Sikkerhetsfeilen «Heartbleed» har gjort det mulig å hente ut passord og annen sensitiv informasjon fra svært mange av verdens nettjenester. Mange tjenester har nå tettet hullet, slik som Telenor, Chess, Norwegian og Ventelo, men det er vanskelig å vite om passord ble hentet ut før hullet ble tettet.
DN har samlet råd om hvordan nettbrukere bør forholde seg til denne, og kommende sikkerhetsproblemer.
1. Hva bør folk gjøre nå?
- Det generelle rådet bør være å oppfordre alle til å ha gode passordrutiner. Bytt passord regelmessig, velg gode passord, og ikke gjenbruk samme passord på forskjellige tjenester, oppfordrer seksjonssjef i Nasjonal Sikkerhetsmyndighet, Arne Asplem.
Hvis et av dine passord har blitt lekket via Heartbleed-feilen, eller snappet opp på andre måter, er det en stor fare for at hackerne prøver dette flere steder. Dette er ikke bare en teoretisk mulighet - det utnyttes jevnlig.
2. Bør jeg vente med å bytte passord?
- Vent med å bytte passord til tjenesten er sikret mot Heartbleed , oppfordrer Per Thorsheim i God Praksis. Hvis du bytter passord på en tjeneste som fremdeles er sårbar kan passordet stjeles på nytt.
Hvis informasjonen du har på en tjeneste er spesielt sensitiv kan det være lurt å vente med å logge inn til du vet den er sikret, for passordet kan snappes opp idet du logger inn.
- Du bør forutsette at tjenesteleverandøren hånderer dette på en profesjonell måte, og varsler deg som kunde, dersom de har vært sårbare. Er du usikker kontakt tjenesteleverandøren din, sier Asplem.
Alternativt kan du selv sjekke om tjenesten fremdeles er sårbar. Det kan blant annet gjøres her (Ssllabs.com - full sjekk av sertifikater), her (filippo.io), eller her (Lastpass.com).
3. Må alle passord byttes?
Nei.
NSM oppfordrer folk til å bytte pasord raskt hvis de får beskjed om dette fra sin tjenesteleverandør. De anbefaler også at sårbare tjenester med innlogging varsler kundene og anbefaler dem å bytte passord.
Hvis alle som er rammet følger rådet, vil trolig de fleste norske nettbrukere motta minst ett slik varsel. Men det gjelder neppe alle passordene du har.
- Det er veldig mange passord som ikke trenger å byttes, sier Thorsheim.
Men hvis du har benyttet samme passord på flere tjenester er det viktig at du bytter alle.
4. Hvilke passord er det viktigst å endre?
Heartbleed-feilen kan ha blitt benyttet til å stjele passord siden 2012, men ingen vet om det har skjedd. Det som er sikkert er at hackere startet angrepene kort tid etter at feilen ble allment kjent mandag kveld.
- Det er viktigst å bytte passord på de viktige tjenestene du har brukt siden mandag kveld, inkludert de du har vært inn på via mobilen, sier Per Thorsheim i God Praksis.
Sårbare tjenester kan lekke passord når de benyttes, men du trenger ikke taste dem inn selv - det holder at mobilen din har det lagret og logger deg inn automatisk.
5. Hvor mange tjenester er rammet?
Tidlige tester tydet på at 30 prosent av de største nettjenestene i Norge var sårbare, og kan ha lekket passord. Siden har stadig flere tettet sikkerhetshullet, og ifølge statistikk hentet inn av Einar Otto Stangvik var antall sårbare norske web-servere gått ned fra 5500 til 4000 fra natt til onsdag til torsdag formiddag. Andelen sårbare epost-servere var i omtrent samme tidsrom falt fra 11 prosent til 7 prosent, skriver Stangvik på Twitter.
Brukere av tjenester som har vært sårbare kan ha fått passordet stjålet, selv om selve hullet siden er tettet.
Blant de store internasjonale tjenestene er det kjent at Yahoo og deres datterselskaper Tumblr og Flickr var sårbare da feilen ble oppdaget denne uken, mens Dropbox, Facebook og Google har bekreftet (ekstern lenke) at de har vært sårbare tidligere. Dermed kan passord ha kommet på avveie hvis hackere kjente til sårbarheten tidligere.
6. Hva slags passord bør du velge?
Jo lengre passord jo bedre. Korte passord kan enkelt knekes ved bruk av rå datakraft, men for passord på minst ti tegn blir dette fort svært tungt.
Bruk av speisaltegn gjør passord vanskeligere å knekke, men også vanskeligere å huske.
Ikke velg åpenbare passord som «1234567890» eller «Facebookpassord».
Mange nettbrukere har minst 20 tjenester de bruker innimellom. Å huske egne passord for hver av dem er nesten umulig, men Norsis anbefaler at man lager regler der nettstedet utgjør en av komponentene.
Man kan ta en del av en sangtekst, og for eksempel bare inkludere den første bokstaven av hvert ord, og legge til tre bokstaver i nettstedsnavnet etter første tegn i passordet - for eksempel.
"Solen skinner og jeg er så glad" kan bli bli "SFACSOJESG" som passord for Facebook, mens DNB-versjonen blir ”SDNBSOJESG”
Det viktige er å finne sitt eget system, og huske det.
- Vi mener alle kan huske uendelig mange passord, sier Sandland.
7. Verdens sterkeste passord kunne ikke beskyttet mot Heartbleed- finnes det noe bedre?
Ja. Det kalles tofaktorautentisering, noe som høres vanskelig ut, men egentlig er enkelt. De fleste bruker det allerede i nettbanken, der man får en ekstrakode eller bruker en kodegenerator i tillegg til passordet.
For nettjenester som Gmail og Facebook er det langt enklere versjoner, som kun krever at du taster inn en engangskode når du logger på tjenesten fra nye mobiler, nettbrett eller pc-er. Siden kan du logges inn automatisk, hvis du ønsker dette.
Hvis du skrur på dette vil ikke hackere kunne komme inn på kontoen din selv om de har stjålet passordet.
- Jeg tror ikke folk vet hvor lett det er å bruke det, og det ville beskyttet mot dette, sier han.
Stadig flere tjenester får denne muligheten, men bruken er relativt lav, og mange tjenester tilbyr ennå ikke brukerne denne ekstra sikkerheten.
(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.