Hur blir du datorsäker?

Det blir allt tydligare att regeringen inte har några som helst skrupler att fortsätta öka avlyssnandet tills man når, eller passerar(?), nivåerna i forna DDR. Jag tycker det är rätt olustigt, för att uttrycka det milt, för även om jag kanske egentligen inte har något att dölja så är jag inte heller speciellt exhibitionistisk av mig. Jag föredrar att få vara i fred och tror att denna tendens att övervaka folket kommer leda till fler brott, inte färre. Det är också bevisat till leda att all form av insamlad information läcker och det enda som hjälper mot informationsläckor är att inte samla in informationen till att börja med.

Det näst bästa är att se till att även om informationen läcker så bör den vara så oanvändbar som möjligt och det enklaste sättet att göra det är att se till att man håller sina datorer uppsäkrade (så man undviker trojaner och spyware) och genom att se till att så mycket som möjligt av den information man anser vara privat är nödvändigt krypterad. När du kommunicerar med din bank sker det alltid via https och starka krypton, jag tycker faktiskt inte det är mer än rätt att vi även skyddar vårat privatliv på samma sätt.

Jag tycker datorsäkerhet är intressant. Inte intressant som att jag har snöat in på det totalt och försöker bli expert på det, men jag har en hälsosam relation till det och försöker att hålla datorer och lösenord så säkra att de ska agera ett litet större hinder än bara ett litet fartgupp rakt in på mina hårddiskar. Alla system kan förstås alltid bli säkrare och för militära organisationer finns det ofta incitament att dra saker och ting till sin spets, men det är att ta i för privat bruk.

Min erfarenhet, både privat och från att haft säkerhetsansvar i mitt jobb, är att den svagaste länken i princip alltid är användaren, dels hur användaren beter sig och dels vilka lösenord man väljer. Jag tänker inte diskutera farliga beteenden i den här postningen (men läs gärna tex den här artikeln) utan enbart skriva om vettig lösenordhantering.

Just vad gäller lösenord har det kommit många bra råd genom tiderna, men ofta hänger råden med för länge och passerar sitt bäst före-datum. Klassiska råd brukar vara saker som:

  • Använd inte namnet på någon person i familjen
  • Använd inte namnen på husdjuren
  • Använd inte ord som kan hittas i ordböcker

Osv. Ofta föreslog man i stället att man skulle göra lösenord som tex:

  • Använder första (eller andra) bokstaven från varje ord i en mening
  • Blandar siffror och små/stora bokstäver
  • Använder specialtecken

Skitbra råd. För 10-20 år sen. FULLSTÄNDIGT värdelösa, på gränsen till farliga, råd idag!

Så kallade dictionary attacks är idag old school och ofta är det lättare att helt enkelt knäcka korta lösenord med brute force. Dvs, enkelt förklarat, man testar med ”a”, ”b”, ”c”, ”d” osv, sen med ”aa”, ”ab”, ”ac” osv, vidare till ”ba”, ”bb”, ”bc” osv. Man hamrar på tills man tar sig in. Vanligtvis brukar algoritmerna vara lite smartare än så och börjar ofta med populära lösenord först för att öka oddsen, men det handlar fortfarande om att hamra på tills man lyckas i stället för att försöka gissa sig fram.

Så, katastrofala lösenord för 10 år sen var saker som:

  • Majken (min mormors namn)
  • Kenzo (en av våra hundar)
  • Volvo (om man kör en sån)

Hade man minsta lilla koll på en persons privatliv kunde man ofta testa sig fram med såna ord och skrämmande ofta var det framgångsrikt. Just detta fick säkerhetsexperter att föreslå att man skulle blanda små och stora bokstäver, siffror och specialtecken så tex Kenzo blev k3Nso. På den tiden attackerna ofta utfördes av människor eller väldigt enkla algoritmer som baserade sina försök på ordlistor var det väldigt effektivt, idag betyder det att tiden det tar att knäcka lösenordet ökar från nån sekund till sekunder. Knappast mycket att hurra för.

Så hur skriver man ett bra lösenord idag? Det finns bara en sak som rår på brute force och det är längd. Ju längre lösenord eller lösenfraser man tar till, dess fler bittar blir det att få rätt och tiden det tar att knäcka ett lösenord ökar exponentiellt. Som ren bonus blir lösenorden också ofta lättare att komma ihåg, väl så viktigt.

Om vi börjar enkelt och väljer ett slumpmässigt ord och bygger vidare på det så kommer ni förstå hur det funkar:

  • Barbie: ”Your password is very commonly used. It would be cracked almost instantly.”
  • b4rbi3: 8 sekunder
  • Barbie med: 412 år
  • b4rbi3 m3d: 32 år
  • Barbie med en: 147 000 000 år
  • b4rbi3 m3d_en: 122 000 000 år
  • Barbie med en smurf: 18 000 000 000 000 000 000 år.
  • b4rbi3 m3d_en sMurF: 5 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 år

Som ni kan se så är det inte säkert att obfuskering faktiskt alltid är bättre, men däremot är längd alltid en vinnare. Även om det är fullt vanliga ord så gör längden att det blir väldigt svårt att brute force-knäcka meningen och om man kombinerar det med en lite småknasig mening och lite inslängda ”konstiga tecken” så gör man även dictionary attacks svåra att genomföra. Det kan räcka med att byta ut enstaka tecken i vissa ord mot siffror så skyddar man sig oerhört effektivt mot attacker, men primärt är, som sagt, längd.

Den gamla tumregeln att 8 tecken är en bra längd stämmer inte med verkligheten längre! 8 tecken är en piss i havet och en modern dator knäcker ett valfritt sånt lösen på, i bästa fall, några timmar. Ett datorkluster behöver förmodligen bara några minuter eller sekunder för att knäcka det. Jag skulle vilja påstå att idag är 12 tecken minimum och 16 (eller mer) är att rekommendera.

Om du känner att du saknar fantasi för att komma på ett lösenord som inte är väldigt typiskt ”du” (och därmed lättgissat av folk som känner dig) kan du alltid utnyttja en av de tjänster som finns på nätet att slumpmässigt generera någonting som förhoppningsvis är relativt lätt att komma ihǻg. När jag tex bad den siten att generera ett slumpmässigt lösenord så fick jag tillbaka ”Coexist Beluga”, vilket bedömdes att hålla ungefär 10 000 000 000 år om en av dagens skrivbordsdatorer fick i uppgift att knäcka det. Det innebär förstås att även om man dedikerar ett enormt datorkluster så är uppgiften orimlig att lösa inom vår livstid och det är ganska rimligt att anta att säkerheten kommer vara så pass bra att när lösenordet väl kan knäckas så är det ointressant att göra det.

Fast man behöver förstås inte överdriva heller. Välj lösenord som är lätta (men långa) att komma ihåg och som ändå ger så många nollor i den uppskattade tiden det tar att knäcka dem att uppgiften blir lagom orimlig. Målet bör inte vara att göra det omöjligt att komma åt datat utan att det ska vara så svårt och omständigt att knäcka det att det är lättare att gå på dig som person i stället, dvs så du får veta att säkerheten är komprometterad och tex kan skrota dina gamla nycklar och lösenord och byta dem mot nya. Användaren är alltid en svag länk och vettig datorsäkerhet handlar mer om att se till att övriga länkar alltid är starkare. Att göra tex lösenorden oändligt starka är bortkastat så länge som man fortfarande är beroende av den säkerhetsmässigt svaga användaren.

Att veta när säkerheten är knäckt är minst lika viktigt som att investera i säkerhet till att börja med. Att tro att ett system är säkert utan att vara medveten om att tex ett lösenord är knäckt, eller kan knäckas utan större besvär, är en farligare osäkerhet än att inte ha någon säkerhet alls!

15 Responses to Hur blir du datorsäker?

  1. Per "wertigon" Ekström skriver:

    En annan sak jag tycker är jätteviktig, är att vi måste bli mindre beroende av lösenord för autentiering. OpenID är på rätt spår där, men i mitt tycke har OpenID för många flaws (som ex. dess blinda förtroende för DNS-systemet som öppnar upp för man-in-the-middle attacker) för att bli riktigt stort. Dock tror jag mer på dess uppföljare, när den nu kommer…

    • qeruiem skriver:

      Ja. Det är dock en mycket mer komplicerad fix än att ”bara” börja använda vettigare lösenord. Jag kör tex med en fysisk krypteringsdosa när jag kopplar upp mig mot banken eller skatteverket, det känns mycket tryggare än lösenord som ändå kan keysniffas.

      Men som sagt, bra lösenord vore ett väldigt bra första steg…

  2. Björn Felten skriver:

    Mycket bra tips!

    För oss svenskar borde det dessutom vara självklart att använda svenska ord, med så många svenska tecken (å, ä, ö m.fl.) som möjligt. Plus slang och fula ord — dessa brukar dessutom vara lättare att minnas, av någon anledning. :)

    • qeruiem skriver:

      Om man kör Linux kan det dock ligga en liten gotcha i det, i alla fall om man, som jag, fortfarande har kvar maskiner som fortfarande kör latin1 i stället för utf-8. Då kan just åäö bli väääldigt konstigt…

  3. Christer skriver:

    Bra med lite folkbildning!

    Ett annat vanligt säkerhetsproblem är att de som ansvarar för säkerheten förstår lite grann om hur datorer fungerar, men inget om hur människor fungerar.

    Om man t.ex. kräver att folk ska byta lösenord en gång i månaden, gärna i kombination med ett påẗvingande av de där idiotiska reglerna du gav exempel på, så är det inte bara så att bytet i sig är fullkomligt meningslöst, utan man försäkrar sig nästan om att folk inte bara har dåliga lösenord, utan att några som försöker lite extra mycket att ha ett ”bra” lösenord, skriver upp lösenordet på en lapp som sedan ligger i anslutning till arbetsplatsen.

    Eftersom de flesta fall av industrispionage sker med hjälp av folk på insidan, är denna policy sammantaget en garant för usel säkerhet.

    Dessutom: skapar man ett säkerhetsarrangemang som gör tillvaron för svår för folk, hittar folk ett sätt att ta sig runt det och använder sig av det, och då har man sannolikt fått sämre säkerhet än man haft om man struntat i det specifika säkerhetsarrangemanget till att börja med.

    Som avrundning, tes 41:

    Companies make a religion of security, but this is largely a red herring. Most are protecting less against competitors than against their own market and workforce.

    (Från http://www.cluetrain.com/book/95-theses.html)

  4. Nils Tenmann skriver:

    Suger tacksamt i mig denna för min del utmärkt fattbara info… jag har nog sagt det här förr, jag skyller min dyslexi på svårigheterna med att omvandla de bruksanvisningar som finns att ta till här i burken… men det har nog lite att göra med, att man har ett göromål gåendes som man vill expediera och därför inte vill ta en omväg i stunden, ”nja det där tar jag itu med sedan” och så blir det inte av… ja, i så måtto träffade ”lösenords”-infot mig precis på den fattningsförmåga jag befinner mig på ( med parantes då, för anglesismerna, förståss)

    Dock, ett tekniskt frågetecken: Jag och bror brukar en och samma dator, med delad användar- signatur… mitt säkerhets tänk är skralt därför att jag inte har stålar på konton och inte beställer böcker på annat vis än över faktura. För brorsans del är det annorlunda, dvs pengar på bank osv

    Berörs bror av min slappa säkerhet och berörs fb-vännerna av den?

    • qeruiem skriver:

      Oj! Det är jättesvårt att säga bara sådär.

      Om din bror tex har en fysisk bankdosa som denne använder för att logga in på banken etc med så vill jag påstå att risken är väldigt liten men om du tex ”råkar” få in en trojan eller andra elakheter genom att du surfar vitt och brett så kan det förstås påverka alla som använder datorn. Speciellt om tex loginmagin för banken mm bara är mjukvara som finns på datorn utan att kräva en extern dosa. Jag gillar fysiska externa koddosor, det höjer säkerheten rejält.

      Virusskydd är bra skit. Jag är ingen expert på Windows (jag föredrar Linux eftersom jag jobbar med det väldigt mycket) men det påstås att AVG är bra så det är vad jag brukar säga åt folk att skaffa om de inte har nåt alls. De har tyvärr ingen svensk sida.

      http://free.avg.com/ww-en/homepage

      De är lite luriga bara för de försöker hela tiden styra iväg dig från gratisvarianten till trialversionen som gäller i 30 dagar, sen kostar den pengar. Iofs är det inte dyrt och den icke-fria versionen är bättre om man nu inte har lust att betala en liten slant.

      En annan bra sak är Panda Security.

      http://www.pandasecurity.com/sweden/

      De kör tricket att du får köra koden som undersöker om du har elakheter på datorn gratis, men om de hittar nåt och du vill ha bort det kostar det pengar. Fast det är bra skit, morsan körde det och den hittade sisådär 45 otäckingar på hennes dator (fast alla utom en var mest bara irriterande saker och ingen säkerhetsfara) så hon betalade vad det kostar och nu, när datorn är nystädad, så går det tex mycket snabbare att surfa igen så vad det nu var som låg och skräpade så tog det en del kraft ur datorn helt klart.

      Andra som kan Windows bättre än jag får gärna fylla i detaljerna. Jag kör så lite Windows som jag kommer undan med. ;)

      • ingvar skriver:

        Vi har ju clamav också

      • Nils Tenmann skriver:

        Suger fortsatt i mig så gott jag hajar. Tack väldigt mycket för uppmärksamheten. Får samspråka med brorsan om detta, han har vänligheten och fiolerna att stå för allt extra i min tillvaro, även om allt blir lite knapert relativt sätt.

        Men vad är clamav ? nudå mitt i upp i alltihopa? Och bludderomhuller har ju 12 tecken mellan ramen liksom ”hulloerbmuller”… är det logikens rambetingelser, antalet tecken nu? ja inte just 12 menat? men mängden… undrar jag trögt.

        • qeruiem skriver:

          Clamav står för Clam Anti Virus och det hittar du här:

          http://www.clamav.net/lang/en/

          Tyvärr ingen svensk sida där heller. Jag har ingen koll på hur clamav funkar eller om det är bättre eller sämre än AVG, men jag har inte hört nåt katastrofalt om det (eller AVG) dock.

          Det enda jag aktivt avråder från nuförtiden är Norman. Det är en hemsk mjukvara vars främsta bedrift är att sega ner datorn tills man har lust att slänga ut den genom fönstret och jag har hört ganska osmickrande saker om dess skydd med…

          Men, som sagt, rent generellt har jag dålig koll. :)

          • Nils Tenmann skriver:

            Tack. Engelskan är i detta sammanhang inge problem eftersom bror inte har några svårigheter med det. Annars är det ju synd att Norman avrådes en halv norrman, men de får da ikke hjelpe de da, san’… Ja som du ser stack jag in ett och annat mellan, ett utkast av funderingar… si så där. Säg nu inte, ”ä dä tacken dä!” om där var lite ”onda tår”. Betala med samma mynt i så fall!

            Jag går och tar mig ett varmt och hett bad om öronen.

  5. steelneck skriver:

    Den här koemmtnraen är en konmmtear som alla botar hos osäkrehesttjäsnter ovklliorligen går bet på, men som en mäsnnika bergpier hur lätt som helst. Samma logik som detta är skvriet med torde också funegra uträmkt även för lönsoerd, allstå att för en mänsinka så räkcer det med att de två första och sista boskvätrena är rätt plecarade, de andra kan pleacras hulloerbmuller.

  6. Nils Tenmann skriver:

    Glömde en ideologisk aspekt. Tolka mig inte som dogmatisk utan bara som en presentation av min aktuella attityd.

    Som jag sade till förklaring av ”slappheten”; de få egendomar av materiella ting jag har och sätter värde på kommer någon annan fattig intressent bara över genom ett sedvanligt inbrott i lgh. eller vårt källarförråd. Böcker och hantverksredskap rör det sig om och de ger inte så mycket braj, coks eller fixar i utbyte… så va fan, take it or leave it… snart är man ju jordgubbe i alla fall,tänker jag, Bror har skäl att tänka lite annorlunda och beter sig därefter, vilket jag får respektera, helt enkelt

    Men min mest värdefulla egendom är allmänn, dvs språkförmågan. Värdeekvivalenten, ”orden”, är även de allmänna ägodelar som både verktyg & arbetstoff… men den fria tillgången till yttringar av min mening om det hela, råder det delade meningar om och penningekvivalent olika anspråk på … som bekant,.. står det strid om detta frirum i detta språkrör.

