AGS Bloggen

5 tips til bedre nettsikkerhet

Skrevet av Alexander Renberg | 15. januar 2019

 


Nytt år nye passordmuligheter

Året som har gått har vært preget av flere sikkerhetsbrudd, noen store og noen mindre. Ofte kan man spore sikkerhetsbrudd til enkeltpersoner i en bedrift. Disse har gjerne svake passord eller har trykt på noe de ikke skulle trykke på. Begge disse tingene er i utgangspunktet lett å forhindre, men man må ta tak selv.

De mest brukte og svakeste passordene

Hvert år publiseres det lister med de mest brukte og svakeste passordene for inneværende år.
Det er ikke uvanlig at de samme passordene topper listen hvert år. Dette er blant annet fordi de er lette å huske og dermed lette og gjette. For å hacke seg inn, på eksempelvis en epostkonto, kan man benytte programvare som automatisk tester en rekke bokstav- og tallkombinasjoner. Denne kan settes til å kjøre helt til riktig passord blir funnet. Dette kan ta lang eller kort tid, avhengig av kompleksiteten på passord man bruker. De vanligste passordene vil som oftest være forhåndsdefinert i en slik programvare og dermed testes først.

  • Nederst kan du se en liste over de 25 mest brukte og svakeste passordene i 2018. Har du noen av disse, burde du bytte umiddelbart.

Hvordan oppnå bedre nettsikkerhet?

Før jeg avslører listen over passord vil jeg gjerne informere dere om tips til å oppnå bedre nettsikkerhet. Følger du disse 5 tipsene vil du se hvorfor det å benytte passordene fra listen er en dårlig idé.

 

1. Komplisert passord - lett å huske - tilfeldig kombinasjoner på 12 tegn eller mer

Et sterkt passord vil alltid være relativt langt og komplisert, men det kan allikevel være lett å huske.
De beste passordene er tilfeldig kombinasjoner av tall, symboler, store og små bokstaver som til sammen utgjør minst 12 tegn. (Der det er mulig er det fint å benytte seg av ÆØÅ, dessverre har flere nettsteder kun tillatt A-Z).

Ta en tilfeldig setning, du kan gjerne finne på denne uten tilknytting til noe som er lett å gjette.
Eller du kan ta en strofe fra en sang du har på hjernen og oversette den til norsk eller liknende.
Nå har du to valg, bruk setningen slik den er og eventuelt legg til tall og spesialtegn for å sikre deg,
eller gjør passordet ditt ekstra sikkert ved bruke setningen som huskeregel.

Jeg velger alltid det siste og fremgangsmåten kan være som følger. 

  • Ta for eksempel denne strofen: «Ninety-nine red balloons. Floating in the summer sky». 
    Oversatt til norsk, (med noen friheter): «Nittini røde ballonger. Flyr under sommerhimmelen».
  • Moderer for å få inn minst fire siffer (ofte et krav til passord). «99 røde ba11onger. F1yr under sommerhimme1en». Byttet ut tallord til tall og alle L-er til ettall.
  • Så kan vi kutte den ned og ta for eksempel bare med konsonantene: «99rdb11ngr.F1rndrsmmrhmm1n». Dette er et godt passord som også er ganske lett å huske, men det er litt langt, så her kan vi kutte ned litt. Når man kutter det ned vil det selvsagt bli svakere, men det skal litt til før det blir like svakt som "Vinter2019".

  • Hvis man tar med «» i følgende passord vil det også bestå av minst 12 tegn. «99rdb11ngr».
    Om du fortsatt tenker at det kan være vanskelig å huske, så er det viktig å være klar over at når du har skrevet dette passordet like ofte som «Høst2018» eller liknende, så vil du huske det.

 

2. Bruk minst to forskjellige passord, et eget for epost

Om du nå tenker at det er mer enn nok med ett passord, så tenk over at om noen får tak i det så får de tilgang til alt. Hvis passordet de får tak i tillegg er det samme som på epost så kan de tilbakestille passord til alle tjenester du benytter med den mailadressen. Microsoft, Outlook, Live og Hotmail- adresser er ofte knyttet til din bruker i Windows, da kan det føre uvedkommende ett skritt nærmere pålogging til din datamaskin.

