre det uten å skape totalt kaos i ditt eget hode, samtidig som du lager sikre passord trenger du en passordhåndterer. Selv bruker jeg LastPass som jeg er godt fornøyd med så langt.

2. Skift til passfraser om passord blir for kjipt

Vi veit godt at passord er noe ordentlig pes. Spesielt når det skal være komplekst, med små og store bokstaver, tall og spesialtegn. God sikkerhetstankegang innebærer at du må ha forskjellige passord også, ikke bare for nettjenester.Vurder å skifte til passfrase i stedet. Du har yndlingssetninger og sitater i bøker, dikt eller tv-serier – bruk dem. Og om «call me ishmael» er for langt, forkort det «CMIsh» og legg til et tall som mora di sin fødselsdato. Kombinasjon av fem-seks enlinjere og like mange datoer (ikke din egen eller den aller nærmeste familie) gir deg et lite arsenal av passfraser til forskjellige tjenester.

De mer og mer populære passfrasene. Men hvilken frase passer til hvilken tjeneste? Tenk deg om. Hvor mange passfraser klarer du å skille fra hverandre og huske hvor du brukte hva? Spesielt når tips nr 1 sier at du skal bruke forskjellige passord å hver eneste tjeneste. Selv har jeg over 20-30 forskjellige tjenester som krever innlogging. Noen nettbutikker har kjøpshistorikk (kan leve med at du får innsyn i det, men helst ikke.) Noen e-post tjenester, skytjenester, bildetjenester, sosiale medier osv. Det blir en del fraser etter hvert.

3. Bruk forskjellige epostadresser for alle tjenester

Dataene dine er dyre, epostadresser er gratis: Å bruke forskjellige epostadresser til forskjellige nettjenester reduserer sårbarheten i seg selv. Husk også på at du skal verne deg mot at passordet til denne adressen blir knekt.

Glimrende. Så neste gang du har glemt et passord (fordi du har forskjellige passfraser på alle tjenestene har det gått i surr) må du også huske hvilken e-post adresse som er knyttet opp til tjenesten du ikke får tilgang til. Når du så har forsøkt alle e-post adressene du husker finner du den riktige. Men siden dette er en e-post adresse du kun bruker til denne eller et fåtall tjenester husker du heller ikke passordet til den. Lykke til videre med å finne den tilknyttede backup e-posten til den e-posten som du nettopp har glemt hvilken passfrase som hører til for å kunne annulere det første passordet (mistet du tråden? Det gjorde jeg).

4. Ikke gå for lette sikkerhetsspørsmål

Om du velger sikkerhetsspørsmål som løsning, ikke bruk spørsmål som er enkle å svare på. Yndlingsfarge, mors slektsnavn, navnet på din første lærer eller din første katt – det er opplysninger som er enkle å finne ut av. Velg noe som er skikkelig vanskelig, eller la være å bruke muligheten.

Personlig -jeg- klarer aldri komme på slike spørsmål. Hva skal jeg spørre om som jeg vil svare riktig på hver gang? Det samme svaret for et vanskelig spørsmål. Et spørsmål som ikke må være mulig å finne ved hjelp av det store internettet eller informasjon som er tilgjengelig om meg og mine nærmeste og fjerneste. Du kan jo ta femtilapper og skrive tjenestens navn på, bruke «hva er serienummeret?» som spørsmål også hente frem den riktige femtilappen den gangen du trenger det. Men særlig effektivt, enkelt eller brukervennlig er ikke dette.

6. Bygg murer rundt ekstra kritisk informasjon

Har du et sett med nettkontoer hvor du lagrer kreditkortinformasjon, som Itunes, Amazon, Google Checkout, PayPal eller Xbox, må du være ekstra forsiktig – for eksempel med å bruke forskjellig innlogging og gjenopprettingsepostkonti uten noe mønster. Bruker du kun sikre datanett med vpn og ssl-tilkopling er du enda sikrere, og du kan vurdere å bruke nettleseren din i privatfunksjon for å legge til et sikkerhetslag til.

JA! De aller aller aller aller aller færreste vet hva VPN og SSL er. De aller aller aller aller aller fleste bryr seg ikke selv om de hadde vist hva det var. Og privatfunksjonen på nettleseren brukes kun til (hmm.. ingen lagring av historikk.. tjah.. hva ville du brukt det til?). Jeg er så paranoid at jeg bruker VPN når jeg sitter på åpne trådløse nettverk. Men det er det ikke mange som gjør. Ellers er jo dette tipset egentlig en blanding av tips 1-3.

7. Gjør eposten sikker som nettbanken

Norske nettbanker og svært mange kredittkort har et lag med tofaktorautentisering – du bruker en kombinasjon av tilfeldig nummer og en personlig kode (pin). Dette kan du også vurdere for din viktigste epost-identitet. Dette støttes som blant annet av Gmail, Yahoo og Hotmail. Da får du tilsendt en unik kode på sms hver gang du logger deg inn.

Dette har jeg selv gjort. Og det ville reddet Mat i historien over dersom han hadde brukt tofaktor-autentisering. Men det er en aldri så liten pain i den velkjente bakdelen at du må vente på kode for å logge inn hver gang. Det er mulig å få den maskinen du sitter på autentisert for 30 dager slik at en slipper kode mer enn en gang i mnd. Men dette har ikke jeg av ulike grunner fått til å fungere godt. Men jeg bruker Googles tjenester på mobilen og på desktop aplikasjoner og da er det egentlig en grei sak, du får en kode som kun kan brukes til den og den tjenesten. Du har en fin oversikt over hvilke tjenester som har tilgang til kontoen din og når de sist ble brukt. Så er du en bruker som ikke bruker google kun gjennom nettleseren er dette ikke noe å tenke på, få tofaktor-autentisering. Bruker du google hovedsaklig gjennom nettleseren kan du jo teste det ut. Fungerer det fint og du ikke trenger sms hver gang du skal logge deg inn er det jo bra også for deg.

8. Ta fysisk backup – også

Nettskyen gjør dagligbackupen enkel. Men det fritar ikke fra sikkerhetskopiering i tillegg. Enten ved å betale for å sikkerhetskopiere fra nettskyleverandøren din, eller ved å kopiere ut innholdet til en fysisk harddisk med jevne mellomrom. Den disken lagrer du selvsagt geografisk et annet sted enn der dataene dine vanligvis er.

Bare gjør det. Nå. Mangler du harddisk? Kjøp. Mangler du kunnskap prøv et google søk («backup windows» eller «backup mac»), så har du lesestoff i noen timer. Og ikke bry deg så hardt med at diskene må være på forskjellige steder. Det viktigste er at du har to kopier eller mer av de dataene som betyr noe for deg. Har du mer enn to kopier kan du jo vurdere å ha en av kopiene hos en venn du ser innimellom. Så kan du veksle på kopiene en gang i halvåret/kvartalet/måneden.

Men ikke gjør livet ditt til en elendig sikkerhetsgjørme. Ikke helt enda. Amazon har allerede skiftet praksis på området. Og Apple jobber tydeligvis med saken.

Som du ser, det grunnleggende problemet her er jo at tipsene som blir gitt er totalt meningsløse å følge dersom du ønsker å gjøre annet på fritiden en å sikre dataene dine. Deri ligger et problem. Det neste, som kunne vært spennende å undersøkt nærmere er hvordan retningslinje for å tilbakestille passord er hos forskjellige tjenester og hvordan de bør være. «Uniform guidelines for password recovery».

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s