säkerhet

Tyvärr, bra lösenord räcker inte – slå på tvåfaktorsinlogg

Publicerad 7 november, 2019

Säkerhetshål i röstassistenterna från Google och Amazon gör det möjligt att lura av användare bland annat inloggningsuppgifter. Säkerhetshålen är givetvis intressanta i sig, men det finns också en generell lärdom kopplad till problemen: Bra lösenord är inte tillräckligt för att skydda våra konton på nätet.

Forskare vid tyska Security Research Labs har upptäckt buggen som gör det möjligt att låta en Alexa eller Google Home fortsätta lyssna på det som sägs, även när användaren tror att den smarta högtalaren är i viloläge. I Youtube-filmerna som demonstrerar problemet visar forskarna både hur en användare kan luras att lämna i från sig sina inloggningsuppgifter eller hur högtalaren tjuvlyssnar och skriver ner det som sägs i rummet.

När nätjättarna nu jobbar stenhård på att göra röst och ljud till det nya gränssnittet för teknik är det givetvis viktigt att den här typen av säkerhetshål inte finns i prylarna som sätts ut på arbetsplatser och i hem.

Men för den enskilda användaren är demonstrationen där den fiktiva användaren luras att säga sitt lösenord också en generell påminnelse: Bra lösenord är inte tillräckligt för att skydda våra konton på nätet.

Vi är vana vid att ständigt höra råd om eller till och med skarpa instruktioner för våra lösenord ska se ut. Unika för varje tjänst, långa, med stora och små bokstäver, siffror och specialtecken är ofta det vanligaste rådet. Med på senare år har många säkerhetsexperter slutat prata om lösenord för att istället använda begreppet lösenfraser. För mig, uppväxt i Grebbstad, som gillar IFK Göteborg, att åka skidor och att äta glass, är grebbestadskidorblåvittglass lättare att komma ihåg än jljvlids!!!dsr+2##.

Problemet är bara att situationerna där lösenordet verkligen spelar roll är relativt få, så länge det inte faller inom ramen för de allra sämsta lösenorden. Det vill säga är något av de mest använda lösenorden eller ett lösenord som är uppenbart för någon som känner dig att testa (tänk namn på barn eller husdjur). Så länge du undersöker de fallgroparna är skillnaderna mellan olika lösenord förhållandevis små.För att förstå varför är det här blogginlägget från en av Microsofts säkerhetsexperter bra läsning. Sammanfattningsvis finns det många olika typer av intrångsförsök som inte är beroende av hur bra lösenord man valt. Här nöjer jag mig med att nämna två av dem.

Det första är det som kallas för nätfiske, den svenska översättningen av engelskans phishing. Det här är ett samlingsnamn för intrång som börjar med att måltavlan luras att lämna i från sig sitt lösenord, precis som de tyska forskarna demonstrerar med de smarta högtalarna. Men i praktiken handlar det än så länge om mindre spektakulära grejer. Som ett meddelande från banken, om ett säkerhetsproblem. Eller från Facebook, Instagram eller någon annan tjänst på nätet. Mailet som gör dig uppmärksam på problemet innehåller en länk till en webbsida där du uppmanas mata in användarnamn och lösenord.

Haken är att det givetvis inte är bankens webbplats eller Facebooks inloggningsformulär du ser på skärmen, utan en i det närmaste exakta kopia. En titt i webbläsarens adressfält avslöjar ofta att det är fejk, adressen som står där som slutar inte på swedbank.se utan något annat. Lägger du inte märke till det och faller för bluffen spelar det ingen roll om ditt lösenord är ett tusen tecken långt, du har ändå frivilligt skickat det direkt till bedragaren som vill ta sig in i ditt konto.

Ett annat sätt att komma över dina lösenord (och kreditkortsnummer och annat som är värdefullt för andra att komma över) är genom att lyckas installera ett spionprogram som avlyssnar det du skriver. Lyckas någon med den manöver spelar det inte heller någon roll hur långt, svårt, unikt lösenordet är. Kontokaparen får det skickat till sig också i det här fallet.

Det finns en lösning på det här. Den är inte smidig, men inte heller så bökig att det finns anledning att avstå. Den kallas för engångskoder, tvåstegsinlogg, på engelska ofta two factor authentication, förkortat 2FA.

