Kategori: Säkerhet

Publicerat

Kolla om ditt lösenord är hackat – dags att byta lösenord igen

När bytte du dina lösenord senast?

Testa om något av dina lösenord är hackade och läckta på haveibeenpwned.

Sök om ditt lösenord är hackat

Skriv helt enkelt in din e-postadress så söker tjänsten i databaser med hackade lösenord om dina uppgifter finns med. Testa alla dina olika e-postadresser.

Att känslig information som loginuppgifter till sajter sprids inträffar på flera sätt. Ibland hackas stora sajter utifrån och ibland innifrån är personal stjäl information. Det oerhört svårt att skydda sig mot detta om man inte krypterar och hanterar lösenorden bättre än vad många större sajter har gjort hittils. Därför är det viktigt att inte använda samma lösenord på flera sajter. Även om ditt lösenord är långt och säkert på alla sätt hjälper det inte om någon får tag på det och testar det på flera  vanliga sajter.

Några grundläggande tips för att minska risken för att bli hackad:

  • Byt lösenord ofta. Hur ofta? Varje kvartal tycker Supporten.se.
    Ja, det är jobbigt men det är ännu jobbigare att bli hackad. 
  • Använd aldrig samma lösenord på flera sajter.
    Jobbigt? Javisst, men det är superjobbigt att bli hackad. 
  • Använda långa lösenord med både stora och små bokstäver, specialtecken som !%&? samt siffror.
    Jobbigt att komma ihåg? Ja, men det det är mycket jobbigare att bli hackad. 
  • Spara inte dina lösenord i ett Word-dokuemt eller i Anteckningar i din telefon. Om din dator blir hackad kan du förlora kontrollen över alla dina lösenord och kanske hela ditt liv. Det finns bra lösenordshanterar för att spara lösenord och både OS X och Windows har inbyggd kryptering av filer och mappar man kan använda. Supporten rekommenderar för Windows Keepass och för Mac KeePassX. På Keepass nedladdningssida hittar du även appar för Android och iPhone.
    Jobbigt? Absolut, men det är sjukt mycket jobbigare att bli hackad. 
  • Aktivera tvåfaktorsautentisering, tvåstegsverifiering, 2-faktorsautentisering, 2fa eller vad det kallas på dom olika sajterna. Google, Apple, Microsoft, Dropbox, Facebook och många andra stödjer 2fa. Oftast är den sekundära faktorn ett SMS till din mobiltelefon. Man brukar kunna ställa in så att man behöver 2fa vid varje inloggning eller bara när du ska byta lösenord eller ändra annan viktig information. Detta gör att det blir betydligt svårara att hacka ditt konto även om lösenordet läckt ut på nätet. Eftersom du har din telefon kan du åter ta kontroll över ditt konto via en verifieringskod som skickas via SMS. Det kan ju inte hackaren få reda på om du inte blivit av med din telefon…
    Jobbigt? Sure, men det är sååå mycket jobbigare att bli ägd.

 

MSB – Myndigheten för samhällsskydd och beredskap har ett lösenordstest där du kan testa styrkan på den typen av lösenord du brukar använda. OBS! Testa inte dina riktiga lösenord utan bara någonting liknande. Det ger en indikation om hur starkt lösenordet är.

 

Publicerat

Vilken hårddisk håller längst? Hitachi och Western Digital får färre fel än Seagate.

Backblaze hårddisktest
Backblaze hårddisktest

Under tre år testade backupföretaget Backblaze 27000 hårddiskar. För just deras typ av användning, som skiljer sig lite från en vanlig konsuments användning visade det sig att skillnaderna blev stora. Hitachi och Western Digital höll i snitt betydligt längre än Seagate. Hitachi ägs numera av Western Digital men diskarna i testet är av olika typer. 

I en bärbar dator kanske inte Backblaze hårddisktest är helt relevant eftersom stöttålighet och värmetålighet inte hårdtestas i en sval serverhall men det är intressanta fakta för lagring och backup hemma eller kanske i en stationär dator. 

