Få styr på alle dine usikre kodeord
I august fik den amerikanske journalist Mat Honan fra Wired hacket sine mest dyrebare adgangskoder i en kompleks blanding af forskellige social engineering-angreb.
Dette sikkerhedsbrud skabte overskrifter, fordi det eksponerede sikkerhedsmæssige huller i både Apples og Amazons kundeservice-praksis.
Men lad os ikke glemme, at Honan-sagaen kom efter en lang sommer fuld af server-indbrud, der blotlagde millioner af brugeres adgangskoder.
I juni stjal hackere over 6,5 millioner adgangskoder til LinkedIn og offentliggjorde dem på nettet. Samme måned blev 1,5 millioner adgangskoder til datingsitet eHarmony kompromitteret i et brud på sikkerheden og i juli stjal hackere over 450.000 adgangskoder til Yahoo Voice.
Nogle af de mest udbredte adgangskoder blandt disse Yahoo-brugere var "123456", "welcome", og den altid populære "password".
Det fundamentale problem er ikke, at disse websteder burde have været bedre til at beskytte deres brugeres data (selvom det burde de have været).
Det er heller ikke, at brugerne havde valgt adgangskoder, der var særdeles lette at gætte eller bryde, og herefter havde genbrugt de samme usikre adgangskoder på hvert eneste websted, hvor de var registrerede (selvom det havde de).
Mange nøjes med én kode
Problemet er dybest set, at adgangskoder ikke længere slår til med hensyn til at sørge for den digitale sikkerhed. Vi har desuden brug for alt for mange adgangskoder og de stærke af slagsen er ikke til at huske.
"For at bruge nettet nu om dage er man nødt til at have et tocifret antal adgangskoder og brugernavne," kommenterer Terry Hartmann, der er vice president for globale sikkerhedsløsninger hos Unisys.
"Hver gang man kommer tilbage til et websted, er det som om, de har introduceret nye regler om at gøre adgangskoderne mere komplekse. Derfor ender det med, at brugerne forfalder til at bruge én adgangskode til det hele."
Med andre ord: Systemet med adgangskoder fungerer ikke. Alle de kompromitterede adgangskoder i indbruddene mod LinkedIn, eHarmony og Yahoo var blevet hashet, hvilket betyder, at adgangskoderne var blevet erstattet af algoritmisk genereret kode.
Kom foran hackerne
Hashing er en teknik, der laver adgangskoder, der er gemt på servere (og som derfor risikerer at blive stjålet af hackere), om til en tekststreng af alfanumerisk volapyk. Men hvis adgangskoden i udgangspunktet er så simpel som eksempelvis "kontorpc", så kan en hacker så let som ingenting bryde koden selv i hashet form med teknikker som brute force eller rainbow table.
Men det er for tidligt at give op. Komplekse adgangskoder, der indeholder tal og specialtegn (og som ikke på nogen måde minder om et navn eller ord), har en vis chance for at modstå angreb, og det er muligt at gemme sådanne adgangskoder i fikse programmer til adgangskode-administration.
Derudover gør websteder også mere for at forbedre sikkerheden i deres ende ved for eksempel at kræve multi-faktor-autentifikation og herudover ser det ud til, at biometrisk teknologi inden længe vil blive anvendt i forbindelse med sikkerheden i massemarkedet.
Alle problemer med hensyn til adgangskoder kommer dog ikke til at forsvinde fra den ene dag til den anden, og indtil videre vil vi være nødt til at sætte vores lid til de applikationer, tjenester og nye teknologier, der beskrives i det følgende, for at blive ved at være ét skridt foran hackerne.
Brug en password-manager
En bankboks til dine adgangskoder
Programmer til at administrere adgangskoder er lidt ligesom spamfiltre - det er kedelige, men uundværlige værktøjer i den digitale verden.
En god password-manager eller adgangskode-administrator husker alle ens brugeroplysninger, erstatter ens simple adgangskoder med stærke adgangskoder og gør det muligt at ændre en adgangskode hurtigt, i det tilfælde at et websted eller en tjeneste, man bruger, er blevet kompromitteret.