Även om du inte känner igen begreppen vågar jag nästa lova att du redan kan handgreppen. För att betala räkningar eller överföra pengar i nätbanken räcker det inte med ett lösenord. De transaktionerna måste bekräftas på ytterligare något sätt. I min bank med en dosa som genererar kombinationer med åtta siffror, till exempel.

Engångskoder för inloggningar fungerar på samma sätt. Med den funktionen aktiverad räcker det inte med användarnamn och lösenord för att logga in, det krävs också en kompletterande kod. Den kan skickas via sms, skapas i en app eller en usb-sticka som ansluts i datorn. Men oavsett hur det sker är grundprincipen den samma: Även om du gått på en bluff och skickat ditt tusen tecken långa lösenord till en hackare någonstans i världen är ditt konto ändå inte i riskzonen, eftersom det bara är du som har prylen som kan skapa den kompletterande engångskoden.

Engångskoder går med största sannolikhet att slå på för väldigt många av dina konton. Facebook, Google, Microsoft, Instagram, Snapchat, Dropbox har det, och många, många fler. På Two Factor Auth finns en lista med tjänster där engångskod finns som säkerhetstillval.

Som sagt, det här gör inloggningsprocessen lite bökigare. Men så väldigt ofta loggar du ändå inte in på ditt Facebook-konto. Att behöva hämta upp en sexsiffrig kod i en app när du gör det är trots allt en relativt liten ansträngning i relation till det extra skydd det faktiskt innebär.

Här finns ytterligare en detalj om sunt förnuft: Engångskoder är alltid kopplade till ett specifikt konto. Om det kommer ett chattmeddelande från en kompis som behöver ”låna” engångskoder eftersom hens bankdosa gått sönder, som i den film Swedbank gjort för att utbilda sina kunder om det som kallas för Facebook-bedrägerier, är det ett uppenbart bedrägeriförsök. Dina engångskoder kan bara låsa upp ditt konto, ingen annans!

En sista uppmaning bara: Om du slår på engångskoder (vilket, om det inte framgått, jag verkligen tycker att du ska göra), läs också på om hur de fungerar hos just de tjänster du använder. Eftersom det inte längre räcker med lösenord blir konsekvensen att du kommer att låsa dig själv ute om du förlorar möjligheten att skapa eller ta emot engångskoden. Alla tjänster har funktioner och lösningar som minimerar risken för att det ska inträffa, men de kräver att man läser på innan!

De båda exempel jag använder ovan, med nätfiske och spionprogram, är för övrigt i sig ett bra argument för att säkra upp alla konton på sociala medier med hjälp av engångskoder. Informationsfilmen från Swedbank illustrerar varför: Om en vilt främmande person skickar en länk och ber dig installera ett program på din dator blir du förhoppningsvis misstänksam och låter bli. Men vad svarar du om en vän skickar ett meddelande på Facebook och tipsar om ett riktigt roligt spel? Intresset för att kapa konton i sociala medier handlar ofta om just det här. Det är inte innehållet i det kapade kontot som är intressant, utan den kapade personens vänner. En bedragare som kapar mitt konto kan skicka meddelanden till mina vänner som Anders Thoresson, och därmed öka sannolikheten för att vännerna faller för bedrägeriet och installerar det där spionprogrammet eller swishar pengarna jag/bedragaren ber om att få låna.

Det är inte bara bilderna och statusuppdateringarna vi har i sociala medier som är värdefulla. Listan med vänner är väldigt intressant att få tillgång till. Genom att aktivera engångskoder på alla de konton där du är dig själv och har dina vänner skyddar du också vännerna.

Provtänker: Hur mycket ska användare behöva fundera på säkerhet och integritet?

Publicerad 18 september, 2019

Under de senaste veckorna har jag ett par gånger skrivit om nätsäkerhet och integritet och vad man som enskild internetanvändare behöver bry sig om. Det finns ett eget ansvar för att göra sin nätvardag trygg. Frågan är hur långt det sträcker sig.

Säkerhetsföretaget Pen Test Partners publicerade nyligen en säkerhetsgranskning av fyra populära datingappar. Men det var inte en granskning som tog sikte på användarnamn, lösenord och den data som användarna matar in i sina profiler. I stället var det hur bra apparna skyddar användarnas fysiska plats, var de för tillfället befinner sig.

Inte vidare värst, visade det sig.

Apparna visar hur långt bort andra användare befinner sig. Men inte i vilken riktning. Därmed är tanken att uppgiften om avstånd ska ge en indikation om hur nära andra användare är, men inte avslöja den exakta platsen.

