En database med 6,5 millioner passord ble denne uken lagt ut på et russisk hacker-forum, med spørsmål om noen kunne hjelpe med dekryptering av passordene. Linkedin har innrømmet at de er rammet, og i diverse fora kan man nå lese om hvordan disse passordene ikke var ordentlig kryptert – bare ”hashet” og at de dessuten var ”usaltet”.
Middels sikkerhet bidro trolig til at beskyttelsen på mange av passordene raskt ble brutt, og ifølge sikkerhetsselskapet Sophos er allerede mer enn 60 prosent av passordene åpnet.
- De valgte en moderat sikkerhetsmetode. For et selskap på Linkedins størrelse hadde jeg forventet bedre, sier sikkerhetsforsker i Sophos, Chester Wisniewski, ifølge Computerworld.com.
Han mener den raske knekkingen av passorddatabasen viser at sikkerheten var for svak.
Like enkelt, men sikrere
Mange forbinder nok bedret passordbeskyttelse med innføring av upraktiske lange passord som må skiftes så ofte at man stadig glemmer dem. Men ifølge Per Thorsheim, passordekspert i det norske it-selskapet Evry, handler dette mest om at mange selskaper slurver med sikkerheten.
- Det er ikke min jobb å gjøre livet vanskelig for folk. Mye kan gjøres uten å påvirke sluttbruker i det hele tatt, sier han.
Thorsheim er mannen som først oppdaget at Linedins passord var på avveie, og har siden onsdag fått svært mye oppmerksomhet, verden rundt.
Les også: - Bytt passord på Linkedin, nå!
Slurv er vanlig
Thorsheim mener mange tjenesteleverandører gjør som Linkedin - de slurver med sikkerheten, selv om enkle grep kunne gjort underverker. Hadde nettverksgiganten lagret passordene i et annet format kunne det tatt mye lenger tid å knekke dem.
Han har tidligere kritisert norske myndigheter for å droppe kryptering av epost, selv på svært sensitive områder, og selv om kryptering er billig.
Les også: - Statsministerens kontor bruker falsk id
Sikrere på minutter
Ifølge Thorsheim handler ikke dette om mye penger heller. Men da må du ikke gjøre som Linkedin, som tydeligvis har valgt standardinstillinger for passord, selv om de fleste utviklerverktøyene har innebygd mulighet for både "salting" og andre systemer som gir mye bedre sikkerhet.
- Hvis utviklerne gjør det riktig fra starten kan det være banalt enkelt og ta minutter. Men når systemet er tatt i bruk kan det bli en massiv jobb. Det kan ta flere år før man får endret alle passordene til brukerne, sier han.
Han mener mange it-kjøpere ikke vet hva de skal be om, og at leverandørene ofte er mest opptatt av å kunne gi et billigst mulig tilbud. Da blir det gjerne ikke topp sikkerhet.
Saltet skiller like passord
Linkedinpassordene lå ”usaltet", noe mange mener er kritikkverdig. Poenget med ”salting” er at det får passord som er ulike til å fremstå som forskjellige. Dermed blir jobben med å knekke store databaser større.
- Er det sløvt av Linkedin å ikke ha saltet passordene ?
- Det har vært anbefalt praksis av sikkerhetseksperter i mange år. Det er litt sløvhet og litt knapphet på tid, sier Thorsheim.
Dårlig sikkerhet kan gå bra, hvis man er heldig.
- Men når det først går galt, går det ikke bare litt galt, men spektakulært galt, sier Thorsheim.
Bruk setninger
Selv anbefaler han folk å lage passord av setninger – fordi de er lette å huske, men lange, og derfor relativt vanskelige for en maskin å gjette.
Sjekk Norsis sin guide til å lage gode passord, som Thorsheim har bidratt mye til.
Selv sikrer han passordene godt, men de som leverer tjenestene kan ikke gå utifra at kundene sikrer seg. Det er deres ansvar å bygge sikkerhet for kundene, mener han.
Han advarer også om at det kan være fånyttes å tvinge brukerne til å endre passord etter at passordene er stjålet. Mange brukere velger nemlig å bare legge til et tall på det gamle passordet - "midnattssol3" blit til "midnatssol4", og det kan hackerne gjette.
Les også: - Bytt passord på Linkedin, nå!
Kan ramme Facebook og andre nettsamfunn
Passordlekkasjen kan gi hackere adgang til jobben din (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.