Vi benytter cookies på DN.no til analyseformål, tilpasning av innhold og annonser og for å videreutvikle våre tjenester.Les mer her.

Teknologi

- Går det galt, så går det spektakulært galt

Sløv passordsikring er vanlig, selv om alternativene er enkle og billige, sier mannen som avslørte lekkasjen av 6,5 millioner Linkedin-passord.

Artikkelen er lagt til i din leseliste.

En database med 6,5 millioner passord ble denne uken lagt ut på et russisk hacker-forum, med spørsmål om noen kunne hjelpe med dekryptering av passordene. Linkedin har innrømmet at de er rammet, og i diverse fora kan man nå lese om hvordan disse passordene ikke var ordentlig kryptert – bare ”hashet” og at de dessuten var ”usaltet”.

Middels sikkerhet bidro trolig til at beskyttelsen på mange av passordene raskt ble brutt, og ifølge sikkerhetsselskapet Sophos er allerede mer enn 60 prosent av passordene åpnet.

- De valgte en moderat sikkerhetsmetode. For et selskap på Linkedins størrelse hadde jeg forventet bedre, sier sikkerhetsforsker i Sophos, Chester Wisniewski, ifølge Computerworld.com.

Han mener den raske knekkingen av passorddatabasen viser at sikkerheten var for svak.

Like enkelt, men sikrere
Mange forbinder nok bedret passordbeskyttelse med innføring av upraktiske lange passord som må skiftes så ofte at man stadig glemmer dem. Men ifølge Per Thorsheim, passordekspert i det norske it-selskapet Evry, handler dette mest om at mange selskaper slurver med sikkerheten.

- Det er ikke min jobb å gjøre livet vanskelig for folk. Mye kan gjøres uten å påvirke sluttbruker i det hele tatt, sier han.

Thorsheim er mannen som først oppdaget at Linedins passord var på avveie, og har siden onsdag fått svært mye oppmerksomhet, verden rundt.

Les også: - Bytt passord på Linkedin, nå!

Slurv er vanlig
Thorsheim mener mange tjenesteleverandører gjør som Linkedin - de slurver med sikkerheten, selv om enkle grep kunne gjort underverker. Hadde nettverksgiganten lagret passordene i et annet format kunne det tatt mye lenger tid å knekke dem.

Han har tidligere kritisert norske myndigheter for å droppe kryptering av epost, selv på svært sensitive områder, og selv om kryptering er billig.

Les også: - Statsministerens kontor bruker falsk id



Dette er Linkedin-skandalen

Onsdag ettermiddag avslørte passordekspert Per Torsheim i Evry at 6,5 millioner passord var lekket på et russisk hackernettsted, og at de trolig stammet fra det sosiale nettverket Linkedin. Linkedin har senere bekreftet dette. Et samlet sikkerhetskorps oppfordrer folk til å bytte passord på Linkedin så fort som mulig, samt på alle andre tjenester der man har brukt samme passord eller et liknende passord. Dette gjelder ikke minst på jobben, der lekkasjen kan brukes til målrettede angrep - hvis hackerne kan logge seg inn på din Linkedinkonto så vet de også hvor du jobber:

Les også: Passordlekkasjen kan gi hackere adgang til jobben din



Sikrere på minutter
Ifølge Thorsheim handler ikke dette om mye penger heller. Men da må du ikke gjøre som Linkedin, som tydeligvis har valgt standardinstillinger for passord, selv om de fleste utviklerverktøyene har innebygd mulighet for både "salting" og andre systemer som gir mye bedre sikkerhet.

- Hvis utviklerne gjør det riktig fra starten kan det være banalt enkelt og ta minutter. Men når systemet er tatt i bruk kan det bli en massiv jobb. Det kan ta flere år før man får endret alle passordene til brukerne, sier han.

Han mener mange it-kjøpere ikke vet hva de skal be om, og at leverandørene ofte er mest opptatt av å kunne gi et billigst mulig tilbud. Da blir det gjerne ikke topp sikkerhet.





Salting av hashen:

En "hash" er en algoritme som tar en vilkårlig mengde informasjon og gjør den til et fast antall symboler - en såkalt hash-sum. Denne summen forandrer seg totalt hvis bare en bit i originalbudskapet endres. "Salting" av passord legger til noe slik tilfeldig informasjon, som gjør at brukere med samme passord likevel får ulike hash-summer. Det gjør hacking noe mer langdrygt for store databaser.





Saltet skiller like passord
Linkedinpassordene lå ”usaltet", noe mange mener er kritikkverdig. Poenget med ”salting” er at det får passord som er ulike til å fremstå som forskjellige. Dermed blir jobben med å knekke store databaser større.

- Er det sløvt av Linkedin å ikke ha saltet passordene ?

- Det har vært anbefalt praksis av sikkerhetseksperter i mange år. Det er litt sløvhet og litt knapphet på tid, sier Thorsheim.

Dårlig sikkerhet kan gå bra, hvis man er heldig.

- Men når det først går galt, går det ikke bare litt galt, men spektakulært galt, sier Thorsheim.

Bruk setninger
Selv anbefaler han folk å lage passord av setninger – fordi de er lette å huske, men lange, og derfor relativt vanskelige for en maskin å gjette.

Sjekk Norsis sin guide til å lage gode passord, som Thorsheim har bidratt mye til.

Selv sikrer han passordene godt, men de som leverer tjenestene kan ikke gå utifra at kundene sikrer seg. Det er deres ansvar å bygge sikkerhet for kundene, mener han.

Han advarer også om at det kan være fånyttes å tvinge brukerne til å endre passord etter at passordene er stjålet. Mange brukere velger nemlig å bare legge til et tall på det gamle passordet - "midnattssol3" blit til "midnatssol4", og det kan hackerne gjette.

Les også: - Bytt passord på Linkedin, nå!

Kan ramme Facebook og andre nettsamfunn

Passordlekkasjen kan gi hackere adgang til jobben din