Nätattacken mot Bloggtoppen.se visar riskerna med fasta lösenord

Tisdagens dataintrång mot Bloggtoppen.se var allvarligare än befarat. Lösenord från ytterligare 57 sajter har läckt ut på internet och antalet hackade konton uppgår nu till nästan 180 000. Detta belyser än en gång hur riskabelt det är när fasta lösenord kombineras med bristfällig hantering hos tjänsteleverantören, menar Johan Henrikson, vd på Verisec.

”Hacket i sig är varken spektakulärt eller nytänkande utan illustrerar snarare sårbarheten hos den flora av sajter och tjänster som till vardags används av politiker, journalister och gemene man. En databas med lösenord och användarnamn är till sin natur känslig, och både rutiner, processer och skyddsmekanismer bör därför dimensioneras därefter. Eftersom användare har flera lösenord att hantera är det vanligt att återanvända dem i olika sammanhang, vilket gör situationen ännu mer känslig, det räcker med att en enskild sajt hackas för att skapa stor sårbarhet. Särskilt problematiskt blir det om man använder samma lösenord både privat och på jobbet. Därtill kan vissa sajter, exempelvis de som tillhandahåller e-posttjänster, också användas för att förnya och låsa upp lösenord till andra sajter. Detta resulterar i ett s.k. ´Security ecosystem´, ett komplext nätverk av beroenden som hackare kan utnyttja som hävstång för att utöka effekten av ett intrång”, säger han och fortsätter:

”Även om vi följer de regler och uppmaningar som finns kring fasta lösenord (blandning av siffror, stora och små bokstäver etc.) så är vi inte helt skyddade. Till stor del handlar det snarare om en illusion av säkerhet. Säkerheten hos fasta lösenord mäts i något som kallas ´entropi´, eller slumpmässighet, om man så vill. De flesta fasta lösenord är för korta eller förutsägbara för att vara effektiva, trots att man blandar siffror och stora bokstäver. Följer man vissa rekommendationer, blir lösenorden därtill ofta svåra att komma ihåg. Ska man använda ett fast lösenord bör man istället välja 3-4 slumpmässiga ord som bildar en enkel enhet som är enkel att komma ihåg, t.ex. ´blåelefantritarlåda´. Ju längre enhet, desto mer entropi.

Men oavsett om du har ett starkt lösenord så räcker det inte som skydd om säkerheten på själva sajten är dålig. Detta går inte att komma runt. Därtill måste användaren få information så fort som möjligt när ett intrång inträffar, vilket sällan sker. Och ju längre tid som går, desto större risk för användaren. Konsekvenserna av just det här intrånget har vi ännu inte sett vidden av, men att hackarens motiv skulle ha varit att lyfta fram sårbarheter, som hävdats, är inte särskilt trovärdigt. Man behöver inte kasta sten i vartenda butiksfönster för att konstatera att glas är bräckligt. Sådana här aktioner åstadkommer inte annat än stor skada för individen både när det gäller tid, irritation och förlust av information som hamnar på irrvägar. En stark rekommendation till allmänheten är att snabbt byta lösenord om man tror sig ha varit inne på någon av de drabbade sajterna (en lista över dessa hittar du här: http://www.aftonbladet.se/nyheter/article13838087.ab)”.

För ytterligare information, vänligen kontakta:

Johan Henrikson, vd

Verisec AB

08-723 09 00

johan.henrikson@verisec.com