Det bedste af et hele er at i stedet for at være nødt til at huske en lang række unikke adgangskoder, så skal man kun huske en enkelt: Hovedadgangskoden til bankboksen med alle de andre adgangskoder.
Med mindre man altid er på nettet fra den samme computer og den samme browser, kan det kun anbefales, at man bruger et cloud-baseret program såsom LastPass, 1Password eller Roboform, der kan bruges fra enhver pc, smartphone eller tablet.
Ulempen ved denne løsning er dog, at man stadig er nødt til at huske hovedadgangskoden, som virkelig bør være stærk og indeholde tal, både små og store bogstaver samt specialtegn som spørgsmålstegn og udråbstegn.
Hvis det lykkes en angriber at plante en keylogger på dit system, vil selv denne adgangskode selvfølgelig blive kompromitteret, idet du indtaster den, påpeger websikkerhedsekspert Robert Siciliano fra McAfee.
Han bruger selv en adgangskode-administrator til at holde styr på mere end 700 adgangskoder. Ligeledes kan det være game over, hvis en cloud-baseret adgangskode-administrator bliver hacket - det skete faktisk for LastPass i maj 2011.
Heldigvis blev ingen følsomme oplysninger kompromitteret ved dette indbrud, men det er ikke sikkert, at brugerne er lige så heldige næste gang (og det er uundgåeligt, at det vil ske igen for et eller andet sikkerhedsfirma).
I sidste ende er værktøjer til administration af adgangskoder utroligt nyttige og er faktisk uundværlige for enhver, der værdsætter digital sikkerhed.
Multi-faktor-autentifikation
Komplekse adgangskoder gemt i en krypteret digital bankboks er kun første skridt. Nogle websteder benytter sig af endnu et niveau af sikkerhed til autentifikation eller bekræftelse af brugerne.
Det foregår typisk ved hjælp af en hardware-enhed, som kun den retmæssige bruger har adgang til. På den måde vil selv en angriber, der kender din adgangskode, være nødt til at skaffe sig fysisk adgang til for eksempel din telefon for at stjæle dine data.
Det er påkrævet ved lov, at finansvirksomheder anvender adskillige faktorer til autentifikation i forbindelse med online-transaktioner. Det kan dog foregå i baggrunden ved hjælp af validering af brugerens maskine eller dens geografiske placering, oplyser Siciliano.
Hvis man for eksempel bor i San Francisco, og nogen i Shanghai forsøger at opnå adgang til ens netbank, så vil transaktionen typisk blive blokeret, eller der vil være krav om at angive yderligere oplysninger til autentifikation såsom ved at indtaste en kode, der sendes til en hardware-enhed.
To-faktor kode
Google og Facebook tilbyder nu også to-faktor-autentifikation: Man kan få tilsendt en midlertidig PIN-kode via sms til sin mobiltelefon, der skal indtastes sammen med den almindelige adgangskode, første gang man logger ind fra en ukendt maskine.
Denne enkle sikkerhedsforanstaltning ville have skånet Mat Honan for sine trængsler i august.
Bortset fra banker og en håndfuld højt profilerede websteder er det desværre sjældent, der tilbydes to-faktor-autentifikation. Det har delvist noget at gøre med, at det ikke er særlig belejligt, og langt størstedelen af internettets brugere er tilsyneladende villige til at give deres sikkerhed i bytte for nemme login-procedurer.
"Det er ikke altid, at to-faktor-autentifikation består bedstemor-prøven," påpeger Siciliano.
"Det resulterer i flere support-opkald, mere nulstillede adgangskoder og større omkostninger. Derfor anvendes denne teknik typisk kun af virksomheder, der har meget på spil."
Biometri
Fordelen ved biometri er, at man ikke behøver huske noget som helst, slet ikke en lang og kompleks adgangskode. I stedet anvender et biometrisk sikkerhedssystem et individs unikke fysiske kendetegn til at bekræfte personens identitet.
Biometriske systemer kan scanne fingeraftryk, iris, ansigt, stemme og endda gangart og på den måde fastslå, om en person er godkendt til at få adgang til en tjeneste eller specifik hardware.
