Insecure in Security – ”Utmaningen med att hålla lösenord säkra”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på McAfee, en del av Intel Security, i Sverige.

Veckans sammandrag handlar om lösenordshantering.

Utmaningen med att hålla lösenord säkra
För några år sedan använde de flesta bara en mailadress och ett socialt medium men det har ändrats. Vi har en uppsättning av mailkonton och ett socialt medium för varje funktion. Vi handlar  även mer än någonsin på internet och självklart behöver vi även använda någon kostnadsfri molntjänst för att synka bilder och dokument. Jag vågar påstå att vi idag använder fler webtjänster än någonsin och desto fler webtjänster – desto fler lösenord.

Lösenord har alltid varit och kommer alltid vara säkerhetspersoners huvudvärk och det har bara blivit värre med tiden – antagligen för att mängden lösenord har blivit så många. Populära lösenord är fortfarande ”123456”, ”password” och den mer uppfinningsrika ”passw0rd”.

Utifrån den klassiska ’supply and demand’ tanken så skapades lösenordshanterare som kan lagra alla dina lösenord säkert. Helt plötsligt kan alla använda de mest komplicerade lösenorden på alla olika webbtjänster och samtidigt bara behöva komma ihåg ett lösenord.

Det finns självklart uppenbara säkerhetsrisker med att samla alla lösenord på ett och samma ställe och just detta uppmärksammade Ars Technica. En forskningsrapport från University of California visade att några av de största lösenordshanterarna på marknaden har allvarliga säkerhetsbrister. Forskarna hade granskat LastPass, PasswordBox, RoboForm, My1login och NeedMyPassword och samtliga hade svagheter som antingen gav forskarna lösenord i klartext eller krypterade lösenord. Den mest allvarliga säkerhetsbristen hittades i LastPass där ett fel i bookmarklet-funktionen gjorde det möjligt för skadlig kod på en webbsida att hämta samtliga lösenord som lagrats i LastPass.

Samtliga lösenordshanterar, förutom NeedMyPassword, har idag åtgärdat svagheterna i deras applikationer. Ars rekommenderar fortfarande att man använder lösenordshanterare och jag kan inte annat än att hålla med. Det viktigaste är att använda någon av de mest etablerade leverantörerna och det skadar inte om en tredjepart har testat lösningen för säkerhetsbrister. Det är förståeligt att lösenordshanterare är lockande måltavlor för hackare då man kan få fram alla lösenord på en gång. Det är dock viktigt att förstå att det fortfarande är mycket säkrare än att använda ett och samma lösenord på flera webbsidor.

Jag använder själv en lösenordshanterare på min Mac som heter 1password som utöver lösenord även kan lagra kreditkortsuppgifter, mjukvarunycklar och mer. Men på grund av säkerhetsskäl att lagra allt på en plats så föredrar jag lösenordshanterare som inte är molnbaserade utan kan lagras lokalt. Jag lagrar uppgifterna på en krypterad USB-enhet.

Utöver lösenordshanterare så förespråkar jag att man använder tvåstegs-autentisering där det är möjligt. Tyvärr är det inte så många platser som idag använder funktionen och det är inte så mycket du som användare kan göra om inte webbplatsen har ett stöd för det. Det jag däremot ber dig att undvika, hur bekvämt det än är för minnet att memorera, är alla uppenbara lösenord som ”password” och liknande. Så gör lite hjärngympa och var kreativ i ditt val av lösenord.