I Maskorama på NRK får du avslørt identiteten din om du ikke er flink nok. I den virkelige verden kan du bli frastjålet identiteten.
Det var Abid Raja som skjulte seg inni NRKs nissedrakt, men verden er full av nisser. Er du en av dem? Ikke? Tja, vi får se på det. Det er en viss fare for at du kan føle deg avkledd, om du leser videre. Men ikke stopp! Det vil være verdt det. Etterpå kommer du til å gjøre noe smart.
I disse dager, hvor vi forsøker å balansere mellom effektiv julehandel og nye koronavirusvarianter, velger stadig flere av oss å gjøre julehandelen på internett. (Ingen ønsker vel omikron som julemiddagsgjest). Vi er på kort tid innom et stort antall nettbutikker for å handle gaver og bestille julemat og julepynt. I tillegg er det avgjørende å få dokumentert all denne julekosen på sosiale medier, hvor vi snør inne i stemningsfulle oppdateringer om julepyntede hus, lykkelige familiesamlinger og familiehunder utkledd som Rudolf. Med andre ord –vår digitale aktivitet intensiveres. Det meste av denne aktiviteten krever innlogging med brukernavn og passord, for å være helt sikker på at du faktisk er deg, og for at betalingsinformasjonen du oppgir skal bli tatt godt vare på. Muligheten for å bidra til å beskytte deg selv og dine data ligger derfor rett foran deg! Men i effektivitetens (og latskapens) navn forsøker vi å gjøre all denne tidkrevende innloggingen så enkel for oss selv som mulig. Ingen er vel interessert i hva jeg har handlet på Zalando uansett?
Hva er ditt favorittpassord?
Så vi gjenbruker våre enkle favorittpassord for å slippe å komme i den kjedelige situasjonen hvor vi må trykke «glemt passord». Juleinnkjop2020 oppgraderes til Juleinnkjop2021, Vinter2019 får holde et par år til, og Emilie21092001 går jo aldri ut på dato.
Er det ikke også slik at mye av julehandelen foregår i ledige stunder mellom digitale møter og andre jobbaktiviteter? På den bærbare pc-en, mens du er innlogget på jobbens interne nettverk via fjernaksessløsninger? Og du gjenbruker kanskje også de samme enkle passordene her? Eller?
I rapporten Risiko 2021 forklarer Nasjonal Sikkerhetsmyndighet (NSM) hvordan gjenbruk av passord mellom brukerkonti med ulikt tilgangsnivå eller gjenbruk av passord på private og jobbrelaterte konti, svekker virksomhetenes sikkerhet.
Microsoft har gjennomført en studie som viser at rundt 44 millioner brukere gjenbruker passordene fra og med 2020. I 2019 viste en studie at rundt 72 prosent av brukerne resirkulerte eller gjenbrukte passordene sine. 63 prosent av disse brukerne brukte nøyaktig samme passord for alle sine kontoer. (Les om studien på TechRadar: Millions of Microsoft users are reusing passwords | TechRadar)
Passordhumor
Komikeren Michael McIntyre harselerer med intens innlevelse i en Netflix-spesial om folks forhold til passord. Han mimrer om internettets liberale barndom, da det var fritt frem for oss å ha et passord med bare små bokstaver. Etter hvert som internettet ble mer populært, begynte virksomhetene der ute å legge føringer for passordene. Vi måtte ha minst én stor bokstav. Det ble som regel den første bokstaven i passordet vi allerede hadde. Så måtte vi ha tall, og alle plasserte et 1-tall etter det gamle passordet. Og når det etter hvert kom krav om minst ett spesialtegn, landet alles øyner på utropstegnet. Det passer fint til slutt, bak vårt kjære, trofaste passord. Hvordan kan det være så morsomt at salen bryter sammen i latter av en komikers passe unyanserte gjennomgang av passordhistorien? Fordi skremmende mange kjenner seg igjen i fortellingen.
Hackere har gjennom lang erfaring og analysering av våre passord-uvaner opparbeidet seg lister over våre 100, 1000 og kanskje 10 000 mest brukte passord. Disse passordlistene benyttes i målrettede og automatiserte angrep mot et stort antall virksomheter og privatpersoner samtidig – og kontinuerlig! Finnes ditt enkle passord på denne listen, er både du og muligens din arbeidsgiver et lett bytte for angriperne.
NCSC (Nasjonalt cybersikkerhetssenter) utførte en studie på villige organisasjoner for å teste hvor mottakelige de var for slike angrep. 75 prosent av organisasjonene hadde minst én konto, som brukte et av topp 1000-passordene. 87 prosent hadde minst én konto med et passord i topp 10 000.
Det svakeste leddet
NSM skriver at svake passord fremdeles er den letteste veien inn i virksomheters systemer. De rapporterer om utstrakte funn av korte passord som er lette å gjette, eller som lar seg knekke med automatiserte angrep. Som «Sommer2020» og «September2020». Jeg anbefaler å ta en kikk på NSMs tips for passord.
Microsoft uttaler at 99,9 prosent av alle identitetsrelaterte angrep kan stoppes ved bruk av tofaktorautentisering. Det betyr at man i tillegg til ordinært brukernavn og passord, benytter en ekstra «faktor», som bank-id eller SMS-kode på telefonen for å bevise sin identitet under påloggingen.
Ligg unna lenka!
Vår uforsiktige og makelige uvane med å opprette og gjenbruke enkle passord, er ikke den eneste faren. Fremdeles blir vi urovekkende ofte forsøkt «fralurt» personlig informasjon, særlig påloggingsinformasjon og bank- og kontoinformasjon, fra angripere som utgir seg for å være noen som kunne ha vært en del av ditt nettverk.
På sosiale medier deler vi informasjon om hvem som er vår arbeidsgiver, hvor vi bor, hvem vi er i familie med, hvilket fotballag vi heier på eller hvilke organisasjoner og innsamlingsaksjoner vi donerer penger til. Alt dette er informasjon som kan brukes til å skreddersy et angrep nettopp mot deg. Vi hører stadig oftere om svindelforsøk hvor angriperne benytter eposter og SMS-er for å lure deg til å oppgi informasjon.
Telenor advarte nylig om et massivt svindelforsøk i forbindelse med at deres mobilkunder fikk en tekstmelding, der de ble bedt om å laste ned en applikasjon for å høre talebeskjeder. Hvis man lastet den ned, vil man få et virus på mobilen som gir kriminelle tilgang til å plukke opp brukernavn, passord, betalingsinformasjon, kontaktlisten din og andre personlige opplysninger som kan brukes til ytterligere svindelforsøk.
Også Oslo kommune måtte nylig advare mot falske SMS-er i forbindelse med 3 vaksinedose. I disse tekstmeldingene ble man bedt om å oppgi personnummer og navn. Ikke helt unaturlig i disse tider?
Og har du mottatt gunstige Black Friday-tilbud på epost, gjerne fra en kjent nettbutikk, og klikket på en lenke og bestilt varer? Du sjekket vel om nettsiden var den ekte?
Kan du stole på IT-sjefen?
Angrepene blir stadig mer komplekse og vanskelige å oppdage for de fleste av oss. I det siste har det til og med dukket opp angrep hvor angriper utgir seg for å være IKT-avdelingen hos din arbeidsgiver. I en epost eller SMS ber de deg om å oppdatere ditt passord som et nødvendig tiltak etter en sikkerhetsoppdatering. Hadde du hatt samvittighet til å la være?
Ved å utgi seg for å være en troverdig avsender, er det større sannsynlighet for at vi lar oss lure til å åpne et vedlegg eller klikke på en lenke. Vanlige svindelmetoder og hva du kan gjøre for å oppdage og avverge dem, kan du blant annet lese mer om på Nettsvindel – Politiet.no.
Hvor ille kan det gå?
Men hackerne har da ingen interesse av meg? Eller den lille kommunen jeg jobber i? Spør Østre Toten! Der ble kommunen utsatt for datainnbrudd og krevd for løsepenger. De hadde ikke tilgang til sine egne datasystemer og saksarkiv, og store mengder dokumenter havnet på avveie. Innbruddet fikk både driften og økonomien til kommunen ned i knestående. Og Datatilsynet til å reagere.
I 90-tallsfilmene skjedde datainnbrudd ved at kriminelle først hadde brutt seg fysisk inn på arbeidsplassen, så fant de lappen med passord som lå skjult under tastaturet. Voilá! Så dumme er vi ikke lenger, tenker vi selvtilfreds. Vi gjemmer heller passordene våre i et notat på telefonen. Vel, da er det faktisk smartere å gjøre som idiotene i 90-tallsfilmene. (Ikke at jeg skal oppfordre til å legge lapp under tastaturet, altså!) For det er langt større fare for digitale innbrudd enn fysiske.
Føler du deg avkledd nå?
Om det er en trøst, du er ikke alene. Men det er et selskap du ikke vil være en del av.