    Eftersom den här frilagda logiken är ett språkbruks beskrivning och språkbruk gärna vill vara logiskt hellre än ologiskt, fast det ofta visar sig bli paradoxalt genom ”den andres” intryck och uttryckta reaktion, vilket väl är poängen med att samtala, dvs genom missförstånd och en känsla av förståelse, trots allt finna vägen till en överensstämmelse…
    …eftersom det sagda, följer såhär; min preliminära attityd till begreppet ”personlig integritet”, först och främst: att peta kråkor ur näsan, klia mig i skrevet eller röven och utöva sexualitet i fred eller samlag – sådant vill jag inte att ”tittare” ska se, utan att jag vet om att någon ser…
    … Jag gillar inte solglasögda eller burkaförsedda personer av just det och bara det skälet i ett mötes första blick… Senare, efter en eventuell närmare presentation, blir det som det kan bli person till person – ty man vänjer sig, vid varandra personligt eller opersonligt, beroende på så mycket annat än hur man ser ut.
    Det inser man i sinom tid och i olika sammanhang, att vi ser i många fall på varandra i smyg utan att vara särskilt medvetna om det. Är vi medvetna om det och ogillar läget går vi undan, annars gillar vi läget och uppträder där efter.

    Jag är ovan kameror, ler ogärna framför en sådan och mår djävligt dåligt av att TÄNKA PÅ alla möjliga och omöjliga kameror som inte syns, ”men som KAN vara där”, och alla de kameror som syns men ändå ”glömms” – ty jag vänjer mig.

    I slutet av 70-talet mötte jag det psykologiska snacket om den, ”jag-svage”, ”narcissitiska” personlighetstypen som en anormalitet och ”punk”-gestalten som samhällets nya, normalt narcissistiska, ”socialisationstyp”.
    Strax därpå satt folk för öppen ridå´ på Wayne’s café och Big Brotheriserade sig på TV-3 – ty vi vänjer oss i praktiken… Plötsligt är alla så djävla hederliga och har inget att dölja… samtidigt… ve den politiker som har lik i sin garderob… följden blir… att representationens herrar och damer allt mindre passar för en offentlig presentation.

    Samtidigt som utrymmet för personernas privata sfär vidgas i det offentliga rummet krymper den personliga integriteten och det unikas uttryck i personligheterna. Givna de-fini-tioner löses upp i och med precisionens precisering av begreppets begrepp.

    ”Allt fast förflyktigas”; Viktualiebror håller sig fast i ”myntet” och piraterna binder sig fast i hemlikt mystifierande signaturer och de gamla ”begreppens” liberalt de-fini-tierade integritet genom språkrörets allt raskare precision av persoligheternas oförkränkta rätt att kunna få nyskapa sig
    demokratiskt efter eget gott finnande inom ett kommunikativt samvälde i ovälde.

    Som den gamle kommunist jag inte längre är men numera alltid ser en ny möjlighet att bli på annat vis, sympatiserar jag mer med piraternas program än något annat partis, men samtidigt mer med pirater än deras parti. Magnihasa talar om ekorum. Ekorum är ofrånkomliga – men det som skiljer sektens kyrka från ett progressivt ekorum, är att det förstår sig på och genom ”nätet” och inte bara Att, utan även Hur, alla dörrar ska stå olåsta.

    Men är inte den ”personliga integriteten” som allmän princip en låst dörr? Lås upp den som vi löst upp den religiösa svären och låt även politiken få bli en privatsak i ett oväldes samvälde.

  7. Pingback: Tjuvlyssnarna, the end « Full Mental Straightjacket

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Följ

Få meddelanden om nya inlägg via e-post.

Gör sällskap med 29 andra följare

%d bloggers like this: