Heartbleed og den virkelige trusselen

De fleste har nå antakelig fått med seg at det er på tide å skifte passord, men er kanskje litt usikker på hvor. Det beste svaret er over alt, men vi synes du skal tenke nøye igjennom hvordan du går frem.

Fakta: OpenSSL er et krypteringsbibliotek som sørger for sikker forbindelse mellom deg som bruker og en (altfor) lang rekke nettbaserte tjenester. Den 7. april ble det oppdaget en sårbarhet som fikk navnet “Heartbleed bug”. Denne gjør at hackere kan lese minnet til systemene som er beskyttet av OpenSSL og på den måten få tilgang til de hemmelige nøklene som benyttes til å kryptere trafikken mellom deg som bruker og systemene du bruker. På den måten kan dine passord og personalia lett komme på avveie. Og dette skjer helt i det stille, uten at noen merker det eller at det etterlater spor. Det mest alvorlige er at mange av systemene du bruker må oppdateres med en sikkerhetsoppdatering før det i prinsippet har noen hensikt at du bytter passord. Flere av de største tjenestene og nettverkene har nå bekreftet at de er oppdatert, hvilket betyr at det nå er på høy tid å bytte passord disse stedene.

Den virkelige trusselen

Det er ikke første gang passord kommer på avveie, og denne gangen som tidligere blir man oppfordret til å bytte til et sterkt passord som er vanskelig for noen å gjette seg frem til. Gjerne et passord som kombinerer tall, spesialtegn, små og store bokstaver. Det er vel og bra. Men i alt for liten grad er det fokus på viktigheten av å ikke benytte samme passord flere steder. Ja, du leste riktig. Du bør ikke ha samme passord noe sted!

Hvorfor det lurer du kanskje på? Særlig etter å ha kommet opp med et kryptisk passord, som du attpåtil faktisk husker?

Se da for deg at du jobber i bank og ellers lever et stille og rolig liv uten veldig mange profiler på nett. På Facebook har du imidlertid konto og er innom en gang i ny og ne. Du har nettopp endret passord på jobb og er så fornøyd med at du klarer å huske det at du ved første og beste anledning også endrer passordet på Facebook. Til den samme vanskelige kombinasjonen av tall og tegn som på jobb. FEIL!

Du leser i avisen at passordene til Facebook har kommet på avveie og skyndter deg med å logge på for å endre dette. Etter å ha kommet opp med et nytt og vanskelig passord (som du for ordens skyld noterer på en lapp), klapper du deg på skulderen og logger av. Deretter logger du på i banksystemet med det gamle passordet. FEIL!

-Hackere mangler kanskje et par viktige gener, men er sjelden spesielt dumme. Vil de inn i kontoen i banken (arbeidsgiver står naturligvis oppført på Facebook), har de nå ingen vanskeligheter med å finne epostadressen din på jobb (som ofte også fungerer som brukernavn) og så forsøke passordet de hentet fra Facebook sine servere sammen med denne.

Aldri samme kombinasjon mer enn et sted

Du skal aldri, aldri benytte samme kombinasjon av brukernavn og passord mer enn et sted. Det bør alltid være første bud og er vel så viktig som et sterkt passord.

Hvordan skal jeg huske alle sammen tenker du nå? Lag deg en regle “Dette er bare @nders sin NØKKEL pa33ord” og bytt ut “NØKKEL” med noe som identifiserer tjenesten, men helst uten at det blir for åpenbart. Eller gi opp å huske passord og bruk en tjeneste som fungerer like bra uansett om du er på pc/mac eller mobil. Det finnes flere gode løsninger på markedet for dette, som i tillegg genererer helt unike passord for deg for hver konto (hvilket er det tryggeste). Eksempelvis LastPass, 1Password og iAccounts.

Hvilke tjenester kan potensielt ha lekket passord?

Nettstedet mashable.com har en god oversikt over hvilke tjenester som er utsatt og hvem av dem som er oppdatert, slik at du trygt kan logge på for å endre passord. Artikkelen og oversikten finner du i denne artikkelen hos Mashable.

Her bør du bytte passord (disse har tettet sikkerhetshullet pr.11.04.2014):

• Instagram
• Twitter
• Pinterest
• Facebook
• Flickr
• Dropbox
• LastPass
• Tumblr
• TelenorNorwegian
• Yahoo/Yahoo e-post
• Aftenposten
• Bergens Tidende
• Adresseavisen
• Fædrelandsvennen
• Finn.no

Andre som Netflix og Wordpress har ennå ikke rettet problemet, så her bør du vente.
Disse ble ikke berørt av feilen: Altinn, DNB, Nordea, Skandiabanken, Sparebank1, Sparebanken Vest, Eika, Gjensidige.no, BN Bank, Landkreditt Bank, Komplett, LinkedIn, PayPal, Evernote, Jottacloud, Apple, Microsoft ,Hotmail,Amazon, eBay.
Men husk at selv om en tjeneste tilsynelatende ikke er berørt, er den ikke nødvendigvis sikker dersom du har brukt samme passord i denne, som i en av tjenestene som er berørt.
Vi gjør oppmerksom på at denne listen ikke oppdateres.

Fortsatt usikker?

Denne tjenesten sjekker nettsteder du er usikker på for deg: Heartbleed test

Videre vil nettstedet haveibeenpwned.com la deg angi en epostadresse eller et brukernavn for å se om du er blitt rammet av datainnbrudd på mer generell basis. Tjenesten indekserer brukernavn/e-postadresser fra store, kjente datainnbrudd og gir deg raskt svar på om ditt brukernavn eller epostadresse er å finne i listene. Er du litt aktiv på nett, vil du muligens bli overrasket.

tidBANK

For ordens skyld vil vi gjerne få legge til at de av dere som bruker tidBANK via våre skyløsninger ikke skal ha noen grunn til å frykte at passord har kommet på avveie. Vi benytter ikke OpenSSL. Imidlertid synes vi du skal tenke igjennom scenarioet beskrevet over. Har du benyttet samme passord flere steder, kan det kanskje være smart å bytte likevel.