Nyligen avslöjades en ny stor dataläcka där närmare 71 miljoner kontouppgifter och lösenord hamnat i orätta händer. Minst 25 miljoner av uppgifter är helt nya uppgifter – och det kan inte uteslutas att svenskar drabbats. Så här skyddar du dina konton ute på nätet.
Dina konton i sociala medier, Facebook, Instagram är hårdvaluta på The Dark Web. Uppgifterna köps och säljs och det gäller även konton för Netflix, Spotify och övriga tjänster med strömmad underhållning (streaming). Därför bör du skydda dina konton – och det finns säkra metoder för att stoppa hackarna – även om de kommit över dina inloggningsuppgifter.
Lösenord
Det fanns en tidigare huvudregel om att ett bra lösenord ska ha minst åtta blandade tecken – glöm det. I takt med att våra datorer och andra elektroniska prylar blivit alltmera kraftfulla så kan de också användas för att knäcka lösenord med – allt snabbare. Nu är det minst tvåsiffriga lösenord – helst över 12 tecken som gäller och de ska vara slumpmässiga.
Du ska alltså helst inte välja dina egna lösenord därför att du kommer att välja lösenord som kan förknippas med dig som person – det du gör, var du bor, dina fritidsintressen, vad du heter, vilket bilmärke du kör, dina barns namn eller husdjurets namn och så vidare. Människor gör saker av gammal vana och det vet de som är ute efter dina uppgifter – så därför – slumpmässigt valda lösenord på minst 12 tecken är det som gäller.
För att klara av att hantera så långa lösenord – komma ihåg dem – skaffa en lösenordshanterare som både skapar nya, slumpmässiga lösenord – om du behöver ett sådant – och som lagrar dina kontouppgifter.
Det finns en inbyggds lösenordshanterare i Apples olika operativsystem – Keychain och har du iCloud aktiverat så kan du använda iCloud Keychain och synkronisera lösenord mellan all dina enheter. Rekommenderas.
Som komplement rekommenderas också en fristående lösenordshanterare – 1Password eller Bitwarden är två bra program som över tid och historiskt har visat sig vara stabila, pålitliga och utan att drabbas av egna intrång eller säkerhetsincidenter.
Använd aldrig samma lösenord på flera webbplatser – ha olika långa, slumpmässiga lösenord på alla webbplatser och för alla konton. Anledningen är enkel – hamnar dina uppgifter i orätta händer så kommer den obehöriga åt en alla dina konton där samma lösenord används.
2FA
En enkel, säker lösning för att stoppa obehöriga är det som kallas 2FA, tvåfaktor-inloggning, vilket är ett engångslösenord som genereras med en app eller ett program hos dig lokalt. Du måste alltså ange ett extra lösenord, oftast en pinkod, en serie siffror, för att kunna logga in och siffrorna är olika för olika konton och de fungerar bara en kort stund.
Det innebär att även om dina kontouppgifter stulits, även om obehöriga kommit över ditt lösenord, så kan de inte logga in med mindre än att de också kommer över din iPhone, din iPad eller din Mac.
2FA kan aktiveras för de flesta konton och för de flesta tjänster som finns ute på nätet – gör det – idag!
För att kunna använda 2FA så krävs ett program, en app som genererar koderna och de flesta lösenordhanterare kan även hantera 2FA – i annat fal så kan du skaffa ett eget program för att hantera dina tvåfaktor-inloggningar. En fördel med lösenordshanterare är att de inte loggar in dig på en falsk webbplats – ett inte helt ovanligt sätt att lura till sig kontouppgifter, Du får en uppmaning om att logga in, via en länk i ett e-postmeddelanden, för att ta ett vanligt exempel på det som kallas ”phishing” – nätfiske.
Du hittar länkar till 2FA-program i texterna nedan.
Passkeys
Det finns ytterligare en lösning som är ännu säkrare än tvåfaktor-inloggning – det som kallas PassKeys. Den funktionen bygger på standarden WebAuthentication (eller ”WebAuthn”), som använder kryptering med publik nyckel. Under kontoregistrering skapar operativsystemet ett unikt kryptografiskt nyckelpar som associeras med ett konto för appen eller webbplatsen. Dessa nycklar genereras av enheten, säkert och unikt, för varje konto.
Lät det där krångligt – det är det inte. Passkeys kan sägas vara 2FA fast där lösenorden, som i det här sammanhanget kallas nycklar, genererats med hårdvara, en liten nyckel, som kan se ut som ett litet USB-minne.
Du har alltså två nycklar – en publik nyckel och en hemlig nyckel.
Nycklar bygger på standarden WebAuthentication (eller WebAuthn) som krypterar med offentlig nyckel. Under kontoregistrering skapar operativsystemet ett unikt kryptografiskt nyckelpar att associera till ett konto i appen eller på webbplatsen. Enheterna genererar nycklar på ett säkert och unikt sätt för varje konto.
En av nycklarna är offentlig och lagras på servern. Den här offentliga nyckel är ingen hemlighet. Den andra nyckeln är privat och behövs för att verkligen logga in. Servern känner aldrig till den privata nyckeln. På Apple-enheter med tillgängligt Touch ID eller Face ID kan de användas för att tillåta att använda nyckeln, som sedan autentiserar användaren i appen eller på webbplatsen. Ingen delad hemlighet överförs och servern behöver inte skydda den offentliga nyckeln. Det här gör att nycklar är mycket starka och lättanvända vid inloggning, och de är mycket motståndskraftiga mot nätfiske. Plattformsleverantörer har samarbetat i FIDO Alliance för att säkerställa att nyckelimplementeringar är plattformsoberoende och fungerar på så många enheter som möjligt.
Det här ska du inte göra
- Använda samma lösenord/kontouppgifter för flera konton
Helt förkastligt. Kommer en obehörig över de uppgifterna så kan alla dina konton kapas, enkelt.
- Ha tvingande regler för att byta lösenord
Det får mycket ofta rakt motsatt effekt med regler om att lösenord ska bytas varje månad eller var tredje månad, vilket fortfarande inte är helt ovanligt. Följden blir mycket ofta att användare väljer ett mycket snarlikt lösenord som det tidigare – Klorofyll1, Klorofyll2 och så vidare.
- Ha för korta, enkla lösenord som enkelt kan förknippas med dig som person
Ditt mellannamn, bilens registreringsskylt, bostadsadress, hunden eller maktens namn, något av barnens namn eller mellannamn eller namnet på ditt favoritlag i valfri sport – är exempel på riktigt usla lösenord.
- Ha en lista, ett dokument med alla dina lösenord, lagrade i klartext
Det är faktiskt inte helt ovanligt att användare lagrar sina kontouppgifter i en enkel anteckning, ett word- eller pages-dokument – i klartext i datorn eller i telefonen. Stjäls din telefon och någon tar sig in i den så lär denne någon ha ”lilla julafton” med dina konton.
- Skicka inte lösenordsuppgifter via e-post
E-post är ungefär lika säkert som ett vykort. Det är läsbar information som passerar många system på vägen innan det når fram till mottagaren.
Slutligen – sunt förnuft kombinerat med en gnutta misstänksamhet är ett bra sätt gör att inte bli av med kontouppgifter. Klicka inte på länkar, logga inte in via en länk i e-post, exempelvis. Ingen seriös leverantör kräver att du ska klicka på något, logga in eller lämna dina kontouppgifter på nytt – vare sig det gäller en uppdatering av dina tjänster eller något annat.
Länkar
Guide: Så hanterar du tvåfaktor-inloggningar med inbyggda Keychain
Så här får du ordning på 2FA-inloggningar i alla dina enheter
0 kommentarer