Udgivet den af Ole Schmitto

Er det et problem at 7 af 20 ministres passwords er kendt af hackere?

Torsdag bragte Danmarks Radio en historie om at 7 ud af 20 ministres kodeord ligger åbent tilgængeligt på nettet. Danmark Radio har formentlig via hjemmesiden “Have I Been Pwned” indtastet politikernes arbejds mail. Dermed kunne de se, hvis svaret var: “Oh no – pwned!”, at de havde brugt deres folketings mail til hjemmesider som Linkedin, MyFitnessPal, DropBox med flere.

Er det et problem?

Ja, hvis du bruger samme brugernavn og password på alle hjemmesider.

Er det hackerne, der ejer password check hjemmesiden?

Nej, det er australieren Troy Hunt, der bestemt er værd at følge på Twitter @troyhunt. Han er IT sikkerhedsmand, og har valgt at bruge noget af sin tid på at fortælle offentligheden, når en hjemmeside med brugernavne og passwords lækkes.

Hvordan kan jeg checke mit password?

Check på Have I Been Pwned: Check if your email has been compromised in a data breach, eller som jeg skriver længere nede, anvend 1Password, der har adgang til at checke om dine passwords i 1Password er kendt i Have I Been Pwned

Hvad skal jeg gøre, hvis den siger “Oh no – pwned!”

Hvis du via Have I Been Pwned fik beskeden: “Oh no – pwned!”, så tilmeld dig deres alarm mail, så du får besked hvis din mail og password optræder i stjålne data. (Eller brug 1Password, se mere længere nede.)

Er [email protected] kendt på hjemmesiden?

Ja, mit brugernavn og password er kendt i systemet. Og jeg har modtaget en besked, hvor de skriver, at min email konto blev fundet, blandt næsten 150 mill andre:

  • Email found: [email protected]
  • Breach: MyFitnessPal
  • Date of breach: 1 Feb 2018’
  • Number of accounts: 143.606.147
  • Compromised data: Email addresses, IP addresses, Passwords, Usernames

Hvad nu?

I mit tilfælde gør det ikke noget. For jeg har siden 2010 har brugt password manageren 1Password. Den sikrer, at jeg kun bruger unikke passwords pr. hjemmeside, og dermed kan det ikke genbruges på andre hjemmesider.

Hvad med de nævnte politikere?

Hvis de har brugt unikke passwords, så betyder det jo intet. Men hvis de bruger nemme passwords, og genbruger dem på flere hjemmesider, så er det et stort problem.

5 gode råd:

  1. Check om dit password er kendt på Have I Been Pwned
  2. Begynd at bruge en password manager som 1PasswordLastpass
  3. Skift passwords på de vigtigste hjemmesider.
  4. Aktiver 2-faktor godkendelse. Hvis du bruger 1Password, gør den opmærksom på hjemmesider, der understøtter dette.
  5. Brug 1Password WatchTower i app’en fordi den oplyser om:
    1. hvis en site har været angrebet med succes, og fået stjålet passwords.
    2. svage password
    3. gen-brugte password
    4. webs der tilbyder 2-Faktor, hvor du ikke har aktiveret dette
    5. sårbare passwords, der er fundet på den nævnte hjemmeside Have I Been Pwned