Giganttabbe gjør at du må bytte passord igjen

Av
Artikkelen er over 2 år gammel

Et av internetts viktigste selskaper har dummet seg ut.

DEL

(Romerikes Blad) (Side3): Hvis vi nevner navnet «Cloudflare», har du trolig aldri hørt om det. Men selskapet er en gigant bak teppet. De er en av de større distribusjonskanalene for nettsider, og kaller seg også både et sikkerhetsselskap og fungerer også som en «veiviser» på nett.

Så selv om du ikke har hørt om selskapet, er det et enormt antall nettsider som er helt avhengig av selskapet for å fungere. Det kan være snakk om så mange som fire millioner, skriver Side3.

Lakk data hele tiden

Og nå viser det seg at selskapet har gått på en skikkelig smell. En bug oppdaget av Google, som har fått det uoffisielle navnet Cloudbleed har gjort at selskapet har sendt ut mye mer informasjon enn de skulle når brukere har besøkt nettsider som benytter selskapets infrastruktur.

Alt fra brukernavn og passord, til innhold fra datingnettsider til innhold fra pornonettsteder har vært mulig å fange opp.

– Hvis du for eksempel besøkte Uber, så kunne du få tilsendt en solid dose innhold fra en tidligere bruker på okcupid.com. Denne sensitive informasjonen kunne bli returnert til hvem som helst. En trengte ikke å gjennomføre et angrep for å få dataene - min mor kan ha noens passord lagret i sin nettlesers minne bare ved å ha besøkt en annen side Cloudflare styrte, forteller Andrew Tierney til Forbes.

Etter at forskerne oppdaget feilen, brukte Cloudflare bare sju timer på å rette opp i feilen. Problemet er bare at hullet har eksistert i nesten et halvt år. I hvilken grad dette er utnyttet, er det ingen som egentlig vet.

Dette betyr at det dessverre igjen er opp til deg å ta høyde for at passordet ditt kan være på avveie på en lang rekke nettsteder.

Mange norske nettsider

Det er ingen full oversikt over nettsider som benytter Cloudflare, men en uoffisiell oversikt på rundt fire millioner nettsider viser at hundrevis av norske domener står på listen, men ingen av de store. Det mest kjente var trolig AVforum og Bladkongen.

Men nordmenn bruker ikke bare norske nettsider. Nettsider som Patreon, Yelp, OKcupid, Medium.com, 4chan, Uber, Blockchain.info, Discord, Transport for London, Coinbase, Pirate Bay, Bitdefender, Pastebin, Fitbit, Extratorrent, EliteTorrent, Torrentfreak og mange flere er påvirket.

Eksperter trodde passordene til brukerne på utroskapsnettsiden Ashley Madison var sikre. De tok grundig feil og avslører håpløse vaner.

Etter at hackere stakk av med blant annet hele brukerdatabasen på 36 millioner personer som bruke utroskapsnettsiden Ashley Madison, har det skjedd mye.

Trodde passordene var trygge

Men mange trodde det var gode nyheter oppi det hele: Nettsiden hadde nemlig tatt sikkerheten på alvor, og brukt en ekstremt sikker krypteringsmekanisme (bcrypt) på passordene som var lagret.

Sikkerhetseksperter mente at krypteringen var så sterk at det ville ta flere hundre år å knekke alle passordene benyttet.

Men det var før det viste seg at de hadde gjort en vanvittig tabbe i innloggingssystemet på nettsiden: For å gjøre ting enklere lagret de omtrent halvparten av passordene (15,26 millioner) to ganger: Én i kraftig kryptert form (bcrypt), og en i usedvanlig usikker form (md5).

En sikkerhetsekspert beskrev det som å ha verdisaker liggende i et helt trygt hvelv, samtidig som koden til døra sto skrevet på en post-it-lap ved siden av døra.

Så stor var denne tabben, at sikkerhetseksperter over natten kunne 76 prosent av de dobbeltlagrede passordene, som en i utgangspunktet trodde var nesten helt sikre.

Skremmende passordtrend

En analyse av disse passordene viser en ganske skremmende utvikling:

Det mest brukte passordet - med solid margin - er nå å ha et passord som er identisk med brukernavnet. Hele 630.000 av de 11,7 millioner passordene - nesten 5,5 prosent - som er avdekket er av denne typen.

Ellers viser listen igjen at folk ikke ser ut til å lære: Over 120.000 personer benyttet seg av passordet "123456".

Det er nå laget en liste over de mest brukte passordene, og disse er nå så vanlige at de uansett hadde blitt knekt uansett krypteringsmetode.

CynoSure Prime melder samtidig at nesten alle benytter seg av korte passord som det er svært lett å knekke, og at den store majoriteten kun benytter seg av små bokstaver - eller små bokstaver pluss tall.

Hvem har skylden?

Sikkerhetseksperter diskuterer nå om det er brukerne som bør takke seg selv fordi det brukes utrolig enkle passord som tar svært kort tid å knekke, eller om det er nettsidene som virkelig må skjerpe seg.

Bruken av passord som "123456" er nærmest utilgivelig, men flere påpeker at krypteringsløsningen som i utgangspunktet ble benyttet er så god at bare de aller, aller vanligste passordene likevel ville blitt knekt hvis det ikke var for dobbeltlagringen.

Slik sikrer du deg

Når du skal bytte passord er regel nummer 1: Ikke bruk det samme passordet på flere tjenester, slik at konsekvensene av hacking av én side ikke betyr at alle andre nettjenestene du benytter blir usikre.

I tillegg bør du sørge for at passordene er så vanskelige at de ikke kunne havne på en slik liste over mest populære passord. Styr unna passord med ord fra ordboka, minst 12 tegn, og helst en kombinasjon av store og små bokstaver - samt spesialtegn - er et godt råd. Er du ekstra smart benytter du de norske tegnene æ-ø-å.

Er det for vanskelig? Mange eksperter anbefaler nå at du styrer unna passord, og i stedet benytter deg av passetninger. Det å huske et relativt kort passord av typen "3J4du(wo!di" er vanskelig, mens det er enkelt å huske lange setninger som "MangeSyngerJaViElskerOgSpiserPølse17mai".

Alternativet er å bruke passordtjenester, som LastPass og LogMeOnce Password Managemtn Suite.

Artikkeltags