Særlig træt af Twitters eksponering af kodeord? Så håndterer du nok it-sikkerhed forkert.

 Illustration: Olivier Le Moal/Bigstock

Illustration: Olivier Le Moal/Bigstock

Twitter og GitHubs gemte kodeord i klartekst - det behøver ikke være et stort problem, hvis man anvender en kodeordshusker.

Jakob Møllerhøj@jmollerhoj Onsdag, 9. maj 2018 - 14:40

 

Forleden kom det frem, at både Twitter og GitHub, angiveligt utilsigtet, har lagret brugeres kodeord i klartekst i logs. Ifølge it-udvikler Poul-Henning Kamp gør mange andre organisationer noget tilsvarende. Sagen er en reminder om, hvorfor det er en dårlig idé at genbruge kodeord på tværs af tjenester.

Genanvendelse af kodeord kan ellers virke besnærende, fordi det det kan være svært at huske mange forskellige login-oplysninger. Men genbrug af kodeord betyder også, at en kompromittering hos en tjeneste kan give uvedkommende adgang til andre tjenester.

For at komme udover den situation anvender nogle mennesker varianter af det samme kodeord, hvor eksempelvis en del af den pågældende tjenestes url bliver koblet på. Så kodeordet 'giraf' bliver til 'giraftwitter'. Altså et unikt kodeord, der er til at huske, men det er ikke nødvendigvis smart.

»En tidligere strategi har været, at man bare varierede lidt fra website til website, det ved man også er en skidt praksis,« siger kodeords-specialist og CEO i it-sikkerhedsvirksomheden Improsec Jakob Heidelberg.

Forklaringen er, at en angriber kan have for let ved at gætte mønsteret i kodeordsvariationen, også selvom den er lidt mere kompliceret en giraf-eksemplet fra før, og dermed opnå adgang til andre tjenester.

 Jakob Heidelberg er CEO i it-sikkerhedsvirksomheden ImproSec. Illustration: Privatfoto

Jakob Heidelberg er CEO i it-sikkerhedsvirksomheden ImproSec. Illustration: Privatfoto

Brug password-managers

»Den eneste løsning er at bruge password-managers af den ene og den anden art,« siger Heidelberg.

Passwords-managers eller kodeordshuskere er programmer, der kan holde styr på en masse forskellige login-oplysninger til diverse tjenester.

Ofte kan disse programmer generere lange og mere eller mindre tilfældige tekst-strenge, som kan anvendes som kodeord til tjenester som Facebook, Twitter og LinkedIN.

Kodeordshuskerne fås ofte som plugin til forskellige browsere og kan auto-udfylde feltet på kodeord på den pågældende tjeneste.

Brugeren behøver altså ikke gå rundt og huske på kodeordet eller anstrenge sig med at taste den lange streng rigtigt ind.

En anden pointe med en kodeordshusker, fortæller Jakob Heidelberg, er, at flere af dem gør det muligt at dele visse kodeord med eksempelvis sine familiemedlemmer.

På den måde er der en mekanisme, så familien kan få adgang til relevante konti i tilfælde af dødsfald.

 

Ikke kodeordshusker til det hele

Kodeordshuskere kan ofte også synkronisere via skyen, så de lange tekst-strenge både kan anvendes fra mobiltelefonen, laptoppen og desktoppen.

Selv anvender Jakob Heidelberg dog ikke kodeordshuskere til det hele. Blandt andet fordi, han af sikkerhedshensyn ikke har lyst til at alle hans login-oplysninger skal sende via skyen, hvor brugeren ikke har kontrol med, hvad der sker med oplysningerne.

»Det er jo en risikovurdering, man må lave, afhængig af, hvad man virkelig står med - om man vil cloud-integrere eller holde databasen offline,« siger han.

Jakob Heidelberg har fem-seks kodeord, som ikke har andre steder end i hovedet. Blandt andet til NemID, og det han kalder sine primære sociale medieprofiler. Derudover er der kodeordet, der låser op for kodeordshuskeren, som det er en god idé at passe godt på.

Endeligt er der en særlig tjeneste, hvor login også bør beskyttes omhyggeligt: Mail.

Som regel er det nemlig muligt at nulstille kodeordet til diverse andre tjenester via mail. Får uvedkommende adgang til et offers mail, så kan de i udgangspunktet også få adgang til diverse andre tjenester. Så pas særlig godt på mail-login'et.

 

2-faktor og et heads up

Udover en kodeordshusker til det meste, men måske ikke til det hele, så påpeger Jakob Heidelberg, at det - naturligvis - en god idé at anvende 2-faktor-autentifikation alle de steder, det kan lade sig gøre.

Altså en autentifikationsløsning, hvor et brugernavn og et kodeord i sig selv ikke er nok til at opnå adgang til en tjeneste. Engangskoderne fra NemID's nøglekort er et eksempel på 2-faktor-autentifikation.

Flere tjenester har implementeret en løsning, hvor brugeren får tilsendt en engangskode i en app, på sms eller på mail i forbindelse med login. Det er i udgangspunktet lidt mindre sikkert end løsningen med et pap-nøglekort, da kortet er fysisk adskilt fra den elektroniske enhed, der jo kan hackes.

Men uanset om engangskoden kommer via en app, mail eller sms, så er det en betydelig forbedring af autentifikations-sikkerheden sammenlignet med login alene ved brugernavn og adgangskode.

Udover brugen af kodeords-huskere og 2-faktor-autentifikation, så anbefaler Jakob Heidelberg at tilmelde sin mail-adresse nogle af de breach-tjenester, der findes på nettet. Det kan eksempelvis være BreachAlarm eller sikkerhedsmanden Troy Hunts 'Have I Been Pwned'.

Hvis ens loginoplysninger så dukker op i et datalæk, som tjenester som førnævnte får kendskab til, så modtager man automatisk en mail om, at den er gal. Og så er tanken, man kan reagere ved at nulstille sin konto, skifte kodeord relevante steder og så fremdeles.

Og før eller siden havner de fleste kodeord brugt i cloud-sammenhæng i et datalæk, mener Jakob Heidelberg.

»Det skulle ikke undre mig, om der er 2-3 større tjenester derude, som er kompromitteret, og som enten ikke har sagt det eller ikke ved det,« siger han og tilføjer:

»Mit udgangspunkt i forhold til cloud-tjenester er, at på et eller andet tidspunkt, så bliver de kompromitterede, og så er data potentielt tilgængelige for enhver. Og derfor vil jeg ikke have alt liggende der, slet ikke i ukrypteret form, kun det jeg kan tåle at miste«.

Har Version2’s læsere flere idéer til, hvordan brugere nemt og sikkert kan logge ind i virvaret af on- og offline løsninger, så hører vi hellere end gerne om det i debatten herunder.