Men genom triangulering lyckades Pen Test Partners ändå räkna ut det. Triangulering innebär att man vet avståndet från en användare till tre andra punkter. Vet man det går det också att räkna ut var personen i fråga befinner sig. Via tjänsternas API:er, ett gränssnitt in i appen som programmerare kan använda, kunde säkerhetsexperterna lätt låtsas att de var på tre olika platser, samla in avståndsinformation till andra användare och sedan räkna ut var de befann sig.

I slutet av augusti gav jag fem råd som ger en tryggare nätvardag. Det är fem råd som ger en hyfsad basnivå, men som inte på något sätt hjälper till att hantera risker som den här.

I sin sammanfattning konstaterar Pen Test Partners att

this risk level is elevated for the LGBT+ community who may use these apps in countries with poor human rights where they may be subject to arrest and persecution.

För den genomsnittliga användaren av de aktuella tjänsterna ser det inte ut som om platsinformationen andra får är tillräcklig detaljerad för att kunna lista ut var man befinner sig. Det går heller inte att utgå från att en genomsnittlig användare är medveten om hur triangulering går till. Och även om den kunskapen skulle finnas går det inte att se att det via API:et är möjligt att göra vad Pen Test Partners gjorde.

Det är här jag börjar fundera på var gränsen för det egna ansvaret går och vad man kan förvänta sig att företaget som bygger tjänsten tänkt på. Pen Test Partners fortsätter i sin sammanfattning:

App makers must do more to prevent location leakage in their apps and properly communicate this risk to their users.

Som utvecklare, både i bemärkelsen ”enskild programmerare” och ”företag som tillhandahåller en tjänst”, behöver man tänka till ordentligt, göra en riskanalys å sina användares vägnar och se till att tjänsten blir säker utifrån deras situation.

Men tyvärr är det väl som många säkerhetsexperter jag intervjuat genom åren konstaterat: Det är inte bra säkerhetslösningar som lockar användare. Med begränsade resurser för utveckling är det lätt att valet hamnar mellan att bygga säkerhetslösningar som ingen ser eller funktioner som gör att tjänsten eller produkten sticker ut i konkurrensen.

Det finns också en parallell till många av de diskussioner som just nu pågår om föräldrars ansvar för sina barns teknikanvändning, att man behöver läsa på om hur data samlas in, används och delas. Men också här går det att fundera på hur långt det är rimligt och möjligt att sträcka ut det egna ansvaret.

För det första är många användarvillkor svårlästa, långa texter med krångliga begrepp.

För det andra är det inte ens om man läser villkoren självklart vilken information som faktiskt samlas in.

För det tredje, och kanske mest bekymmersamt, är att det är väldigt svårt att veta vilka slutsatser som är möjliga att dra utifrån den data som samlas in.

För varje app som ett barn vill börja använda, är det rimligt att föräldrarna ska ta sig igenom den här trestegsraketen? För varje ny uppkopplad pryl vi installerar i våra hem, är det rimligt att ta sig igenom den här trestegsraketen?

Jag tror att företagen som bygger lösningar så sakteliga är på väg att ge säkerheten ett större fokus, eftersom det börjar bli uppenbart hur hårt säkerhetsslarv kan slå mot verksamheten. Dessutom har lagstiftarna vaknat, med GDPR som det kanske främsta exemplet hittills för att flytta en del av ansvaret för dataanvändning från enskilda användare till företag och andra organisationer.

Men kring GDPR hör jag nu ofta en annan oro, om att den snävar in möjligheterna för mycket. Inte minst är detta resonemang som kommer från forskarhåll, där man ser stora möjligheter för exempelvis sjukvård och medicin i kombination med dataanalys. Men det är tillämpningar som kräver tillgång till data.

Det verkar inte som om vi hittat rätt balanspunkt mellan eget och andras ansvar för säkerhet och dataanvändning. Frågan är var den balanspunkten finns och om vi någonsin hittar den.

Foto: Thor Alvis.

Kapade mobilnummer och osäkra tredjepartstjänster blir vägar in i våra onlinekonton

Publicerad 2 september, 2019

När jag skrev om viktiga vardagsråd för en tryggare nätvardag var det en detalj jag valde att utelämna. Dagen efter jag publicerade hackades Twitters vd Jack Dorseys twitterkonto – och plötsligt blev den utelämnade detaljen högaktuell: Vi kan inte lita på sms för engångskoder.