Disse systemer anvendes endnu ikke til de store cloud-tjenester, men Terry Hartmann fra Unisys fortæller, at adskillige store banker aktuelt er ved at gennemføre pilotprojekter med biometriske ID-systemer. Han forventer, at de begynder at blive udrullet for alvor allerede næste år.
Apples nylige opkøb for godt to milliarder kroner af AuthenTec, der producerer teknologi til scanning af fingeraftryk, synes at pege på, at Apple har planer om at indbygge en eller anden mulighed for biometrisk identifikation i fremtidige produkter.
Den biometriske tilgang er dog heller ikke perfekt. Det er lykkedes sikkerhedseksperter at narre fingeraftryks-scannere ved at bruge gelatine-afstøbninger af fingeraftryk, ligesom systemer til ansigtsgenkendelse er blevet narret ved hjælp af fotografier.
Ved it-sikkerhedskonferencen BlackHat i juli demonstrerede sikkerhedseksperter endda en metode til at narre iris-scannere ved hjælp af rekonstruktion af iris fra billeddata. Og så kan hackere selvfølgelig gå efter biometriske data opbevaret i centrale databaser og begå identitetstyveri ved at skifte deres ofres data ud med deres egne.
Ligesom med adgangskoder afhænger niveauet af beskyttelse ved hjælp af biometri fuldstændigt af, hvor sikkert dataene er opbevaret. (Netop sikkerheden af opbevarede data gik for eksempel ikke så godt for LinkedIn i starten af juni.) Krav om biometrisk identifikation vil også gøre anonymitet meget besværligt (hvis ikke direkte umuligt) for eksempelvis politiske dissidenter, whistleblowers og folk, som påtager sig forskellige identiteter af personlige eller arbejdsrelaterede grunde.
Frygt for statslig overvågning er også en af grundene til, at nogle forholder sig kritisk til biometri. Ikke desto mindre lyder prognosen fra Joseph Pritikin, der er chef for produktmarkedsføring hos AOptix Technologies, der producerer iris-scannere til lufthavne og grænseovergange, at smartphones med biometriske løsninger i fremtiden bliver en af de vigtigste teknikker til identifikation, delvist fordi dataene kan gemmes sikkert på selve enheden.
"Det bliver en kombination af noget, jeg er, og noget jeg har, hvor der sandsynligvis oftest vil være tale om en smartphone," siger Pritikin.
"Deres hardwarebaserede kryptering vil være svær at bryde."
Et ID over dem alle
I sidste ende vil den ideelle løsning på problemet med adgangskode-træthed være at forene alle vores forskellige brugernavne og online-identiteter.
Det synes også at være holdningen i USA's regering, som i april 2011 lancerede det offentlige-private samarbejde National Strategy for Trusted Identities in Cyberspace om udvikling af et identitetsmæssigt økosystem med det formål at gøre det muligt for i hvert fald de amerikanske internetbrugere at anvende ethvert system til autentifikation til at logge ind på ethvert websted.
Sådan et system vil kunne kontrollere, om man er gammel nok til at købe alkohol på nettet eller om man kvalificere til at få studierabat, uden nødvendigvis at dele alle personhenførbare oplysninger med ethvert websted, fortæller Jim Fenton, der er chef-sikkerhedsspecialist for identitets-administrations-løsningen OneID.
Dette system vil dog stadig gøre det muligt at anvende pseudonymer, hvis man ønsker det. Men bureaukratiets tandhjul drejer langsomt. Det var først i sidste måned, at identitets-økosystemets styringsgruppe under NSTIC afholdt sit første møde.
Blandt projektets mange udfordringer bliver sandsynligvis at takle, hvor mange oplysninger der skal deles med hvilke parter, og hvor stor en grad af kontrol brugerne selv bør have over disse oplysninger, påpeger Fenton, der er medlem af denne styringsgruppe.
Med andre ord: Der bliver arbejdet på alternativer, men der er ikke noget universalmiddel på vej i den nærmeste fremtid. I mellemtiden må vi blive ved at bruge adgangskoder.
Sørg for at bruge stærke adgangskoder og hold dem under lås og slå.
Oversat af Thomas Bøndergaard