I det følgende giver CSIS gode råd til, hvordan du som almindelig bruger kan minimere risikoen for at dit password bliver kompromitteret og misbrugt af it-kriminelle.
Den svenske skandale - ca. 400.000 passwords lækket
Efter lavinen af lækkede passwords i Sverige, hvor talrige populære online-services har været udsat for målrettede angreb igennem såkaldte SQL injektion teknikker, er vigtigheden af at omgås sit password forsvarligt og korrekt ikke blevet mindre. Tværtimod. De mange angreb i Sverige, hvor flere hundredetusindende passwords er landet i hænderne på it-kriminelle, har haft den negative konsekvens, at de mange passwords er blevet offentliggjort og derved kan tjene som inspiration for andre it-kriminelle, når de skal forsøge at gætte/knække et password.
Flere tjenester - ét password?
Den svageste beskyttelse af passwords findes hos websteder, der ikke har store værdier at beskytte. Men det betyder ikke, at man som almindelig bruger kan tillade sig eksempelvis at genbruge samme password til mange forskellige online services. Hvis man gør det, risikerer man, at it-kriminelle høster e-mail adresse og login fra en online service og anvender samme password til at logge ind på andre tjenester. Det er derfor vigtigt, at man vælger forskellige passwords til forskellige tjenester. Der findes små gratis programmer, som kan hjælpe med at administrere passwords.
Hvad er et godt password?
- Det skal bestå af både små og store bogstaver
- Brug af specielle tegn som # ! & (Brug gerne hele tastaturet)
- Anvend et password som ikke relaterer til dig eller din familie/venner
- Anvend et password til henholdsvis usikre/sikre websider
Usikre websider indbefatter bl.a. mindre sider som boligportaler og biografer, mens sikre sider typisk vil være NemID og login til Netbanker samt e-mail konti.
Test dit password - er det godt nok?
Microsoft har lanceret en portal, hvor man kan checke om det valgte password er godt. Det kan afprøves på adressen herunder:
https://www.microsoft.com/security/pc-security/password-checker.aspx
Andre password trusler
Informationstyve:
En anden risiko, man som almindelig bruger altid står overfor, er computer virustypen ”informationstyv”, som i de senere år er blevet langt mere udbredt. Kendetegnende for denne type virus er, at den automatisk stjæler brugerens kodeord og password idet de logger ind på deres online tjenester såsom webmail, banksystemer og sociale mediesider.
Informationstyvene spredes som oftest til brugernes PC’er igennem såkaldte drive-by angreb, hvor de it-kriminelle udnytter huller i populære tredjepartsprogrammer, som ofte leveres som standard sammen med Microsoft Windows. Det gælder bl.a. Adobe Reader/Acrobat, Adobe Flash, Java JRE og Quicktime
Dette kan ligeledes løses med et gratis program, som kan holde styr på programmerne og sikre, at de automatisk bliver opdateret, så virus ikke kan kravle ind.
Phishing:
I de seneste måneder har Danmark været mål for flere phishing-kampagner, hvor it-kriminelle foregiver at komme fra kendte danske virksomheder og via en e-mail fisker efter brugernavne og passwords. Også her skal man være opmærksom og aldrig videregive sit password eller kreditkortoplysninger hvis disse anmodes om via e-mail. Der findes ingen seriøse firmaer, som vil sende dig en e-mail og anmode dig om at opgive dit password.
Gratis værktøjer til god sikkerhed:
Passwords:
Gem dine passwords i et gratis program, som samtidig beskytter dem og hjælper dig til at huske flere passwords på tværs af forskellige online services.
Clipperz
http://www.clipperz.com/
Roboform
http://www.roboform.com/
Opdatering af vigtige programmer:
Hold din programmer automatisk opdaterede og beskyt samtidig mod virus med Heimdal Security Agent. Heimdal kan hentes gratis til privat brug på adressen herunder:
https://www.heimdalagent.com/da/home
Afslutningsvis kan man konkludere, at man som almindelig bruger, for at holde sin maskine fri for virus og uheldige oplevelser, skal udvise god og forsvarlig adfærd på nettet. Det indbefatter bl.a., at man ikke klikker ukritisk på vilkårlige links/genveje, man f.eks. modtager via e-mail, Facebook eller Instant Messenger programmer, søger ind på underlødige websider, holder sin PC opdateret med seneste softwarepakker samt vælger gode passwords og ikke genbruger disse på tværs af forskellige services.