Det som kallas för tvåfaktorsinlogg innebär att det inte räcker med ett lösenord för att logga in på ett konto. Istället krävs en andra faktor (lösenordet är den första). Ibland kan faktor två vara något du är (det vill säga en biometrisk koll, en fingeravtrycksläsare till exempel). Men ofta är faktor två något vi har. Många gånger vår mobiltelefon.

Finessen är att det inte längre räcker med faktor ett (lösenordet, något vi kan). Den som vill logga in på ett konto måste också ha tillgång till rätt pryl. Blir man inte av med sin mobiltelefon, dit en engångskod skickas som sms, är man säker.

I teorin.

I praktiken har det visat sig att telefonoperatörer slarvar med identitetskollen när någon hör av sig och behöver ett nytt sim-kort till sitt mobilabonnemang. Vilket verkar vara vad som drabbade Jack Dorsey. Någon lyckades ordna ett sim-kort med hans nummer, och kunde sen twittra med hjälp av sms via tredjepartstjänsten Cloudhopper.

Den detaljen visar på ytterligare en sårbarhet i vår sammankopplade nätvardag. Dorseys twitterkonto kapades alltså aldrig. Istället gav ett ”kapat” mobilabonnemang tillgång till hans twitterkonto via en tredjepartstjänst.

Att det här är en tänkbar attackväg är inte någon nyhet. Twittercounter (Hundreds of Twitter Accounts Hacked with Swastikas Through Third Party App ’Twitter Counter’) och Timehop (Timehop Hacked — Hackers Stole Personal Data Of All 21 Million Users)är två exempel på tjänster som utnyttjats för intrång riktade mot Twitter.

Tredjepartstjänster är appar och webbplatser som vi kopplar till våra konton på Twitter, på Facebook, på Dropbox, hos Microsoft och så vidare. Kopplingen till de här stora plattformarna gör det möjligt att använda dem på andra sätt och till fler saker än vad plattformen själv gör möjligt.

Men om IT-jättarna har hela avdelningar med säkerhetsspecialister ser det annorlunda ut hos småföretagen som bygger sina tjänster ovanpå plattformarna. Varje säkerhetslucka som finns hos småföretagen blir en väg in till de stora plattformarna också. Det spelar ingen roll hur duktiga Twitters utvecklare är på att förhindra obehöriga att twittra från mitt konto om tjänsten X, som jag kopplat till mitt twitterkonto, är fullt med säkerhetshål.

Så vad kan du göra?

De här två problemen landar i två råd.

För det första: Aktivera tvåfaktorsinlogg, men välj annan leveransväg än sms om tjänsten du använder gör det möjligt. En särskild app för att skapa engångskoderna, som Authy eller Google Authenticator, är bra. En särskild hårdvarunyckel, som en YubiKey är ännu bättre.

För det andra: Ta för vana att kolla igenom vilka tjänster du gett access till dina konton på de stora plattformarna. Kolla med jämna mellanrum igenom listorna hos Facebook, Twitter, Dropbox och så vidare. Hittar du tjänster och appar som du inte längre använder, radera dem.

Fem råd för en tryggare nätvardag

Publicerad 29 augusti, 2019

Engångskoder, uppdaterade prylar och färska säkerhetskopior. Lite sunt förnuft och kryptering på det. Fem viktiga vardagsråd om man vill känna sig lite tryggare i digitala (det vill säga alla) sammanhang.

Frågan som kom efter texten om säkerhetsproblem vi vanliga användare inte behöver bry oss borde egentligen fått sitt svar redan där och då: ”Vilka är vardagsråden som ger bra skydd mot vardagsproblemen?”

Svaret kommer här istället.

Det handlar framför allt om fem saker som du, jag och alla andra som har några som helst beröringspunkter med internet och digitala prylar behöver tänka på: Bra rutiner för inloggning till alla våra konton kryddat med lite sunt förnuft, att prylarna vi använder är uppdaterade och att det finns färska säkerhetskopior av det som är viktigt för oss. Bonustipset handlar om appar som gör det enkelt att chatta krypterat.

Med koll på de här grejerna kommer du upp på en nivå som inte gör det trivialt att hacka dina konton eller förstöra för dig på andra sätt, oavsett om man är en snokande kollega eller en nätbrottsling som inte vet vem du är utan bara är på jakt efter konton att kapa.

Vi tar dem i tur och ordning.

Bra rutiner för inloggning (och det sunda förnuftet)

Att inloggningsuppgifterna till bankkontot är värdefulla behöver jag inte berätta för dig. Men det finns många andra inloggningsuppgifter som andra också kan vara intresserade av att komma över. Kanske för att snoka i dina privata meddelanden på Facebook och Instagram, kanske för att posta något pinsamt som får dig att skämmas. Men kanske mer troligt för att använda ditt kapade konto i ett bedrägeri som vänder sig mot dina vänner.

Den som kapar mitt Facebookkonto kan låtsas vara Anders Thoresson i relation till alla mina vänner på plattformen. Och det är betydligt enklare att lura någon att göra något dumt om offret i fråga tror att hen gör en kompis en tjänst än om ropet på hjälp kommer från en vilt främmande person på nätet.

Det är det här som fått namnet Facebook-bedrägeri, men det förekommer på alla plattformar där vi agerar som oss själva och har direktkommunikation med våra vänner. Frågan som kommer i en privat chatt kan handla om ett snabbt lån via Swish eller, som i Swedbanks varningsfilm, om hjälp med engångskoder till bankkontot.

Det första du behöver förstå är alltså att dina inloggningsuppgifter är attraktiva för andra att komma över, även om du själv inte tycker att du har något som är värt att skydda på Instagram, Snapchat eller vilka tjänster det nu är du använder.

Nästa steg är att se till att inloggningsuppgifterna är bra. Vad som kännetecknar ett bra lösenord har upprepats oändligt många gånger, men det tål att påminnas om det igen:

Någorlunda långa, gärna åtta tecken eller mer.
Inte ord som är lätta för någon du känner att gissa.
Inte något av de lösenord som finns med på listorna över de mest använda.

Målsättningen är att se till att ha lösenord som är så svåra som möjligt för andra att gissa eller prova sig fram till. Ett bra sätt att leva upp till de kraven är att använda en lösenordshanterare, ett program som fungerar som ett digitalt kassaskåp. Där låser du in alla dina lösenord och behöver bara komma ihåg det enda som krävs för att låsa upp det. Eftersom de flesta lösenordshanterare kan synkronisera innehållet mellan dator och mobiltelefon är det dessutom ett bättre alternativ än post-it-lapparna på datorskärmen av ytterligare en anledning: Du kommer alltid ha lösenorden med dig.

Det finns många lösenordshanterare att välja bland. Mitt råd är att inte använda en som just dykt upp på marknaden, utan en som varit med ett tag. Det är trots allt ett program som du ska anförtro känsliga uppgifter, och då är det rimligt att välja ett som bevisat sig över tid. Själv använder jag 1Password, men har hört gott om program som Lastpass och Dashlane också.

Nu kommer vi till det jobbiga (som om det inte redan var jobbigt nog): Bra lösenord räcker inte.

För att förstå varför är det här blogginlägget från en av Microsofts säkerhetsexperter bra läsning. Sammanfattningsvis finns det väldigt många intrångsförsök till nätkonton som inte är beroende av hur bra lösenord man valt. Jag nöjer mig att nämna ett av dem här.

Nätfiske, den svenska översättningen av engelskans phishing, är ett samlingsnamn för intrång som börjar med att måltavlan luras att lämna i från sig sitt lösenord. Det kan vara ett meddelande från banken, om ett säkerhetsproblem. Eller från Facebook, Instagram eller någon annan tjänst på nätet. Mailet som gör dig uppmärksam på problemet innehåller en länk till en webbsida där du uppmanas mata in användarnamn och lösenord.

Problemet är att det inte är bankens webbplats eller Facebooks inloggningsformulär du ser på skärmen, utan en kopia. En titt i webbläsarens adressfält avslöjar ofta att det är fejk, men annars ser allt trovärdigt ut. Faller du för bluffen spelar det ingen roll om ditt lösenord är ett tusen tecken långt, du har ändå frivilligt skickat det direkt till bedragaren som vill ta sig in i ditt konto.

Det finns en lösning på det här problemet. Den är inte smidig, men inte heller så bökig att det finns anledning att avstå. Den kallas för engångskoder, tvåstegsinlogg, på engelska ofta two factor authentication, förkortat 2FA.

Här finns ytterligare en detalj om sunt förnuft: Engångskoder är alltid kopplade till ett specifikt konto. Om det kommer ett chattmeddelande från en kompis som behöver ”låna” engångskoder eftersom hens bankdosa gått sönder, som i Swedbanks film, är det ett uppenbart bedrägeriförsök. Dina engångskoder kan bara låsa upp ditt konto, ingen annans!

En sista uppmaning bara, innan vi går vidare. Om du slår på engångskoder (vilket, om det inte framgått, jag verkligen tycker att du ska göra), läs också på om hur de fungerar hos just de tjänster du använder. Eftersom det inte längre räcker med lösenord blir konsekvensen att du kommer att låsa dig själv ute om du förlorar möjligheten att skapa eller ta emot engångskoden. Alla tjänster har funktioner och lösningar som minimerar risken för att det ska inträffa, men de kräver att man läser på innan!

Uppdaterade prylar

När det dyker upp notifieringar och informationsrutor om att det finns uppdateringar till dina prylar, oavsett om det är själva operativsystemet eller till de appar och program du använder – installera dem. Så snart som möjligt.

Många gånger är det uppdateringar som innehåller nya finesser och funktioner. De är inte intressanta i det här sammanhanget. Det vi bryr oss om är istället att uppdateringarna också, nästan alltid, täpper till säkerhetshål som nätkriminella kan utnyttja för att ta sig in i dina prylar eller ställa till oreda på andra sätt.

Att installera uppdateringar är att stänga fönster som står på glänt. Gör det.

Färska säkerhetskopior

I mobiler, datorer och hos nättjänster har vi massor av dokument, bilder och annat digitalt innehåll vi bryr oss om. Som kanske till och med går att kalla för värdefullt.

Se till att ha färska säkerhetskopior av allt som faller in under den beskrivningen.

En säkerhetskopia är ett skydd mot en stulen mobiltelefon, en kraschad hårddisk eller ett utpressningsvirus som krypterar allt innehåll på hårddisken och kräver en lösensumma för att återställa allt i ursprungligt skick.

För att säkerhetskopior ska vara något värda måste de vara färska. Kommer man inte ihåg eller orkar göra backupen finns ändå risken att månader av dokument och bilder försvinner den dagen olyckan är framme.

Lösningen är att komma bort från ”orka” och ”komma ihåg” genom att se till att säkerhetskopiorna sker automatiskt. Det innebär i praktiken att du väljer en molntjänst för dina säkerhetskopior, eftersom en extern hårddisk kräver att du orkar och kommer ihåg att koppla in den. Med en molntjänst sker säkerhetskopierandet automatiskt, och dessutom hamnar dina kopior på en annan fysisk plats än originalet. Det ger skydd mot stöld och brand.

Tjänster om Apples iCloud och Google Photos kan kännas som säkerhetskopior, men är egentligen inte det. De är tjänster som flyttar bilder mellan olika prylar. Men en bild som av misstag raderas på ett ställe kommer att raderas på de andra också. Bättre då att använda speciella backuptjänster. Vad som är bra varierar över tid, så sök på ”säkerhetskopia molnet” och läs färska recensioner om vad som är bra och prisvärt för tillfället. Backblaze, Carbonite och Crashplan är namn som ofta återkommer.

Kryptoappar

I debatten om kryptering påstås ofta att den som inte har något att dölja inte heller har något behov av kryptering. Rent mjöl i påsen-argumentet. Men det är ett resonemang som förs fram i relationen medborgare-stat. Vi använder internet till all möjlig vardagskommunikation, och även om där inte skrivs olagligheter finns det sånt man inte vill sprida vind för våg.

Saker du kan tänka dig att ställa dig på torget och skrika ut behöver inte kryptering. Det gör däremot sånt som du bara pratar om med några få utvalda personer bakom stängda dörrar.

E-post är ett exempel på kommunikationsverktyg som är mer ”torg” än ”stängd dörr”. Det finns inget som hindrar en uttråkad nätverkstekniker att fördriva några minuter med att läsa e-post som skickas på arbetsplatsen.

Att kryptera var länge bökigt. För e-post var rekommendationen PGP, men där är risken för misstag stor. Idag finns appar som Wire och Signal som gör det lika enkelt att chatta som i vilket annat chattfönster som helst. Till och med mer vardagliga lösningar som WhatsApp och Apples iMessage är krypterade.

Några invändningar eller kompletteringar?

Så. Det var vardagsråden jag hade i huvudet när jag skrev förra inlägget. Men det här är komplext. Saker och ting förändras snabbt. Därför är jag nyfiken på om du som läser har något att invända mot mina råd, eller tycker att de behöver kompletteras med ytterligare några. Lämna i så fall gärna en kommentar!