I utgangspunktet burde man ha et eget passord for hver enkelt tjeneste og det sikreste og mest unike burde være tilknyttet epostkontoen din. Minstekravet burde være et eget til epost og et annet til alle andre tjenester. En kombinasjon av navnet ditt eller andre i familien og fødselsnummer er dessverre ikke sikkert nok.

Hvis du ønsker å ha et eget til hver tjeneste kan dette gjøres relativt enkelt ved å ha et standard passord (som ikke brukes på mail), for eksempel «99rdb11ngr.», og tilpasse det til hver enkelt tjeneste. Inkluder for eksempel første og siste bokstav til navnet til tjenesten. Hvis vi benytter eksempelpassordet over og tilpasser det til Facebook kan vi skrive det om til F«99rdb11ngr.»k eller for LinkedIn, L«99rdb11ngr.»n.

Nå som 2-faktor begynner å bli mer og mer vanlig, bruk dette der dere kan. Det skaper ytterligere sikkerhet og enda et hinder for de som vil bryte seg inn på deres maskin eller tjeneste. Ikke glem å bruke fingeravtrykk, ansiktsgjenkjenning, komplisert mønster og eller pinkode for å komme seg inn på telefonen. (1234, 5678, 2580, osv. er ikke sikre pinkoder). 

Det finnes tjenester som kan hjelpe til med å administrere og beskytte deg, samt skape sikre passord for deg, slik at du kun trenger å huske på ett passord. Et eksempel på slike tjenester er LastPass, Dashlane og 1 Password.

 

3. Tenk sikkerhet på kontoret, hjemme og på toget

Det er mye man kan gjøre for å øke sikkerheten når man jobber, ved hjelp av tilpasset programvare og maskinvare kan man aktivere funksjoner som lar deg fjernstyre, kontrollere eller etablere en så kalt «dødmannsknapp». Dette vil kunne dekke deg i de fleste uheldige situasjoner, men man trenger ikke alltid gå så hardt til verks. Det finnes også enklere steg du kan ta for å sikre deg og ditt arbeid.

Hver alltid oppmerksom på arbeidsmiljøet ditt. Det er lett å få uønsket oppmerksomhet om man sitter og jobber på toget. Pass på å ikke jobbe med sensitiv informasjon når andre kan se hva du driver med.

Ikke ha post-it lapper med passord, hint til passord eller sensitiv informasjon. Dette gjelder uansett om du er hjemme eller på jobb, og har gjemt den under musematta eller tastaturet. Det er vanskelig å til enhver tid vite hvem som farter inn og ut av kontoret innenfor og utenfor åpningstid, eller for den saksskyld i sitt eget hjem. Når det er sagt, lås alltid PC-en din når du forlater den også, det er veldig raskt å gjøre på en Windows maskin, trykk bare på Windowsknapp  + L.

Jobber du mens du reiser, pass på hva du jobber med og ikke logg på et usikret nettverk. Er det ikke passord beskyttet sikret Wifi der du er eller du er litt usikker på hvem som kan ha tilgang til din informasjon der, opprett et eget godt sikret nettverk med mobilen din. Still samtidig ned lysstyrken på skjermen din, tilt den i en mer lukket vinkel og sett deg med ryggen mot en vegg (om mulig) for å begrense innsyn.

Er du mye på farten kan det også være lurt å gjøre maskinen din sporbar. Dette krever at du logger deg inn med din Microsoft-konto. Da dette er gjort kan du klikke på Windowsknapp  +i Naviger så
til  «Oppdatering og sikkerhet» og klikk på  «Finn enheten». For mer informasjon ta en kikk her:

"Finn og lås tapt Windows enhet".

 

 

4. Tenk først, trykk etterpå

Dette er mitt motto når jeg ferdes på Internett eller mottar elektronisk kommunikasjon. Vær alltid observant og se etter ting som ikke ser riktig ut. Er du på en delvis ukjent nettside eller noe oppfører seg litt snodig, tenk på fjellvettreglene, snu å gå tilbake i tide.

