Jeg er Kresten Jacobsen. Dette er min log.

august 13, 2014

Guide til kodeord på nettet

TL;DR -- På internettet er kodeord din bedste mulighed for at beskytte din online identiteter, derfor skal du bruge dem med omhu. Nedenstående er en guide til hvordan du let beskytter dig mod identitetstyveri.

For at sikre sig på nettet, skal man vide lidt om hvordan identitetstyveri oftest foregår. Indentitetstyve kan overordnet deles op i to kategorier 1) dem der gætter dit kodeord (hacking) og 2) dem der lister dit kodeord ud af dig (phising). Jo mere kompliceret et kodeord er desto sværere er det at gætte sig til for hackeren. Tilgengæld er phisheren ligeglad med styrken af dit kodeord, for han snyder dig til at give ham det.

Så vi står altså med to problemer: 1) simple kodeord kan gættes og 2) kodeord kan man franarres.

Tre leveregler til kodeord på nettet:

1. Giv aldrig dit kodeord til nogen.
2. Lav et upersonligt kodeord, som du kan huske.
3. Brug kun dit kodeord til én service.

Hvordan ser et godt kodeord ud?

Et godt kodeord er et, som andre ikke kan gætte; hverken mennesker eller computere. Mennesker gætter typisk på ting, der er associeret med dig, eks. din fødselsdato, dine børns navne eller måske dine initialer. Så dit kodeord må helst ikke indeholde noget personligt.

Computere derimod kan gætte på alt mellem himmel og jord, og kan gøre det meget hurtigt (og dermed få mange flere gæt end et menneske kan); men de er typisk lavet således, at de forsøger sig med det der er størst sandsynlighed for først. Derfor er de fleste angreb designet med en ordliste over almindelige kodeord, som de prøver af, før de går over til helt at gætte. Derfor bør man helt undgå ord og talrækker (eks. 987654321 ol.). Det er tilgengæld en rigtig god ide at blande tal og bogstaver, da dette gør det endnu sværere for en computer at gætte.

Et eksempel på et godt kodeord, som er nemt at huske, kunne være at lave en remse selv eller at låne en, for at huske sit kodeord. Eksempelvis Halfdan Rasmussens remse "Hundrede høns i hønsegården, kom op at slås en søndagsmorgen", som kunne blive til 100hihkoas1s¹. Det er en rimelig stærk kode, som er til at huske, men ikke umiddelbart til at gætte.

At ændre sit kodeord ofte øger i sig selv ikke sikkerheden særligt meget. Tilgengæld gør det det væsentligt sværer at huske sine kodeord.

Men bliver du gjort opmærksom på en sikkerhedsbrist hos eks. din email udbyder skal den tages seriøst. Sørg dog for at være sikker på at der ikke er tale om et phishing-forsøg.

Sikkerhedsniveauer

Det måske allervigtigste for din sikkerhed online er din email. Denne putter vi i "sikkerhedsniveau 1". Hvis en identitetstyv får adgang til din email, kan han nemlig nulstille kodeordet til næsten alle andre online tjenester og få tilsendt et nyt kodeord (gælder dog heldigvis ikke NemID-tjenester). Derfor bør din email have et helt særligt stærkt kodeord, som du ikke bruger andre steder. På denne måde er der mindre sansynlighed for at den bliver hacket. Derudover bør du aldrig skrive kodeordet til din email nogen andre steder end kodeordsfeltet under login til din email. Selv hvis du får en henvendelse fra din emailudbyder, bør du afvise at oplyse dit kodeord.

Udover din email, har du ganske givet en række konti til tjenester, hvor dine betalingskort er registreret. Disse er i næste sikkeherhedsniveau; "sikkerhedsniveau 2" og bør også have forskellige kodeord, så en identitetstyv, der har knækket koden et sted ikke også kan bruge den et andet.

I tredje og sidste sikkerhedsniveau, ligger alle de tjenester, som ikke har specielle oplysninger om dig, men hvor du er tvunget til at registrere dig for at få adgang til en sevice. Disse sider kender typisk kun din emailadresse og det vigtiste ved kodeordet her er, at det er forskelligt fra det du bruger til din email; for ellers har tjenesten (og folkene bag) jo alle de nødvendige oplysninger til at tilgå din email og dermed alle andre tjenester.

Hvad gør de professionelle?

De professionelle tager sig typisk tre forbehold for hvert tjeneste de bruger 1) de bruger en "kodeordshusker", 2) de bruger autogenererede koder og 3) de skifter kodeord hvert halve år.

Et eksempel på en god kodeordshusker, er den gratis, men ikke så brugervenlige, KeePass. KeePass kan også hjælpe med at autogenerere koder, der er nærmest umulige at gætte. Selv for en computer. En mere poleret og brugervenlig kodeordshusker er 1Password, som dog koster penge at bruge. Jeg har brugt 1Password i årevis og vil klart anbefale den.

Sikkerhedsbrister

Huller i systemer opstår hele tiden. Senest har forskere opdaget et gabende hul i en af internettets helt fundamentale sikkerhedslag, der kan have gjort det muligt for hackere at tilgå andre folks kodeord på ellers sider. Derfor er det netop nu en rigtig god idé at komme i gang med kodeordsskiftet - især hvis du tidligere genbrugte det. God fornøjelse!