Foto: Mikayla Mallek.

Alla säkerhetshål påverkar inte dig

Publicerad 26 augusti, 2019

Braskande rubriker om nyupptäckta säkerhetshål riskerar många gånger att orsaka mer skada än nytta. De spelar roll för forskare och utvecklare, men för oss vanliga användare är de mest grundläggande råden kring it-säkerhet fortfarande relevanta.

Rubrik i tidningen Forbes: Apple's iPhone FaceID Hacked In Less Than 120 Seconds

Rubriken i det amerikanska affärsmagasinet Forbes kan inte annat än att upplevas som skrämmande. Apple’s iPhone FaceID Hacked In Less Than 120 Seconds. Hos källan som Forbes hänvisar till, Threatpost, är tonläget betydligt mer nedtonad: Researchers Bypass Apple FaceID Using Biometrics ‘Achilles Heel’.

Det här är ett färskt exempel på hur jag tycker att det ofta ser ut när media rapporterar om nyupptäckta säkerhetshål. Nischmedierna lite mer nyanserade, medan medier med bredare målgrupp slår på stora trumman.

Spelar det någon roll? Av flera skäl, skulle jag säga.

Skapar onödig oro hos allmänheten

Den första invändningen tangerar att vara mediekritik. Gå till dig själv. Hur många fler rubriker än artiklar läser du varje dag? Svår fråga att svara på, men rubrikerna är gissningsvis mångdubbelt fler än antalet artiklar. Rubriker som spetsar till omständigheterna lite extra kan vara ett sätt att locka fler till ett klick. Men samtidigt lämna dem som inte klickar med en felaktig bild av de faktiska omständigheterna.

I det aktuella fallet går det inte att anklaga Forbes för att fara med osanning. Men rubriken drar, i min mening, definitivt åt det sensationella hållet. Och det var också vad som fick mig att klicka på den. Efter att ha läst klart Forbes artikel, och Threatposts sammanfattning av forskarna presentation på den stora säkerhetskonferensen Defcon står det klart att a) det finns ett säkerhetsproblem som b) det är långt i från trivialt att utnyttja men c) de som utvecklar den här typen av biometriska säkerhetslösningar måste känna till och försöka hitta sätt att hantera.

För många rop på vargen är ett problem

Problemet är att den här typen av rapportering för den breda allmänheten blir som pojken som ropade vargen. Många säkerhetshål är av just det här slaget, intressanta och viktiga för utvecklare, men av mindre intresse för den genomsnittliga användaren.

Men, och det här är ett stort och viktigt men, emellanåt upptäcks säkerhetshål som är allvarliga i den bemärkelsen att de faktiskt påverkar användare här och nu, i stor skala. Säkerhetshål där användarna inte bara kan utan också behöver agera, exempelvis genom att uppdatera operativsystemet i sin mobiltelefon så snart som möjligt.

Men om man redan är uttröttad av braskande rubriker om än det ena och än det andra säkerhetshålet är risken stor att man inte tar det som är på allvar på allvar.

Känsla av att säkerhetsåtgärder inte spelar någon roll

Det största problemet med onyanserad rapportering kring nyupptäckta säkerhetsproblem är att det kan skapa känslan av att ingenting spelar någon roll. Om det hela tiden upptäcks nya säkerhetshål, varför då bry sig om vardagsråd om exempelvis vad som är bra lösenord?

Av den enkla anledning att vardagsråden ger ett bra skydd mot vardagsproblemen.

Att en forskargrupp hittar ett sätt att lura mobiltelefoners fingeravtrycksläsare är inte ett problem för de flesta av oss så länge det krävs massor av avancerad teknisk utrustning för att lyckas med det. Avancerade angrepp kommer möjligen utnyttjas mot högprofilerade måltavlor, men det är få av oss som är av intresse för exempelvis säkerhetsmyndigheter runt om i världen.

Däremot kan det vara många av oss som har en kollega eller klasskamrat som är lite för nyfiken av sig och har svårt att hålla fingrarna i styr om vi glömmer mobilen på bordet medan vi går på toaletten. I det läget är både fingeravtrycksläsare och pinkoder ett utmärkt skydd. Att det går att ta sig runt de skyddsmekanismerna är inte ett problem i det sammanhanget.

Nästa sida »