Får du en lenke, en knapp eller beskjed om å gå inn på et nettsted i en epost, SMS, melding på Facebook eller annet, tenk deg om. Før pleide man å si at man ikke skulle trykke på noe fra folk man ikke kjenner, nå vil jeg gå så langt som å si at man ikke skal trykke på noe uansett. Jeg er kanskje litt paranoid og man kan som regel stole på det venner sender, men langt i fra alltid. Det er masse eksempler på meldinger som blir sendt på epost, Facebook og andre sosiale medier som de ikke er klar over, med innhold som kan være skadelig.

Les meldingen godt. Kontroller at den er skrevet på en måte som den bekjente pleier å skrive på og det ser ut som om lenken er til et kjent nettsted. Selv om det da tyder på at det kan være trygt, er det ingen garanti. Men det finnes metoder å kontrollere lenkens validitet. Første steg vil være å tenke om man har bedt om en tjeneste, har man bedt om å tilbakestille passord eller at kollegaen din skal sende deg en morsom kattevideo. Da er det ikke like skummelt å få melding der det står «se denne https://www.youtube.com/watch?v=hY7m5jjJ9mM :)».

Det finnes også andre måter å etterprøve validiteten, søk det opp manuelt. Får du beskjed av Netflix om at betalingen din har gått ut, ikke trykk på lenken i eposten. Gå til nettleseren din skriv inn netflix.com og logg deg inn der. Dette gjelder alle nettjenester, sender de deg en epost om at du må sjekke noe med din bruker, så vil det alltid stå det samme når du logger deg inn på tjenesten manuelt.

I eksempelet med en Youtube lenken vil Facebook Messenger og flere andre sosiale medier som regel prøve å skape en forhåndsvisning i teksten og der står gjerne tittelen. Da kan man gå inn på Youtube og søke direkte etter tittelen, eller man kan søke etter koden som står bakerst i lenka «v=…». Hvis jeg i Youtube søker på hY7m5jjJ9mM fra lenka over så finner jeg videoen jeg delte.

 

 

5. Har du antivirusbeskyttelse, overvåkning, brannmur eller scanning?

Kontroller din aktive beskyttelse. Nede i høyre hjørne på Windows kan man trykke på den lille pilen oppover for å se en rekke bakgrunnsprogrammer. Ser det for eksempel ut som på en av bildene nedenfor, bør man sjekke hva det er som foregår.

 

 

 

Aktiv beskyttelse er nyttig. Windows har som standard Windows defender med en rekke basis, men gode sikkerhetsinnstillinger. Ønsker du en mer sikker opplevelse kan man bruke dedikerte antivirusprogrammer som for eksempel Panda som kan dekke mer enn gratis programvare og kan ofte settes opp fjernstyrt fra din IT-leverandør.

Pass på at programvaren på din datamaskin alltid er oppdatert, dette gjelder også antivirus beskyttelsen. Kjør en scan nå og da eller sett opp en automatisk prosess for dette. Det finnes også egne programmer som blant annet Malwarebytes som man kan kjøre for å sjekke etter korrupte og mistenkelige filer på maskinen.

I tillegg finnes det en rekke ekstra funksjoner i blant annet Microsoft 365 og Office 365 som kan settes opp for å kontrollere eposter og filer i OneDrive.

 

Konklusjon

Dette var mine 5 sikkerhets tips for denne gang. Husk å sjekke listen nedenfor for å sjekke om du bruker noen av de 25 svakeste passordene i verden. Husk også å alltid oppdatere program- og maskinvaren på din PC og mobil, mange sikkerhetshull som oppstår blir rettet opp i nye versjoner.

Og sist men ikke minst: Det er bedre å være for paranoid, enn ikke paranoid nok på Internett.

Kilde: SplashData – Teams ID https://www.teamsid.com/100-worst-passwords/

 

AGS Sikkerhetssenter

Vi er alltid på vakt for deg! Oppdag vårt sikkerhetssenter og hold tritt med truslene. La oss ta oss av trusseljungelen, slik at du kan fokusere på det du elsker.