måndag 26 december 2016

Säkerhet på internet för nybörjare (lösenord, https mm)


Jag skriver detta för att jag knappast kan påstå att ämnet är något som vi fick lära oss under skolåren, för att internet hunnit långt sedan dess och för att det är viktigt för att riskera att inte utsättas för något slags bedrägeribrott online eller att viktig information hamnar i fel händer. Troligtvis finns det fler av er som kan detta betydligt bättre än mig, men här kommer i alla fall min ansats till vad du bör känna till från vad jag lärt mig:

Lösenord

Bra lösenord skall vara riktigt svåra att komma ihåg. Men det är inte meningen att du skall minnas dem alla. Det är meningen att du skall kunna ETT lösenord som skall vara långt och svårt. Vad betyder detta? Jo, du bör använda en så kallad lösenordshanterare (password manager) på något sätt. Antingen använder du de som är inbyggda i moderna browsers som Firefox eller Chrome (eller skapar en egen textfil med lösenorden på din lösenordsskyddade dator). I dessa inbyggda lösenordshanterare sparar du alla dina lösenord och dina lösenord fylls automatiskt in när du skall logga in på en websajt (sajter som använder BankID är ett undantag). Det ENDA lösenordet som du skall komma ihåg skall du ange för att komma åt alla dina andra lösenord i din lösenordshanterare. Lösenordshanteraren kommer spara lösenorden krypterade (oläsliga) så länge du använder ett huvudlösenord, så du behöver inte oroa dig för att någon enkelt kommer åt dessa lösenord. Ett bra lösenord består av 12 eller helst fler slumpvis utvalda tecken av olika slag. Ett lösenord skall ALDRIG återanvändas, utan slumpa fram ett nytt lösenord för varje sajt. Det är dåligt och inte säkrare att byta lösenord ofta, använd istället ett riktigt bra lösenord permanent. Enklare lösenord som innehåller riktiga ord kan vara relativt lätta för hackare att dechiffrera fram ("cracka") med hjälp av en dator. När hackare lyckas stjäla lösenord från stora sajter så kan de återanvända dessa login för att logga in på andra sajter. Här kan du se hur många gånger uppgifter om dina konton har blivit hackade (fler än 1 är troligt): https://haveibeenpwned.com/

2-faktor-autentisering

De flesta viktiga stora sajterna som Google och Facebook erbjuder så kallad "2-faktor-autentisering". Det betyder att du vid inloggning utöver att ange lösenord måste ange en engångskod som du får via en mobil enhet. Detta är ett bra system ifall hackare har hittat ditt lösenord. Engångskoder som skickas via SMS är inte säkert (men bättre än inget), du bör istället använda engångskoder som kommer via den mobila appen för den tjänst du använder.

Surfa på internet med HTTP och HTTPS 

Vad betyder det där S:et på slutet av HTTPS? Varför är det säkrare? Jo, för att om du använder en sajt som har HTTP och du anger ett användarnamn och lösenord så skickas all information, inklusive lösenord och användarnamn i KLARTEXT till servern. Det betyder att någon som administrerar ditt nätverk på jobbet eller din internetleverantör (dvs någon mellan din dator och servern för sajten du använder "man in the middle") kan läsa exakt vilken information du efterfrågor och vilken information du skickar. För de sajter som använder HTTPS så skickas all information krypterat i båda riktningarna (oläsligt) mellan din dator/mobil och servern på sajten du besöker. Om HTTPS används så kan din internetleverantör endast se vilken sajt du besöker, men inte vilken information som skickas eller var på sajten du är. Dvs, om du besöker och skriver något på https://www.facebook.com/politiskgrupp så kan din internetleverantör endast utläsa att du besöker domänen www.facebook.com, men de kan inte se att du besöker undersidan /politiskgrupp eller vilken information du skickar dit eller läser där.

Uppdatera programvaror 

De flesta uppdateringar av operativsystem, appar och program avser säkerhetsuppdateringar, dvs programvaruutgivaren har upptäckt något typ av osäkerhet som hackare kan använda för att hacka din enhet. Det händer oftare än man tror genom så kallad malware (malicious software) och phishing. Dvs det är viktigt att alltid uppdatera mjukvaror eftersom de tätar risk säkerhetshål.

Phishing 

Phishing går ut på att någon med dåligt uppsåt försöker få dig att omedvetet dela dina lösenord frivilligt med dem. Det gör de genom att skicka ett vad det verkar trovärdigt email till dig som leder dig till en sajt som vill att du skall installera någon typ av programvara eller ange ditt lösenord. Titta alltid på vilken internetadress (URL) som du hamnar på om du råkat klicka på en länk i ett skumt email. Granska också avsändaren noga om du kan se en konstig email som avsändare.

Skicka meddelanden privat 

Alla meddelanden som du skickar online eller genom SMS kan lagras och läsas hos hos den som sköter tjänsten. För dig som vill skicka information privat till någon annan som varken de sociala nätverken eller teleoperatörerna kan läsa så duger inte vanliga meddelanden eller SMS. Då måste du använda så kallad "End-to-End-encryption", vilket betyder att meddelandet skyckas krypterat hela vägen från avsändare till mottagare, utan att servern eller någon annan mittemellan kan dekryptera informationen och läsa den. What's App erbjuder denna typ av kryptering men appen tillhör Facebook, om du inte vill skicka information via Facebook kan du använda Signal som är världens säkraste meddelandeapp som har denna typ av kryptering. Med Signal kan du också skicka vanliga SMS till dem som inte har Signal, så det är en bra SMS-app.

Inga kommentarer:

Skicka en kommentar