Fyrirsögnin á þessari færslu hljómar kannski furðulega en þetta hugsaði ég fyrir skemmstu þegar ég las grein í Morgunblaðinu sem birtist einnig á mbl.is. Greinin ber heitið “Eitt hættulegasta tækið á heimilinu” en þar eru ráðleggingar til notenda varðandi snjalltæki og lykilorð. Það er margt í þessari grein sem fer á svig við almennar ráðleggingar mínar og þeirra sem ég tek mark á í þessu fagi.
Þó það komi ekki fram á mbl.is, þá þurfa notendur mínir að huga að eftirfarandi atriðum:
- Uppfæra stýrikerfi og hugbúnað
- Nota lykilorðageymslu (Password Manager)
- Nota tveggja þátta auðkenningu þar sem það er hægt
- Afrita mikilvæg gögn
- Nota almenna skynsemi og ekki smella blint á tengla og viðhengi
- Nota örugga vafra með adblock (t.d. Chrome með µblock)
Hvað pirrar mig við greinina?
Það sem náði mér fljótt í þessari grein var þessi ráðlegging: “Ég myndi ráðleggja fólki að vera með 3-4 mjög aðskilin lykilorð.”
Samkvæmt greininni þá er þannig ráðlagt að nota eitt lykilorð í bankann, annað fyrir áskriftarþjónustu og þar sem er verið að greiða á netinu. Eitt í viðbót fyrir tölvupóstinn og loks enn eitt samnýtt á hinum og þessum vefsíðum sem skipta minna máli.
“Lykilorðin sem skipta mestu máli, þar sem fjárhagslegir hagsmunir og persónuupplýsingar eru í húfi, eiga að vera samsett úr há- og lágstöfum, tölustöfum og sértáknum í bunu sem er erfitt að giska á og því erfitt að brjóta það upp.”
Blaðamaður heldur áfram og spyr hversu oft eigi að skipta um leyniorð.
„Í heimabankanum er gott að gera það á 90 daga fresti en þar sem lykilorð eru minna mikilvæg er allt í lagi að halda þeim óbreyttum í langan tíma. Einnig er gott að breyta lykilorðinu á vinnutölvupóstinum reglulega og fyrir einkatölvupóst kannski einu sinni á ári.“
Þetta hér að ofan hljómar ekkert of illa (ef árið væri 2005) en er ekki í takt við það sem er í umræðunni í dag. Að setja sjálfum sér, eða notendum sínum, takmarkaðan gildistíma leyniorða (password expiry) er ekki ráðlagt í dag. Í þessu samhengi má til dæmis skoða Digital Identity Guidelines frá Nist (NIST SP 800-63-3). Þessu til viðbótar er mælt með að notendur búi sér til flókin leyniorð (composition rules) sem er ekki svo galið eitt og sér, en er einnig mælt á móti af t.d. NIST. Ástæðan er fyrst og fremst sú að þær lykilorðaflækjur sem mannshugurinn getur gert og munað, eru frekar léttar að sjá fyrir.
Reynslan hefur einfaldlega sýnt að notendum er almennt ekki treystandi til þess að velja eigin leyniorð. Þetta eru kannski stór orð en það þarf ekki annað en að skoða upplýsingar úr Vodafone lekanum til þess að sjá þetta..
Hér er frábært myndband sem rennir yfir lykilorð, hvað ber að varast og hvað er til ráða.
Hvað ráðlegg ég notendum mínum?
Ég er ekki sjálftitlaður sérfræðingur um öryggismál eða persónuvernd, né starfa ég sem slíkur. Ég hef aftur á móti starfað í upplýsingatækni í fjölmörg ár og fylgist með, eins vel og ég get, til þess að geta ráðlagt notendum mínum.
Mikilvægasta reglan er að treysta ekki neinum og efast um allt sem þið sjáið á netinu. Ég á ekki við að nota álhattinn daglega heldur að notendur staldri við og hugsi áður en smellt er á tengla, viðhengi eða annað sem berst þeim í gegnum tölvupóst eða önnur samskiptatól.
Notaðu lykilorðageymslu (Password Manager)
Við munum fjalla um lykilorðageymslur fljótlega en þetta er í stuttu máli forrit sem vistar öll lykilorð notanda í dulkóðuðum grunni. Þá þarf notandi bara að búa til og muna eitt leyniorð, það er lykilorðið að lykilorðageymslunni. Forritið býr síðan til lykilorð af handahófi fyrir þær þjónustur sem þú óskar eftir og því einfalt að koma í veg fyrir að sama lykilorð sé samnýtt milli almennra vefsíðna eins og ráðlagt er í greininni hjá mbl. Með einum smelli er hægt að láta lykilorðageymsluna útbúa handahófskennd lykilorð en gott er að hafa þau eins löng og viðkomandi þjónusta leyfir.
Það er einfalt að halda því fram að 20 tákna lykilorð sé öruggara en 10 tákna lykilorð. Þetta á þó ekki við ef notandinn býr sjálfur til leyniorðið.
Eftir að hafa séð myndbandið hér að ofan, hvort lykilorðið heldurðu að sé erfiðara að leysa?
y+o9zY8?<# eða StefánogGunnaSönnÁst
Tveggja þátta auðkenning (two factor authentication)
Fyrir þá sem ekki þekkja þá er þetta sambærilegt við auðkennislykillinn sem við höfum lengi notað til að komast inn í heimabankann. Sem sagt annað auka skref til þess að sanna fyrir þjónustunni að við séum sá notandi sem við segjumst vera.
Sem dæmi, þegar ég skrái mig inn á skýjalausnir Microsoft eða Google, þá slæ ég inn notendanafn og leyniorð (1-factor). Síðan þarf ég að slá inn aukakóða sem ég fæ sendan með SMS eða tölvupósti (2-factor). Þetta er mjög góð leið til að auka öryggi notenda og er hægt að gera virkt á fjölmörgum þjónustum sem við notum daglega.
Hér má sjá hvaða þjónustur bjóða upp á tveggja þátta auðkenningu.
Uppfærðu stýrikerfið þitt og annan hugbúnað
Áður en lengra er haldið þá á þetta við um Windows, Apple og Linux notendur. 🙂
Það er nauðsynlegt fyrir notendur að temja sér það hugarfar að uppfærslur á stýrikerfum (t.d. Windows Update) eru af hinu góða. Þetta eru oft einfaldar öryggisuppfærslur sem hugbúnaðarframleiðendur senda til notenda með það að markmiði að gera líf okkar á internetinu öruggara.
Það eru til tól eins og Secunia PSI fyrir Windows sem gerir þetta sjálfkrafa fyrir notendur. Það rennir yfir allan hugbúnað í tölvunni og finnur forrit sem kominn er tími á að uppfæra.
Nota öruggan vafra með adblocker
Það er mikilvægt að vera með öruggan vafra og að nota adblocker á honum (t.d. Chrome með µblock viðbót). Þetta er bæði til þess að loka á allar þessar auglýsingar, sem við sjáum á svo mörgum miðlum, og þetta ágætis leið til að loka á óværur sem eru á hinum ýmsu heimasíðum.
Afritun
Taktu afrit af mikilvægum gögnum. Ef eitthvað gerist þá kemstu í öruggt afrit gagna.
Óörugg símtæki
Fyrir nokkum árum þá voru símtæki og þá sér í lagi Android símtæki frekar óörugg. Vitanlega er margt sem má betur fara en að halda því fram í þessari grein að snjallsími sé “alveg opið tæki” er líklega frekar langt frá raunveruleikanum. Í greininni kemur fram að viðkomandi tengist bara internetinu með símtækinu sínu, heima hjá sér og þá bara takmarkað. Gott og blessað ef hann kýs að gera það en þessi notkun er ekki í takti við almenna öryggisumræðu í dag.
Almenn skynsemi notanda skilar betri árangri álhattur.
Notendur gætu t.d. sleppt því að tengjast opnum þráðlausum punktum sem finnast víða. Nota VPN inn á net sem þeir þekkja og treysta (t.d.vinnu eða heim). Þá má bæta við að sum símtæki (t.d. Nexus og Pixel frá Google) bjóða upp á ókeypis VPN sem tengist inn til Google ef notandi tengist opnum þráðlausum netum. Helst ættum við bara að gefa upp skráningarupplýsingar yfir https en þá sannreynir tækið vottorð á netþjóni viðkomandi þjónustu og dulkóðar þau gögn sem send eru á milli.
Í greininni er talað um bankaöppin líka en ég vil meina að ef þau eru ekki að senda allt yfir https í dag, þá þarf líklega að taka almennilega til í tölvudeild viðkomandi bankastofnunar.
Vitanlega er alltaf hægt að spoofa opin net og GSM senda símafyrirtækja en líkurnar á því eru samt hverfandi.
Að lokum
Mikilvægt er að víðlesnir miðlar eins og Morgunblaðið gefi notendum eins réttar upplýsingar og mögulegt er á hverjum tíma. Svo ég noti góða tilvitnun úr greininni: „Fólk verður einfaldlega að skilja hver áhættan er og taka upplýsta ákvörðun”
Eina krafan okkar sem notendur ætti því að vera sú, að þær upplýsingar sem eru miðlaðar að okkur séu réttar og gagnlegar miðað við núverandi umhverfi og ártal.