Backblaze valde trots dom fina resultaten att fortsätta med Seagate eftersom priset för Hitachi är så mycket högre att det blir billigare att byta Seagate-diskar oftare.

 

Publicerat

Skicka krypterad e-post superenkelt med Poosty

Skicka krypterad e-post med Poosty
Skicka krypterad e-post med Poosty

När skickade du ett krypterat meddelande via internet senast?

Ovetande kanske du gör det dagligen via Skype eller andra tjänster som krypterar meddelanden. Din vanliga e-post är däremot till stora delar helt okrypterad.

Även om anslutningen mellan din e-postklient och din operatörs server är krypterad är kanske inte vägen meddelandet tar för att nå din mottagare krypterad. Något säkrare är det att skicka e-post inom samma system som t ex Hotmail eller Gmail eftersom dom numera krypterar förbindelsen mellan din webbläsare och deras system. Men, så fort du skickar till någon som sitter utanför bryts den krypterade överföringskedjan.

Vanlig e-post kan jämföras med att skicka vykort. Alla som ser meddelandet på vägen till slutmottagaren kan också läsa det – precis som brevbäraren eller den som sorterar post någostans mellan avsändare och mottagare.

Med Poosty löser man detta på ett mycket enkelt sätt. Poosty är varken en unik eller ny typ av tjänst (Hushmail är en gammal klassiker i sammanhanget) men dom har löst det på ett snyggt och enkelt sätt. Man skickar och läser all e-post via webbläsare inloggad på poosty.com. Det är endast notifieringar som går till din vanliga e-postadress och mobiletelefon som du kopplar till Poosty. Dessutom finns tjänsten på svenska. Inte så överraskande då tjänsten är utvecklad av svenskar.

Poosty är gratis om man bara använder basfunktionalitet. För extra funktioner med läskvitton etc via SMS kostar det lite, med betoning på lite. Det är ingen dyr tjänst om man behöver ett enkelt system för att skicka krypterad e-post.

Men man kan ju skicka krypterad e-post med PGP. Helt gratis dessutom. Och säkrare. Ja, det kan ”man”. Ja, det är kanske säkrare också. Men det krävs en del pill och förståelse för hur PGP-kryptering och utväxling av nycklar fungerar. PGP är utmärkt men det är långt ifrån lika enkelt som att inom ett par minuter skicka ett krypterad meddelande till någon som av olika skäl inte kan använda PGP. För den som inte är IT-kunnig blir man inte så mycket klokare av denna korta introduktion av PGP på Wikipedia. Man behöver välja version och hur man skall integrera det i sin e-postmiljö osv. PGP rekommenderas absolut – för den som har möjlighet och kunskap. Mer om det i ett framtida inlägg. 

Tänk tillbaka en stund på allting som du har skickat via e-post dom senaste 10-15 åren, kanske tiotusentals meddelanden, inklusive bifogade filer och dokument. Rena vansinnet att allt detta skickats okrypterat, eller? 🙂 Alla dessa kontrakt, offerter, affärskommunikation, myndighetspost, privata brev och hemligheter av olika slag. PGP och andra tjänster har funnits där hela tiden. Gratis eller väldigt billigt. 

Nästa meddelande kanske blir krypterat..?

 

 

 

Publicerat

Last.fm läcker lösenord – och informerar föredömligt

Nästa sajt för rakning! Nu är det Last.fm som har säkerhetsproblem. Till skillnad från LinkedIn som häromdagen fått 6,5 miljoner lösenord exponerade ”gömmer” inte Last.fm det inträffade. Man har skickat email, bloggat, twittrat, lagt upp en särskild sida om det det inträffade, och informerar med tydlig notifiering högst upp när man loggar in på tjänsten.

Rekommendationen är tydlig. Dom uppmanar alla användare att omedelbart byta lösenord:
”We are currently investigating the leak of some Last.fm user passwords. This follows recent password leaks on other sites, as well as information posted online. As a precautionary measure, we’re asking all our users to change their passwords immediately.”

Email från Last.fm om läckta lösenord
Email från Last.fm om läckta lösenord

 

Last.fm notifierar tydligt om säkerhetsproblem när man loggar in
Last.fm notifierar tydligt om säkerhetsproblem när man loggar in

 

Sedan ett par år är Last.fm endast gratis för användare i Usa, England och Tyskland men flera funktionerna kan användas utan att betala. Last.fm för en tynande tillvaro i Sverige men för den musikintresserad finns en del kul funktioner för musikrekommendationer, som är hela poängen, där du bygger din musikaliska profil och kan dela den med andra.

Läs om läckta lösenord från LinkedIn på Supporten.se, IDG.se och på Dn.se

Publicerat

Linkedin hackat – Byt ditt lösenord nu

Använder du LinkedIn? 6,5 miljoner konton är läckta. Byt ditt lösenord nu.
Använder du LinkedIn? 6,5 miljoner konton är läckta. Byt ditt lösenord nu.

Linkedin är hackat. I alla fall 6,5 miljoner konton verkar det som. Kolla om ditt konto är hackat på sajten med det fyndiga namnet ”LeakedIn”. Är du orolig för att använda tjänsten kan du läsa mer hos Chris Shiflett, en av personerna bakom LeakedIn, om hur du kan testa ditt lösenord efter att ha ”hashat” det först. För att minska all oro – byt lösenord nu. Testa sedan om ditt gamla lösenord finns bland dom som läckt ut.

Att 6,5 miljoner lösenord nu ligger ute på nätet för vem som helst att tanka hem tycker Linked in är en så pass liten del av deras användare att dom inte ens talar om att det har inträffat på förstasidan på sin hemsida. Om man loggar in dyker det upp på platsen för nyheter, som dom tar in via feed från externa nyhetssajter. Visserligen skriver Linkedin i sin blog om det inträffade men att inte sätta upp en tydlig notis så att ingen missar detta är en märklig strategi. Speciellt för ett företag vars huvudsakliga tjänst är att kommunicera information mellan sina användare. Linkedin uppger att dom kommer att kontakta berörda via email. När då? Mitt eget lösenord är läckt. Jag har inte fått något email om det. De stora flertalet användare kommer givetvis aldrig att få kännedom om detta. Nyheten blåser snart över och drunknar i morgondagens nyhetsflöde. Varför oroa 160+ miljoner användare i onödan resonerar deras interna PR-team helt säkert efter ett av dom svettigaste mötena dom lär ha haft i företages historia. Som ett nyligen noterat bolag (LNKD) blir det intressant att följa om eller hur detta påverkar aktien.

Jag har i tidigare blogginlägg funderat över användning av läckta kontouppgifter till att bygga tjänster för att kolla om man är drabbad. Då gällde det Bloggtoppen.se där båda loginnamn och lösenord hade läckt. Då kändes det dumt eftersom många använder samma uppgifter på flera tjänster online. Att då underlätta genom att bygga en söktjänst är mer negativt är hjälpande. Egentligen är det ointressant om man finns med i en läckt lista eller inte. Har en tjänst en läcka bör man byta sina login oavsett om man är med på listan eller inte. Det kanske inte är hela listan..

Byt alla lösenord till alla tjänster med jämna mellanrum så minskar risken att hamna på någon läckt lista med fungerande login. Använd aldrig samma lösenord till flera tjänster. Läs mer på IDG.se   Svd   DN 

 

Bytt ditt lösenord på LinkedIn nu oavsett om du får rött, orange eller grönt resultat på testen på leakedin.org
Byt ditt lösenord på LinkedIn nu oavsett om du får rött, orange eller grönt resultat på testen på leakedin.org

 

 

Publicerat

Porrsurfar du? Youporn.com hackad. Tips till alla porrsurfare.

