stark autentisering

Tankar om datasäkerhet

James internet, säkerhet, sosiaalinen media , , , , , , , , , , , , , ,

Med anledning av mitt föregående inlägg (på finska) så vill jag ge mina läsare lite att tänka på angående datasäkerhet. Först i orderform ett par grundsaker med förklaringar, som förhoppningsvis alla är medvetna om (?) och sedan en liten lista över vardagliga saker som jag tycker Du ska se över och sätta i skick i Ditt digital liv.

Du skall icke upprepa Dig

Använd aldrig samma lösenord i olika tjänster. Har Du svårt att komma ihåg dina lösenord, så kan Du t.ex. ge den uppgiften till en applikation, som låser dom bakom ett huvudlösenord eller förvara dem krypterat på en särskild minnessticka som du inte använder för något annat eller helt enkelt ha dom på papper i ett kassaskåp.

Macro computer screen shot with binary code and password tex, great concept for computer, technology and online security.

Ett bra lösen kräver inte en massa specialtecken (om inte tjänsten kräver det). Du väljer bara slumpmässigt fyra eller fem ord och ersätter en eller två tecken med siffror och specialtecken. Bäst är ord som inte finns i någon ordbok, t.ex. dialektala uttryck. Vi tar en titt på styrkan hos två olika fiktiva lösen för musiktjänsten Spotify:

  • Spotify:spo#fyr4töt4ltslump4deörd (läs: ”fyra totalt slumpade ord”)
  • $pO7I§µ (anm. unga lär skriva så här på nätet)

För det första lösenordet finns 6,49 x 1045 kombinationer. Dagens bästa superdator kan pröva 16,32 x 1012 kombinationer i sekunden. På ett år finns 31 536 000 sekunder. Datorn arbetar således i 1,26 x 1025 år. Med energiförbrukning i klass A++ skulle detta kräva en monopol på Solens energi i över 140 000 år.

Perspektiv: Universum är cirka 4,33 x 1017 sekunder gammalt.

P.S. Det andra lösenordet bryts på 5 sekunder…

Du ska både bära föremål och minnas lösenord

Med stark autentisering avses en elektronisk metod där identifieringen och verifieringen grundar sig på minst två av följande tre alternativ:

  1. ett lösenord eller någonting annat som en innehavare av ett identifieringsverktyg vet,
  2. ett smartkort eller någonting annat som en innehavare av ett identifieringsverktyg har i sin besittning, eller
  3. fingeravtryck eller någon annan egenskap som identifierar en innehavare av ett identifieringsverktyg.

Vid en bankomat autentiseras Du med både kort och PIN-kod. Traditionellt använder webbtjänster bara användarnamn och lösenord. Användarnamnet är ofta offentligt eller dåligt skyddat. Flere webbtjänster erbjuder stark autentisering. Ta vara på erbjudandet och använd stark autentisering åtminstone i de viktigaste tjänsterna. Om Du inte vaknade till i förra kapitlet, så är det nu skäl att avbryta läsandet och sätta ett skal till på Din digitala säkerhet.

P.S. Läs http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ och ta en funderare hur lätt det vore att hacka Ditt digitala jag.

Sätt grundsakerna i skick!

Här har Du en förteckning på några åtgärder som Du ska skrida till, i syfte att öka Din säkerhet.

  • Använd i internet en tjänst som håller reda på Dina lösen. T.ex. F-Secure Key eller KeePass. Med dessa kan du lätt förvara, använda och skapa lösen. Kom trots allt ihåg att byta lösen tillräckligt ofta. Ett gammalt lösen är alltid ett gammalt lösen.
  • Kommentar: I världen efter Snowden blir vi lätt rädda för att överlåta våra lösen till en applikation. Du kan minska denna ångest genom att bekanta Dig med hur krypteringen fungerar. Det viktigaste är att Du väljer en tjänst som både skyddar förbindelsen och datan med stark kryptering. De ovannämnda är sådana. Jag brukar inte göra reklam eller rekommendera, men F-Secure för PC och mobilen är stenhård. Själv har jag ett par andra lösningarr ibruk, som närmast härstammar från ett nördaktigt kontrollbehov, men då jag tidigare använt F-Secure har jag aldrig blivit besviken. Vill Du ha en lätt, säker och pålitlig lösning, så ska Du köpa finskt.
  • Uppbackningar är viktiga och dom ska Du skydda. Du kan t.ex använda TrueCrypt programvaran. Märkväl att hotet av ”brute force” angrepp inte försvinner, så ha ett starkt lösen.
  • Använd sk tvåstegs autentisering alltid (när tillgänglig), där Du alltså ska ge en skild bekräftning efter att ha matat lösen. Detta kan vara ett svar på ett SMS eller YubiKey-autentisering.
  • Traditionella anti-virusprogram räcker inte längre. Se till att Du också har skydd mot sk malware, t.ex med MalwareBytes eller SpyBot jne.
  • Reklamer är lätta att klicka på, i synnerhet om datorn används gemensamt/offentligt. Du får stopp på reklamer i Din webbläsare med sk. add-ons, t.ex AdBlock.
  • På webbläsare i offentligt bruk ska Du använda incognito-funktionen, som inte lagrar historia eller annan data efter sessionen. Kom dock ihåg att stänga läsaren helt efter användning, eftersom vissa läsare kortvarigt lagrar data under pågående session.
  • Kom ihåg att skydda Din mobil och pekplatta. Samma program och lösningar finns mobilt och det är skäl attt skaffa dom!
  • Du ska städse uppdatera och uppbbacka. Automatisera gärna denna rutin och låt datorn göra jobbet så ofta som Du bestämmer. Granska regelbundet uppbackningarnas integritet.
  • Gardera Dig på sociala medier. SoMe är modernt och ger fler möjlligheter och dimensioner för kommunikation. Kom ihåg att skydda Dina (och andras) kontaktuppgifter. Du gör väl i att lämna känsliga ärenden och provocerande åsikter utanför sociala medier.
  • IRL: Vid bankomaten ska Du skydda din PIN-kod med handen.
  • E-posten fylls med phishingförsök, där man alltså frågar efter lösen och annat. Öppna aldrig dessa.

Här var nåra enkla tankar från en enkel soldat till andra enkla användare. Synpunkter och flera tips tas emot i kommentarsfältet nedan. I mitt nästa inlägg ska jag mera ingående svara på frågan varför?

Let’s keep ourselves and the internet safe!