Engångskoder är ett sätt att minimera problemen med läckta lösenord. Aktivera den funktionen där det går!
SVT:s program Dold får idag stor uppmärksamhet. Redaktionen har byggt en tjänst där du kan ta reda på om dina lösenord är på drift.
Genom åren har flera stora sajter runt om på internet drabbats av intrång där användardatabasen hamnat på drift. Och med den användarnas e-postadresser – och (kanske) lösenord.
Jag skriver “kanske”. Ibland har lösenorden varit i klartext, det vill säga begripliga för en människa. Ibland har de varit hashade, en slags kryptering. Men de hashfunktioner som använts har inte alltid varit de bästa. I praktiken är en dålig hashfunktion samma sak som klartext.
Dold har byggt en databas med e-postadresser som finns med i en del av de här läckorna. Matar du in din e-postadress får du reda på om den funnits med i några av läckorna, vilket i så fall också innebär att lösenordet som du använde på den aktuella sajten har hamnat i felaktiga händer.
Att använda tjänsten är riskfritt. Din mailadress är ju ingen hemlighet, och därför är det ingen direkt fara att knappa in den i formulär på webben. Det värsta som kan hända är att du drabbas av mer spam.
Men om din mailadress är med i sökningen, då finns det anledning att agera! Byt åtminstone på den drabbade sajten. Och om du använt samma lösenord på fler sajter, byt där också.
Använd orginalet – få en varning vid nästa läcka
Dolds tjänst är en svensk variant av haveibeenpwnd, utvecklad av säkerhetsexperten Troy Hunt. Jämfört med Dold har Hunts tjänst åtminstone två fördelar.
För det första innehåller den fler läckor. När jag söker på min e-postadress hos Dold får jag reda på att den funnits med i tre läckor. Hos Troy Hunt är siffran den dubbla. Genom att använda haveibeenpwnd får du alltså en bättre bild av när dina lösenord faktiskt har läckt.
Haveibeenpwnd har dessutom en notifieringsfunktion. Den låter dig prenumerera på varningar. Så snart en ny läcka sker – och det kommer att hända – där din e-postadress finns med – också högst troligt – kommer du få ett mail om det.
Hur minimera skadan av läckta lösenord?
Att lösenord kommer att fortsätta läcka innebär att du måste fundera på hur du ska minska konsekvenserna när det uppstår. Och det finns några saker du kan och bör göra:
- Återanvänd inte lösenord. Samma lösenord ska inte användas på mer än en webbplats. Om du inte orkar leva upp till det rådet, se åtminstone till att dina viktigaste konton är skyddade av unika lösenord. Allra viktigast är e-posten, eftersom det är dit nya lösenord skickas när du eller någon annan beställer ett nytt lösenord.
- Aktivera engångskoder. De flesta stora webbplatser, som Dropbox, Google, Facebook och så vidare, har i dag en funktion som ser till att det inte räcker med ett lösenord för att logga in. Du måste också mata in en engångskod, som antingen skickas som sms till din telefon eller skapas med en app i den. Absolut, det blir bökigare för dig när du ska logga in. Men för en obehörig som har ditt lösenord tar det stopp helt och hållet.
- Börja använda en lösenordshanterare, ett digitalt kassaskåp där du låser in dina lösenord och andra uppgifter. Det gör att du inte behöver komma ihåg alla unika lösenord, och det innebär dessutom att det blir lättare att leva upp till råden om väldigt långa lösenord. Själv är jag nöjd med 1password.
Läs och lyssna mer om lösenord
Om lösenord har jag skrivit och pratat om en hel del tidigare. Några länktips:
En sak man kan lägga till är att ett av flera skäl till att använda en bra lösenordshanterare är att dessa håller koll på och varnar för potentiella läckor. 1Passwords flaggar exvis automatiskt vilka lösenord du borde byta när ett läckage blivit känt. Och dessutom är det med lösenordshanteraren enkelt att byta lösenord när det behövs.
Bra tips! Och dessutom så mäter de styrkan i lösenorden. Vilket är ett mycket bättre sätt att kolla om man valt ett bra lösenord än att använda någon tjänst på nätet för samma sak. Då lämnar man ju bort sitt lösenord till någon annan.
Tack för intressant post. Jag är måhända lite partisk, eftersom jag jobbar på SVT, men jag själv fick ”fler” träffar på SVT:s databas än genom HIBP. Dessutom har ju svt – vad jag förstått – samlat in fler uppgifter från svenska läckor, som HIBP inte plockat upp. Av det skälet tycker jag inte nödvändigtvis att HIBP:s tjänst är bättre än SVT Dolds databas. Men notifieringsfunktionen på HIBP är superbra! /Fouad, till vardags reporter SVT Nyheter Väst.
Ja, jag fick också det förtydligandet från Dold under kvällen. Jag försökte också få lite detaljer om hur stor andel av lösenorden som faktiskt är i klartext, vilket det som det dras mest på i reportaget. Det kunde Dold däremot inte svara på.
Vad gäller HIBP vs Dolds tjänst så är en av fördelarna med den förra att den kommer uppdateras framöver. Jag gissar att Dolds är en engångsgrej.
Om det är en engångsgrej så skulle ju t ex Internetstiftelsen kunna överta Dolds lösning och förvalta (inkl utveckla) den.