Det var Abid Raja som skjulte seg inni NRKs nissedrakt, men verden er full av nisser. Er du en av dem? Ikke? Tja, vi får se på det. Det er en viss fare for at du kan føle deg avkledd, om du leser videre. Men ikke stopp! Det vil være verdt det. Etterpå kommer du til å gjøre noe smart.

I disse dager, hvor vi forsøker å balansere mellom effektiv julehandel og nye koronavirusvarianter, velger stadig flere av oss å gjøre julehandelen på internett. (Ingen ønsker vel omikron som julemiddagsgjest). Vi er på kort tid innom et stort antall nettbutikker for å handle gaver og bestille julemat og julepynt. I tillegg er det avgjørende å få dokumentert all denne julekosen på sosiale medier, hvor vi snør inne i stemningsfulle oppdateringer om julepyntede hus, lykkelige familiesamlinger og familiehunder utkledd som Rudolf. Med andre ord –vår digitale aktivitet intensiveres. Det meste av denne aktiviteten krever innlogging med brukernavn og passord, for å være helt sikker på at du faktisk er deg, og for at betalingsinformasjonen du oppgir skal bli tatt godt vare på. Muligheten for å bidra til å beskytte deg selv og dine data ligger derfor rett foran deg! Men i effektivitetens (og latskapens) navn forsøker vi å gjøre all denne tidkrevende innloggingen så enkel for oss selv som mulig. Ingen er vel interessert i hva jeg har handlet på Zalando uansett?

Hva er ditt favorittpassord?

Så vi gjenbruker våre enkle favorittpassord for å slippe å komme i den kjedelige situasjonen hvor vi må trykke «glemt passord». Juleinnkjop2020 oppgraderes til Juleinnkjop2021, Vinter2019 får holde et par år til, og Emilie21092001 går jo aldri ut på dato.

Er det ikke også slik at mye av julehandelen foregår i ledige stunder mellom digitale møter og andre jobbaktiviteter? På den bærbare pc-en, mens du er innlogget på jobbens interne nettverk via fjernaksessløsninger? Og du gjenbruker kanskje også de samme enkle passordene her? Eller?

I rapporten Risiko 2021 forklarer Nasjonal Sikkerhetsmyndighet (NSM) hvordan gjenbruk av passord mellom brukerkonti med ulikt tilgangsnivå eller gjenbruk av passord på private og jobbrelaterte konti, svekker virksomhetenes sikkerhet.

Microsoft har gjennomført en studie som viser at rundt 44 millioner brukere gjenbruker passordene fra og med 2020. I 2019 viste en studie at rundt 72 prosent av brukerne resirkulerte eller gjenbrukte passordene sine. 63 prosent av disse brukerne brukte nøyaktig samme passord for alle sine kontoer. (Les om studien på TechRadar: Millions of Microsoft users are reusing passwords | TechRadar)

Passordhumor

Komikeren Michael McIntyre harselerer med intens innlevelse i en Netflix-spesial om folks forhold til passord. Han mimrer om internettets liberale barndom, da det var fritt frem for oss å ha et passord med bare små bokstaver. Etter hvert som internettet ble mer populært, begynte virksomhetene der ute å legge føringer for passordene. Vi måtte ha minst én stor bokstav. Det ble som regel den første bokstaven i passordet vi allerede hadde. Så måtte vi ha tall, og alle plasserte et 1-tall etter det gamle passordet. Og når det etter hvert kom krav om minst ett spesialtegn, landet alles øyner på utropstegnet. Det passer fint til slutt, bak vårt kjære, trofaste passord. Hvordan kan det være så morsomt at salen bryter sammen i latter av en komikers passe unyanserte gjennomgang av passordhistorien? Fordi skremmende mange kjenner seg igjen i fortellingen.

Hackere har gjennom lang erfaring og analysering av våre passord-uvaner opparbeidet seg lister over våre 100, 1000 og kanskje 10 000 mest brukte passord. Disse passordlistene benyttes i målrettede og automatiserte angrep mot et stort antall virksomheter og privatpersoner samtidig – og kontinuerlig! Finnes ditt enkle passord på denne listen, er både du og muligens din arbeidsgiver et lett bytte for angriperne.

NCSC (Nasjonalt cybersikkerhetssenter) utførte en studie på villige organisasjoner for å teste hvor mottakelige de var for slike angrep. 75 prosent av organisasjonene hadde minst én konto, som brukte et av topp 1000-passordene. 87 prosent hadde minst én konto med et passord i topp 10 000.

Det svakeste leddet

NSM skriver at svake passord fremdeles er den letteste veien inn i virksomheters systemer. De rapporterer om utstrakte funn av korte passord som er lette å gjette, eller som lar seg knekke med automatiserte angrep. Som «Sommer2020» og «September2020». Jeg anbefaler å ta en kikk på NSMs tips for passord.

Microsoft uttaler at 99,9 prosent av alle identitetsrelaterte angrep kan stoppes ved bruk av tofaktorautentisering. Det betyr at man i tillegg til ordinært brukernavn og passord, benytter en ekstra «faktor», som bank-id eller SMS-kode på telefonen for å bevise sin identitet under påloggingen.

NSM anbefaler alle privatpersoner og virksomheter å innføre en slik ekstra autentisering der det er teknisk mulig.

Ligg unna lenka!

Vår uforsiktige og makelige uvane med å opprette og gjenbruke enkle passord, er ikke den eneste faren. Fremdeles blir vi urovekkende ofte forsøkt «fralurt» personlig informasjon, særlig påloggingsinformasjon og bank- og kontoinformasjon, fra angripere som utgir seg for å være noen som kunne ha vært en del av ditt nettverk.

På sosiale medier deler vi informasjon om hvem som er vår arbeidsgiver, hvor vi bor, hvem vi er i familie med, hvilket fotballag vi heier på eller hvilke organisasjoner og innsamlingsaksjoner vi donerer penger til. Alt dette er informasjon som kan brukes til å skreddersy et angrep nettopp mot deg. Vi hører stadig oftere om svindelforsøk hvor angriperne benytter eposter og SMS-er for å lure deg til å oppgi informasjon.

Telenor advarte nylig om et massivt svindelforsøk i forbindelse med at deres mobilkunder fikk en tekstmelding, der de ble bedt om å laste ned en applikasjon for å høre talebeskjeder. Hvis man lastet den ned, vil man få et virus på mobilen som gir kriminelle tilgang til å plukke opp brukernavn, passord, betalingsinformasjon, kontaktlisten din og andre personlige opplysninger som kan brukes til ytterligere svindelforsøk.

Også Oslo kommune måtte nylig advare mot falske SMS-er i forbindelse med 3 vaksinedose. I disse tekstmeldingene ble man bedt om å oppgi personnummer og navn. Ikke helt unaturlig i disse tider?

Og har du mottatt gunstige Black Friday-tilbud på epost, gjerne fra en kjent nettbutikk, og klikket på en lenke og bestilt varer? Du sjekket vel om nettsiden var den ekte?   

Kan du stole på IT-sjefen?

Angrepene blir stadig mer komplekse og vanskelige å oppdage for de fleste av oss. I det siste har det til og med dukket opp angrep hvor angriper utgir seg for å være IKT-avdelingen hos din arbeidsgiver. I en epost eller SMS ber de deg om å oppdatere ditt passord som et nødvendig tiltak etter en sikkerhetsoppdatering. Hadde du hatt samvittighet til å la være?

Ved å utgi seg for å være en troverdig avsender, er det større sannsynlighet for at vi lar oss lure til å åpne et vedlegg eller klikke på en lenke. Vanlige svindelmetoder og hva du kan gjøre for å oppdage og avverge dem, kan du blant annet lese mer om på Nettsvindel – Politiet.no.

Hvor ille kan det gå?

Men hackerne har da ingen interesse av meg? Eller den lille kommunen jeg jobber i? Spør Østre Toten! Der ble kommunen utsatt for datainnbrudd og krevd for løsepenger. De hadde ikke tilgang til sine egne datasystemer og saksarkiv, og store mengder dokumenter havnet på avveie. Innbruddet fikk både driften og økonomien til kommunen ned i knestående. Og Datatilsynet til å reagere.

I 90-tallsfilmene skjedde datainnbrudd ved at kriminelle først hadde brutt seg fysisk inn på arbeidsplassen, så fant de lappen med passord som lå skjult under tastaturet. Voilá! Så dumme er vi ikke lenger, tenker vi selvtilfreds. Vi gjemmer heller passordene våre i et notat på telefonen. Vel, da er det faktisk smartere å gjøre som idiotene i 90-tallsfilmene. (Ikke at jeg skal oppfordre til å legge lapp under tastaturet, altså!) For det er langt større fare for digitale innbrudd enn fysiske.

