Særlig træt af Twitters eksponering af kodeord? Så håndterer du nok it-sikkerhed forkert.

Illustration: Olivier Le Moal/Bigstock

Illustration: Olivier Le Moal/Bigstock

Twitter og GitHubs gemte kodeord i klartekst - det behøver ikke være et stort problem, hvis man anvender en kodeordshusker.

Forleden kom det frem, at både Twitter og GitHub, angiveligt utilsigtet, har lagret brugeres kodeord i klartekst i logs. Ifølge it-udvikler Poul-Henning Kamp gør mange andre organisationer noget tilsvarende. Sagen er en reminder om, hvorfor det er en dårlig idé at genbruge kodeord på tværs af tjenester.

»En tidligere strategi har været, at man bare varierede lidt fra website til website, det ved man også er en skidt praksis,« siger kodeords-specialist og CEO i it-sikkerhedsvirksomheden Improsec Jakob Heidelberg.

Forklaringen er, at en angriber kan have for let ved at gætte mønsteret i kodeordsvariationen, også selvom den er lidt mere kompliceret en giraf-eksemplet fra før, og dermed opnå adgang til andre tjenester.

Jakob Heidelberg er CEO i it-sikkerhedsvirksomheden ImproSec. Illustration: Privatfoto

Jakob Heidelberg er CEO i it-sikkerhedsvirksomheden ImproSec. Illustration: Privatfoto

»Den eneste løsning er at bruge password-managers af den ene og den anden art,« siger Heidelberg.

Passwords-managers eller kodeordshuskere er programmer, der kan holde styr på en masse forskellige login-oplysninger til diverse tjenester.

En anden pointe med en kodeordshusker, fortæller Jakob Heidelberg, er, at flere af dem gør det muligt at dele visse kodeord med eksempelvis sine familiemedlemmer.

Selv anvender Jakob Heidelberg dog ikke kodeordshuskere til det hele. Blandt andet fordi, han af sikkerhedshensyn ikke har lyst til at alle hans login-oplysninger skal sende via skyen, hvor brugeren ikke har kontrol med, hvad der sker med oplysningerne.

»Det er jo en risikovurdering, man må lave, afhængig af, hvad man virkelig står med - om man vil cloud-integrere eller holde databasen offline,« siger han.

Udover en kodeordshusker til det meste, men måske ikke til det hele, så påpeger Jakob Heidelberg, at det - naturligvis - en god idé at anvende 2-faktor-autentifikation alle de steder, det kan lade sig gøre.

Altså en autentifikationsløsning, hvor et brugernavn og et kodeord i sig selv ikke er nok til at opnå adgang til en tjeneste. Engangskoderne fra NemID's nøglekort er et eksempel på 2-faktor-autentifikation.

Udover brugen af kodeords-huskere og 2-faktor-autentifikation, så anbefaler Jakob Heidelberg at tilmelde sin mail-adresse nogle af de breach-tjenester, der findes på nettet. Det kan eksempelvis være BreachAlarm eller sikkerhedsmanden Troy Hunts 'Have I Been Pwned'.

Read the article here