Troligen gör du det :-). Över hälften av alla svenska män porrsurfar och en tredjedel av kvinnorna i Sverige surfar naket regelbundet (enligt flera undersökningar som jag inte just nu hinner vaska fram). Personligen tror jag det är fler än så men det har jag inga säkra belägg för. 

Senaste i raden sajter som hackats är Youporn.com som det läckt 1,4 miljoner konton från. Gissningsvis är tiotusentals svenska användare som nu får sina konton exponerade. Har man använt samma email och lösenord till andra konton kan man räkna med att det just nu sitter folk inloggade där och smyger runt och kikar i din email m m. Aftonbladet skriver mer om detta här, IDG skriver om det här. Lyssna även på Ekots intervju med it-säkerhetsexperten Anders Nilsson på Eurosecure och på Eurosecures egen podcast på engelska om Youporn-skandalen.

Om du nu måste fortsätta att slösa nätets bandbredd på porr – ett par snabba tips.

Tips för porrsurfare:

  • Surfa aldrig på jobbet eller med din arbetsdator. Du bryter förmodligen mot ditt anställningsavtal och en mängd etiska regler och riskerar förutom avsked företagets it-system och säkerhet. Porrsajter är ofta en källa till trojaner, phising och annan skadlig verksamhet. (Ni kan inte ana hur många som ringer i panik när jobbdatorn fått någon slags trojan – man ringer inte den interna it-supporten…)
      
  • Surfar du hemmavid och har en partner – smyg inte med detta. En dag upptäcks du och det brukar inte bli särskilt populärt. Vem vet – det kanske blir en extra krydda om ni idkar porrsurfning tillsammans istället…
     
  • Vill du vara anonym använd anonymiseringstjänster som t ex Anonine, Relakks eller Ipredator. Räkna inte med att dom är 100% säkra men det kan vara bättre än ingenting.
      
  • Använd aldrig samma lösenord på flera tjänster på nätet. Det är det mest tokiga man kan göra på delad förstaplats med att inte ta backup på sitt digitala liv. Rekommenderar starkt tjänsterna/programmen www.dinsakerhet.se och www.keepass.info eller www.lastpass.com
      
  • Ta flera backuper till USB-stickor, externa hårddiskar, molntjänster som Dropbox eller SkyDrive eller andra backuptjänster för större backuper. Om dina lösenord får fötter riskerar dina data att få fötter. Backup. Backup. Backup!

Vi får väldigt många samtal till Supporten.se som gäller hackade konton och förlorade data. 9 av 10 (grovt räknat) av dessa tråkiga händelser beror på rent slarv och lättja. Resterande på tekniskt fel, stöld eller borttappad utrustning.

Säkra dina login på dom stora sajterna – dom erbjuder mycket bra säkerhet

Det är ofta fruktansvärt tidsödande och svårt att få tillbaka access till Facebook, Google, Hotmail eller andra hackade konton. Flera av dessa tjänster har säkerhetsfunktioner man kan aktivera för att lättare ta kontroll över ett konto som blivit hackat. Gå in i kontoinställningar och kika runt så hittar du dessa inställningar. Hos Google kan man t ex lägga till sitt mobilnummer dit lösenord kan skickas om man inte kan logga in på sitt konto. Det finns tvåstegslösningar där man genererar inloggningskoder via en app i sin mobil osv.

Aktivera och använd dessa. Tappar du kontrollen över ett Gmail-konto kan du i vissa fall tappa kontrollen över stora delar av ditt liv!

Publicerat

Hanterar Computer Sweden stulen digital information från Bloggtoppen.se korrekt?

Är du drabbat av hacket på Bloggtoppen.se
Är du drabbat av hacket på Bloggtoppen.se - CS har byggt en tjänst där du kan testa om du är drabbad.

På sidan Computer Sweden kan du just nu testa om du är drabbad av Bloggtoppen.se-hacket. Dom har byggt en söktjänst där du kan ange din epostadress och kolla om det fanns med i det läckta materialet.

Jag blev lite fundersam kring detta. Varifrån har CS fått materialet? Jag ringde upp och frågade om det var i samband med Jimmy på Bloggtoppen.se – det var det inte. Alltså hanterar CS stulen digital information. Eller gör dom det? Hur ser lagen ut här? Någon juridiskt kunnig kanske kan belysa detta lite mer.

Nikke Index skriver om BangerHead.se som spammat epostadresser i det läckta registret med erbjudanden. Han överväger polisanmälan. Han nämner hantering av dessa data. Att det skulle vara kriminellt. Någon som vet mer om data som flyter runt på nätet. Man kanske inte vet varifrån allting kommer. Kan man då anses vara kriminell om man laddar ner. I detta fall när det är klart och tydligt varifrån detta kommer – är Computer Sweden’s söktjänst kriminell? Eller etiskt korrekt?

Det känns ytterst tveksamt att bygga en tjänst med hjälp av information man inte äger. Visst är alla epostadresser redan exponerade men detta bidrar ju till ännu mer exponering och enklare för den som inte är så kunnig att ta reda på om t ex en kompis eller kollega är utsatt.

Tanken är säkert god men det känns inte rätt.

Publicerat

Byt till säkert lösenord nu – över 90 000 konton hackade på Bloggtoppen.se

Har du säkra lösenord?
Hur säkra är dina lösenord? Över 90 000 lösenord på vift efter hackerattack mot Bloggtoppen.se.

Återigen läcker tiotusentals lösenord  ut från en hackad svensk sajt. Denna gång är det Bloggtoppen.se – som nu är stängd. Ägaren till sajten  Jimmy Holmlund säger i flera intervjuer i media att han troligen inte kommar att öppna sajten som han drivit sedan 2005 igen. Lite trist. Det var en bra sajt.

Jimmy har klantat sig. Det har kommit fram att lösenorden varit sparade med undermålig kryptering. Utan att gå in på alltför tekniska detaljer kan man konstatera att Jimmy eller utvecklare vid hans sida aldrig kan ha gjort ens den enklaste riskanalys. Har dom gjort det och fortfarande driver en sajt med över 90 000 konton med personuppgifter i en databas är det verkligen illa.

Den avhoppade SD-ledamoten William Petzäll fick ta en del av smällen. Det var på hans Twitterkonto som uppgifterna först publicerades. Om det primära syftet var att skada SD har jag själv svårt att tro. Hackarna såg det nog mer som en kul eller effektiv väg att publicera uppgifterna på när dom gick igenom till vilka personers olika konton dom kunde få tillgång till. Petzäll är ju aktuell i media och passade kanske bra. Att hackarna inte sympatiserar med SD är det dock inget tvivel om.

Driver du själv en sajt där du har en databas med personuppgifter rekommenderas en stund på Datainspektionens sajt med början på denna sida. Där finns ett par enkla frågor man kan testa mot sin egen tjänst för att känna in nivån på den säkerhet man bör ha.

Nu är det dock inte bara Jimmy som skall ha smisk utan alla (dårar) som väljer enkla lösenord – och som dessutom använder samma lösenord på andra sajter…? Jag skapar många lösenord åt kunder och det knorras alltid. Kan man (detta skall inte gå i säkrade system) så byter man ofta till något kort och enkelt av den enkla anledning att det är ”jobbigt” att komma ihåg långa lösenord. Man tar något man brukar använda (hål i huvudet). Det behöver faktiskt inte vara så svårt att skapa och komma ihåg säkra lösenord. Läs mer hos PTS nedan.

Här skapar du säkrare lösenord – gör det nu!

MSBs tjänst – Testa lösenord
https://www.dinsakerhet.se/sakrare-hemma/teknik-och-it/losenord/