Føler du deg avkledd nå?

Om det er en trøst, du er ikke alene. Men det er et selskap du ikke vil være en del av.

I den landsdekkende undersøkelsen vi gjennomførte i november 2013 spurte vi om respondentene deler påloggingsinformasjon til sine personlige kontoer, for eksempel for å la andre foreta en betaling, eller å sende selvangivelsen for seg. Respondentene ble spurt om de frivillig har gitt ut påloggingsinformasjon som passord, pin-koder og kodekalkulator.

Trykk på bildet for å se grafen i full størrelse

Tre av fire sier at de ikke har gitt ut påloggingsinformasjon til andre. 13 prosent svarer imidlertid at de har delt denne typen informasjon. Det er mest vanlig å dele tilgangen til e-post og nettbank. Tallene viser at de 13 prosentene som deler innlogging med andre, gjerne deler innlogging til flere type tjenester.

De yngste deler i større grad påloggingsinfo med andre

Sorterer vi svarene fordelt på alder, ser vi signifikante forskjeller.

Trykk på bildet for å se grafen i full størrelse

De eldre er mer restriktive med å gi ut påloggingsinformasjon, enn den yngre delen av befolkningen. 82 prosent av de over 50 år har aldri gitt ut denne typen informasjon til andre, sammenlignet med 59 prosent i den yngste aldersgruppen. I samtlige kategorier, bortsett fra offentlige portaler, deler de yngste i større grad påloggingsinformasjon enn de eldre. Særlig i kategorien ”sosialt nettsamfunn” er det stor forskjell mellom yngre og eldre. Nesten 20 prosent i alderen 15-29 år har delt påloggingsinformasjon til sosiale nettsamfunn, mens snittet for den øvrige befolkningen ligger på rundt seks prosent.

Tallene sier ingenting om i hvilken grad de som gir ut påloggingsinfo til andre har opplevd personopplysninger på avveier eller misbruk av egne opplysninger. Det kan imidlertid være lurt å tenke seg om to ganger før man gir andre slike tilganger. Spesielt den yngste gruppen kan ha grunn til å trå varsomt siden mange deler innloggingsinfo til sosiale nettsamfunn. Nettsamfunnene inneholder mye sensitiv informasjon og kommunikasjon som kan sette kontoeieren i en sårbar situasjon hvis uvedkommende snoker eller misbruker kontoen – noe som ikke er helt uvanlig i følge ungdommene vi snakker med når vi er på skolebesøk.

Undersøkelsen er utført av Opinion Perduco i november 2013 via webpanel. 1501 respondenter i alderen 15 og oppover svarte på undersøkelsen.

Se alle tallene om bekymring og informasjonssikkerhet fra vår undersøkelse her. Ta gjerne også en kikk på våre tips for å lage gode passord.  

Ofte vil det være snakk om anonyme data som lagres lokalt på PCen. I så fall er ikke dette særlig forskjellig fra å bestemme et passord når vi setter utstyret for første gang. Jeg holdt et innlegg på konferansen og der peke jeg på flere ting vi må være svært oppmerksom på dersom slik teknologi tas i bruk. Først og fremst: hvem vi kan stole på? Kan vi være sikre på at de som har laget teknologien ikke misbruker den, selger opplysningene eller på annen måte bruker dem i strid med våre ønsker? Kan vi være sikre på at opplysningene ikke lagres? Kan vi være sikre på noe ikke forsøker å identifisere oss og finne ut hvem som står bak tastetrykkene, ganglaget eller stemmen?  Det er helt umulig for vanlige folk å forstå denne teknologien, så tillit er helt vesentlig. Søk på «fingerprint lock screen» på Google Play. Det er ikke sikkert man skal stole på alle som i framtida tilbyr denne typen tjenester.

Hva kan vi så vente oss framover. Vil det være nok å identifisere seg ved å si navnet sitt for å få tilgang til kontoopplysninger på kontofonen? Vil telefonen slutte å virke dersom en person med et annet ganglag enn mitt har telefonen min i lomma? Det er umulig å vite hva slags teknologi som slår an og hva som blir en flopp. Men hvis ikke biometri på en del områder vil erstatte vanlige passord og andre sikkerhetsforanstaltninger blir jeg overrasket. Uten å ivareta personvernet til brukerne har ikke slik teknologi noen framtid.