Bruk tofaktor og unike passord hvor det er mulig

Hvorfor dette er lurt å ha på? Om noen får tak i passordet ditt, hva hindrer de i å logge inn på din profil på f.eks gmail eller facebook og endre det før du rekker?

Jeg bruker dette selv der hvor det er mulig. Grunnen til det er at det ikke skal være nok for noen andre å kunne logge inn på noen av mine profiler på nettet bare ved å kunne brukernavnet og passordet mitt. Man må ha en sekundær faktor i tillegg, for eksempel en engangskode som genereres kontinuerlig på nytt hvert halve minutt i apper som Google Authenticator, Authy, o.l når man har knyttet de til en spesifikk profil som støtter det.

Hvorfor dette er lurt å ha på? Mange personer, tidligere også inkludert meg selv, bruker samme passordet på mange forskjellige innlogginger på internett. Det som skjer av og til, men som sikkert ikke alle får med seg, er at noen av nettsidene man kanskje har en profil på, får et datainnbrudd som fører til at innloggingsdetaljer som brukernavn og passord kommer på avveie.

Da sitter plutselig noen med ikke så veldig gode hensikter potensielt sett med innloggingen til en eller flere av dine profiler på internett. Om du da ikke har tofaktorautentisering på innlogging på de profilene, har de nøkkelen til den ene låsen i døra inn dit.

En fin nettside for å undersøke om dine innloggingsdetaljer kan ha havnet på avveie er https://haveibeenpwned.com.

Her kan du søke opp e-postadressen din og se om den er inkludert i noen av de listene som kommer fra datainnbrudd fra forskjellige nettsteder og har blitt publisert. Om du skulle finne at du står på den listen, bytt passord på profilene dine med en gang!

Merk at de listene som finnes på den nettsiden er noen av de man vet om. Det finnes nok flere lister med brukernavn og passord som ikke er offentlig kjent (ennå), så det er greit å ta det som et utgangspunkt.

Om man har unike passord på innloggingene på internett, er dette ikke et så stort problem siden det passordet ikke kan brukes andre steder, og man må bare bytte passord på det ene stedet som ble utsatt for datainnbrudd, eller der hvor av andre årsaker passordet har blitt kjent for andre. Se litt lenger nede i innlegget for hvordan man kan håndtere dette.

Hvordan komme i gang med tofaktorautentisering?

En av de mest utbredte metodene for tofaktorautentisering er Google Authenticator. Det er en app du kan laste ned på telefonen din og er tilgjengelig både på Android og iPhone.

Når du aktiverer tofaktorautentisering på en nettside, får du ofte en QR-kode (en firkantet strekkode) som du kan scanne i Google Authenticator appen din for å begynne å få unike 6-sifrede engangskoder spesifikt for den profilen den er knyttet til. Du blir som regel bedt om å skrive inn en av de kodene som blir generert i appen inn på nettsiden for å bekrefte at det fungerer før det blir endelig aktivert.

Når dette er gjort, vil du alltid bli bedt om å oppgi en slik 6-sifret kode i tillegg til brukernavnet og passordet ditt når du skal logge inn der. På denne måten så er det ikke nok for en med dårlige hensikter å bare ha brukernavnet og passordet ditt for å komme inn på din profil.

Det som kan være bakdelen med Google Authenticator appen er at den ligger kun på mobiltelefonen din. Mister du den, mister du også muligheten til å få tak i kodene som blir generert for å få logget inn på profilene dine på internett. Sånnsett er det også veldig sikkert, siden det ikke er andre steder å få tak i kodene dine på.

Et alternativ kan være å bruke en annen app som f.eks en som heter Authy. Den fungerer på akkurat samme måte som Google Authenticator, men du kan ha den på flere enheter siden den krypterer all informasjon om tofaktor-kodene dine med et passord, et passord som bør være ganske langt og noe som er lett å huske. Et eksempel er f.eks:

PusErPjusketeOgVeldigTrivelig!

Om du da skulle være uheldig å miste telefonen din, kan du laste ned Authy på en ny telefon, logge inn på den, verifisere identiteten din, og deretter fjerne tilgangen til den gamle telefonen i Authy så den ikke lenger kan få opp kodene dine.

Hvordan minimere passord-trusselen

Et av de store problemene som fører til at man er ekstra utsatt om passord kommer på avveie er at man har samme passord på flere-, eller enda verre: alle, nettstedene man har profiler på på internett, og kanskje til og med også på jobb.

Grunnen er jo veldig logisk og enkel; man vil ikke gå rundt og huske flere passord enn man må. Noe som er forståelig.

Jeg husker for eksempel ikke mitt passord til facebook, google, og flere steder. Grunnen til det er at jeg bruker en såkalt «password manager,» eller passordbehandler på godt norsk.

Den har den flotte jobben med å huske passordene dine for deg, så husker du kun passordet til den. Du har da ett hovedpassord (langt og godt, som det nevnt lenger oppe her) som du husker og bruker til å åpne passordbehandleren så har den alle de andre passordene for deg liggende der.

Alt av innhold i den, om det så er brukernavn og passord, sikre notater, og annen informasjon du legger inn, er kryptert og blir dekryptert kun på maskinen eller telefonen din når du åpner den med hovedpassordet til den. Den synkroniserer passordene dine mellom enhetene dine via en sentral server kun i kryptert form, så ingen kan lese av dine passord uten ditt hovedpassord.

Slike passordbehandlere har også tillegg til nettlesere som Google Chrome, Firefox, og flere, slik at de kan fylle inn brukernavn og passord for deg automatisk når du skal logge inn på f.eks e-posten din eller facebook. Du kan selvsagt velge om du vil skrive inn hovedpassordet ditt hver gang, eller om den skal huske det til du avslutter nettleseren, eller en viss tid, så du kan stille inn sikkerheten etter situasjonen din.

Når du oppretter deg en ny profil et sted, eller du skal endre passordet ditt på en profil, kan du få passordbehandleren til å generere et sikkert og bra passord til deg etter stillbare parametere som lengde, med og uten spesialtegn, og mer. Deretter lagrer den passordet og brukernavnet i databasen sin når du oppretter profilen på nettstedet du er på. Om du endrer passordet ditt, oppdaterer den det passordet den allerede har for den profilen fra før.

De passordbehandlerene jeg kan anbefale og som jeg har erfaring med selv, og liker, er LastPass, som er veldig populær og brukervennlig, samt 1Password. De er ganske så like i funksjonalitet og sikkerhet, så det er handler også litt om personlig preferanse her. Jeg anbefaler å lese litt om hver enkelt av de.

Uansett hvilken av de du velger, er det tryggere å ha unike, sikre, og lange nok passord på helst 10 tegn eller mer på hver enkelt innlogging enn å ha like passord på flere av (eller alle) stedene hvor du har innlogginger på internett.

Jeg håper at noen har nytte av dette innlegget og finner det informativt. 🙂
Om du skulle ha noen spørsmål eller kommentarer rundt dette, kan jeg kontaktes på lars (at) lrshl.net.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *