Datorsäkerhet och lösenord

[Frederyck]

En sak jag har märkt när jag har vandrat runt på olika forum på nätet är att väldigt många har ganska rudimentära kunskaper om hur IT-säkerhet fungerar. De flesta är inte intresserade av att lära sig något, men jag misstänker att medlemmarna på det här stället antagligen är mer intresserade av säkerhet än andra. Det kan iofs betyda att det mesta jag har att säga här är gammal skåpmat, men då är det bara att ignorera det här inlägget.

Lösenord
IT-avdelningen säger ofta till sina företag att de anställda måste skapa lösenord med en viss "svårighet", till exempel att lösenorden måste innehålla både siffror och bokstäver, och kanske lite andra liknande regler. Det som ofta missas är att det inte nödvändigtvis är sant att det blir säkrare så. Det finns en huvudregler när det gäller att skapa lösenord, och det är att längre lösenord är flera magnituder säkrare än korta. Lösenordet "buller trygg sjukhus" är betydligt säkrare än ")67hjp1a" och dessutom hundrafallt lättare att komma ihåg.

Se gärna Thomas Baekdahl's artikel om detta: http://www.baekdal.com/insights/password-security-usability och hans efterföljande uppdateringar på den artikeln.

En annan fallucka som många går på är att använda samma lösenord på flera ställen. Det kan vara KATASTROFALT att ha det eftersom ett knäckt lösenord på ett ställe snabbt kommer att testas på många andra siter. Ett sätt att komma runt detta är att försöka spara dina lösenord 'säkert' krypterade. Själv använder jag KeePass http://www.keepass.info men det finns andra varianter på samma tema. Den krypterade databasfilen till KeePass har jag lagt på mitt Dropbox-konto vilket gör att jag kommer åt den från alla datorer och mobila enheter jag behöver.

Dropbox finns på http://db.tt/PQZgGJGq (obs! Länken är en referral-link som ger mig mer lagringsutrymme om du signar via den). Det finns massor med säkerhetsrisker med att lagra känsligt material på Dropbox eller liknande molntjänster men KeePass-filen kan bara dekrypteras om man knäcker lösenordet till den, och det räcker inte med att hacka Dropbox för att göra det.

Så det jag gör är alltså att skapa en KeePass-datafil där jag lagrar alla lösenord jag vill skydda. De lösenorden kan vara hur komplicerade som helst, och kan alla vara helt olika. Du behöver aldrig komma ihåg dem. Lösenordet för själva filen har jag 30+ tecken lång och den är lite småkomplicerad att komma ihåg, men det är det enda jag behöver minnas så det fungerar bra. KeePass finns tillgänglig för de flesta plattformar i olika skepnader (appar, linux, windows, mac osv) och är gratis. Det uppdateras hyggligt regelbundet också.

Just min lösning är kanske inte optimal för alla, och det finns massor med varianter för att uppnå samma trygghet, men det som är viktigt är att faktiskt tänka på sin säkerhet online.

En sak som är skrämmande för övrigt är siter som /begränsar/ längden på lösenorden som kan användas. Det är helt obegripligt korkat i mina ögon! BankID till exempel är begränsat till 12 tecken numer (man fick ha längre förut...)

[2818181]

Ett lika viktigt som svårlöst ämne. Grundproblemet är att oavsett hur säkra och sofistikerade system och lösningar som konstrueras, så är de noll och intet värda om användare/system ej är "kompatibla". Gränssnittet är A och O och människor är bekväma av sig. Med tanke på hur fler och fler vitala funktioner förs över till gemene man, så bävar jag över de långsiktiga konsekvenserna.
Mängder av arbetsuppgifter, som tidigare sköttes av "proffs", skall nu var och en sköta hemifrån. Utan adekvat skydd blir datorn en guldgruva för de med dunkla avsikter.

[maggan]

jag har reflekterar över de regler som minskar datorsäkerheten, såsom förbud att upprepa tecken, vissa ord osv. varje begränsning minskar antalet möjliga lösen och gör de lättare att knäcka. men it-avdelningen myser över hur smarta de är. värst är funktionen byt lösenord efter en viss tid. det gör att normalanvändaren hittar på så korta och enkla lösen som möjligt. Dessa åsikter är dock politiskt inkorrekta och it-avdelningen ignorerat kritik.

[Frederyck]

jag har reflekterar över de regler som minskar datorsäkerheten, såsom förbud att upprepa tecken, vissa ord osv. varje begränsning minskar antalet möjliga lösen och gör de lättare att knäcka. men it-avdelningen myser över hur smarta de är. värst är funktionen byt lösenord efter en viss tid. det gör att normalanvändaren hittar på så korta och enkla lösen som möjligt. Dessa åsikter är dock politiskt inkorrekta och it-avdelningen ignorerat kritik.

Som varandes IT-chef/CIO kan jag säga att den största anledningen till att det ser ut så här är enligt min erfarenhet att de flesta på IT inte har koll på bra lösenord. De som jobbar med IT är väldigt sällan säkerhetsutbildade och följer bara de rekommendationer som kommer från systemleverantörer, som Cisco, Microsoft osv. Att de rekommendationerna är föråldrade reflekteras det inte över. Dessutom är det inte heller säkerhet som står överst på dagordningen vare sig i ledningsgrupper eller på IT-avelningar, utan man prioriterar sånt som verkar mer bråttom, tex systemuppgraderingar, upphandlingar, effektiviseringar (neddragningar) och daglig support.

Edit: stavfel.

[Frederyck]

En intressant sak som jag har märkt för övrigt under mina snart 20 år inom IT-branschen är att det är väldigt många som jobbar med IT som inte har någon formell utbildning. Det är naturligtvis inte fel att vara autodidakt, men många organisationer runt om i Sverige har IT-anställda i form av utvecklare, nätverkstekniker, systemansvariga, supportpersonal, allmänna "fixare" osv som egentligen inte vet vad de håller på med mer än "det här har fungerat förut". Och eftersom företag och myndigheter parallellt ofta undlåter att fortbilda IT-personalen så sitter man med personer anställda som sköter om drift, utveckling och säkerhet av det viktigaste företaget har som inte kan systemen ordentligt och inte kan fatta korrekta beslut, eller skaffa fram bra underlag för beslut om ändringar och förbättringar.

Och det är nu nån ofta säger "men det gäller väl inte större företag som banker?". Varpå jag inte kan hålla mig för skratt. Jag har jobbat med olika IT-system, både affärskritiska och stödsystem på två av de största bankerna i Sverige, en av de mindre samt med banken som förlorade sin oktroj (Coop bank). Det finns/fanns naturligtvis /massor/ med kompetent personal på dessa ställen precis som på de flesta andra, men det hindrar inte att det även i stor grad förekommer rejäl okunnighet, felaktiga beslut pga av andra prioriteringar (kortsiktiga besparingar/profit/kontorspolitik mm), och även rent ointresse ("jag struntar i om det blir bra").

Ett spännande exempel från Coop var att om de hade gått live med sin konkurrent till ICAbanken så hade din PIN-kod som du knappat in på telefonen för att logga in skickats och lagrats i klartext mellan CTI-systemet (dator/telefoni-kopplingssystemet) och den säkra PIN-servern. Utan fikonspråk betyder det att vem som helst på kundtjänsten på Coop skulle ha kunnat se din PIN-kod när som helst... Själva verifieringsservern för om det var rätt PIN eller ej var naturligtvis så säker man kunde fixa, men vad spelade det för roll när koden lagrades i en okrypterad textfil bredvid den servern? Och detta grava säkerhetsfel hade ingenting med att göra att Coop förlorade sitt tillstånd...

Det blev lite Off Topic här, men jag vill bara poängtera vikten av att ni försöker sköta er egen säkerhet på nätet så väl som möjligt. Andra kommer inte att göra det åt er.

[Buljong]

Hmm, jag håller inte med dig. Få är väl de branscher som utbildar mer än man gör i IT-branschen. På miitt (IT)företag så har alla anställda 50tkr i utbildningsbudget per år. Samtliga är högskoleutbildade. Jag har samma erfarenhet från tidigare anställningar.

Det som gör utbildning på högskole/universitetsnivå svårt är att IT förändras snabbare än  andra branscher så det som gällde för 10 år sen gäller inte idag. Därför behövs och uppmuntras fortlöpande utbildning. En bra grund som exempelvis systemvetare är ändå väldigt användbart. Jag tror dessutom att det är sämre med utbildning i storföretag, exempelvis IBM, än vad det är för mindre företag som snabbare anpassar sig efter det som efterfrågas hos kunderna.

/Buljong

[lordsinner]

Avänder själv: https://msevensoftware.com/
Kan knappast lösenord till vissa sidor då de är 30+  tecken långa 

[Save]

Bra tips! Jag använder själv Keepass och tycker det är mycket bra. Till det använder jag Wuala som har bättre krypering än Dropbox om man ska dra saker till sin spets
https://www.wuala.com/en har en promo code om ni är intresserade.

Då vi ändå är inne på säkerhet så finns det mycket att önska inom flera områden. Webbläsare, system, mjukvaror och webbsidor.  Är alla viktiga delar för säkerheten. Sist men inte minst kommer användaren själv, som Frederyck är lite smått inne på . Som oftast kan styra alla ovastående saker men det kan vara lättare sagt än gjort. Men med upplysning kan saker och ting ändras.

[Guld_500]

Även denna är bra, har den själv på Mac, Ipad och Iphone, behöver aldrig komma ihåg något lösenord.
https://agilebits.com/onepassword

[zealot]

Ett bra lösenord gör att det blir svårare att gissa eller bruteforcea, men det skyddar inte mot social engineering. Som it-konsult blir jag inte längre förvånad av att många av nordens största företag har riktigt dålig säkerhet. Oftast behöver jag bara ringa och be att bli uppkopplad till deras servrar och få login uppgifter direkt över telefon. Skrämmande då jag får full tillgång till alla deras finansiella data. Många företag använder sin it-administratörs initialer som användarnamn och lösenord, så det är min första gissning när dem glömmer uppge login till databaser jag ska in i.

[Frederyck]

Hmm, jag håller inte med dig. Få är väl de branscher som utbildar mer än man gör i IT-branschen. På miitt (IT)företag så har alla anställda 50tkr i utbildningsbudget per år. Samtliga är högskoleutbildade. Jag har samma erfarenhet från tidigare anställningar.

Naturligtvis har du rätt i att företag vars affärsidé är IT håller högre klass på IT-kunskaperna. Företag som har annan kärnverksamhet däremot, vare sig det är redovisning, matvaruförsäljning, bankverksamhet, detaljhandel, etc, dvs branscher och företag där IT är en stödverksamhet är det sämre ställt med sådant. 50 papp i utbildningsbudget per anställd är helt overkligt mycket för de allra allra flesta som jobbar med IT. Många har runt 10 000 per anställd och år vilket inte ens räcker till en tredagars nybörjarkurs i C# hos nån av de stora leverantörerna av utbildningar...