Har du sjekket epost-adressen din i det siste?
Jeg fikk en epost fra Troy Hunt sin tjeneste Have I been pwned her om dagen. Min epostadresse har blitt funnet i en datalekkasje kalt «Collection #1», sammen med 770 millioner andre epost-adresser. Ja, du leste riktig. Millioner. Og hva er så løsningen på dette problemet? Her har du noen råd.
Leif Jantzen, seniorkonsulent
Troy er en internasjonalt anerkjent ekspert på internettsikkerhet. Han følger med på de litt mer lyssky stedene på nettet, og vedlikeholder en database med epost-adresser som har blitt lekket eller stjålet fra store og små nettsteder.
Haveibeenpwned inneholder i skrivende stund 6 474 028 664 kontoer. La det synke inn. Nesten 6.5 milliarder kontoer har blitt lekket. Og det er bare de som Troy vet om. Sjansen for at akkurat din epost-adresse finnes i hans database er ganske stor. Og om den ikke er der, så er den kanskje lekket likevel.
Om Troy har din epostadresse i sin database, kan du enkelt sjekke. Skriv inn epostadressen din i feltet på forsiden, og trykk på knappen ‘pwnd?’.Dukker det opp noen lekkasjer du har vært en del av? Velkommen i klubben. Mine 3 eposter og tilhørende passord har blitt lekket tilsammen 11 ganger. Minst.
Er du en av de som bruker samme passord stort sett alle steder? Da har jeg et råd til deg: Det må du slutte med. Det er rett og slett ikke sikkert lenger. Grunnen til det er skjult i begrepet ‘credential stuffing’. Skurkene bruker de samme listene som Troy, og tenker at det passordet som funket i LinkedIn (som mistet 164 millioner kontoer i 2016, deriblant min) fungerer kanskje på gmail også? Så selv om gmail eller Spotify ikke har sikkerhetshull, kan skurkene komme seg inn med passordet du brukte på LinkedIn.
Er passordet ditt «sommerfugl1» på en nettside, koster det ikke mye å prøve ‘sommerfugl2’ på en annen. Og du må ikke tro at det er en eller annen ‘hacker’ som sitter og trykker inn disse passordene manuelt. Det er det ikke. Alt dette er automatisert og lynkjapt.
Hva er så løsningen på dette for deg og meg? Her er noen råd:
- Slutt å bruke samme passord over alt.
- Har du brukt samme passord over alt og over lengre tid, er det på tide å bytte.
- Bruk unike passord på de forskjellige tjenestene når du bytter ut passordet (Se 1)
- Bruk passord som er 12-20 tegn lange, og som ikke er ord som finnes i noen ordbok. (Men dette blir jo umulig å holde rede på, tenker du kanskje? Nei, det er ikke det. Hvis jeg greier det, greier du det også.)
- Skaff deg en passord manager. Enten en low-tech notatbok, eller spesialprogramvare.
Populære passordmanagere er 1Password, Lastpass og Bitwarden. Selv har jeg brukt Lastpass i lengre tid. Felles for disse er at de husker passordene for deg. Og fyller de inn automatisk når du trenger det. Trenger du et nytt passord til et nytt nettsted eller app, kan manageren generere dette for deg. Alt du trenger å huske, er master-passordet til passord-manageren din. Siden det beskytter de andre passordene, bør dette være noe som er langt, vanskelig å gjette, men samtidig mulig å huske.
Min strategi her er å lage en passord-frase. En setning med 3-6 ord som betyr noe du kan huske, men som ikke kan googles eller gjettes. F.eks et kallenavn på en fjern slektning pluss noen ord fra en sangstrofe. Til sammen bør passord-frasen være 12-20 tegn lang, og gjerne inneholde spesialtegn.
Hvis du spør meg hva mitt gmail-passord er, kan jeg med hånden på hjertet svare at «Det aner jeg ikke». Men jeg vet at det er langt, umulig å uttale, og enda vanskeligere å gjette. Og sist men ikke minst: Det virker hos Google, og bare der.