Har du ønske om forbedring af IT-sikkerheden i din virksomhed?
Så er der nu igen mulighed for tilskud via SMV Digital.
Læs videre “SMV Digital tilskud til privat rådgivning på 50.000 kr.”
Hvilken farve har dit password?
Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.
Det tager under en time at cracked (knække) et password.
Hvad betyder det at cracke/knække et password?
De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online
Hvordan knækker hackeren mit password?
Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.
Hvor lang tid tager det at knække mit password?
Det afhænger af kompleksiteten:
- Password med op til 10 tal, med det samme
- Password med 7 karakterer, alle små bogstaver, med det samme
- Password med 7 karakterer, kombination af store og små bogstaver, 2 sekunder
- Password med 8 karakterer, kombination af store og små bogstaver, 2 min
- Password med 9 karakterer, kombination af tal og store og små bogstaver, 7 timer
- Password med 11 karakterer, store og små bogstaver, 5 måneder
- Password med 15 karakterer, små bogstaver, 100 år
Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.
Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.
Findes der bedre kryptering end MD5 hash?
Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.
Hvad bør jeg gøre?
- Genbrug ALDRIG det samme password på flere hjemmesider.
- Brug en Passwordmanager som 1Password
- Aktiver 2-faktor hvor det er muligt.
Mere info:
50.000 kr. i tilskud til IT-sikkerhed!
SMV:Digital der hjælper virksomheder med digitale projekter, åbner d. 17 marts for en pulje omkring Digital sikkerhed og ansvarlig dataanvendelse. Her kan man søge om en tilskuds voucher på 50.000 kr. til privat rådgivning. Så det betyder at, virksomheder der overvejer at få bedre styr på deres IT-sikkerhed, nu kan få et tilskud på op til 50.000 kr.
Det er vel en god ide?
Ja, jeg mener faktisk det er en fantastisk god ide. Der er jo rigtig mange virksomheder, som er usikre på, om deres IT-sikkerhed er tilstrækkelig.
Det handler om en plan.
Jeg oplever ofte, at virksomheder rigtig gerne vil købe sig til løsninger. Men dette forløb er netop lagt an på at man bruger tid på:
- At få overblik og status på det nuværende setup.
- At udfærdige en plan for hvor man gerne vil hen.
- At beskrive hvordan man kommer derhen.
Hvordan kommer jeg igang?
- Læs om Tilskud: Digital sikkerhed og ansvarlig dataanvendelse: Tilskudsvoucher på 50.000 kr. til privat rådgivning | SMV:Digital
- Download skabelon til forberedelse af ansøgning og udfyld denne sammen med rådgiveren. Så er du klar til at søge d. 17 marts online, og godkendelsen skulle komme indenfor 5 uger.
Hvordan vil et typisk forløb se ud?
Det afhænger jo af virksomhedens nuværende status og modenhed i relation til IT-sikkerhed. Har du styr på det hele, eller er der områder du er i tvivl om? Under alle omstændighed vil jeg foreslå, at du prøver at tage sikkerhedstjek testen.
Sikkerhedstjekket-Testen.
Brug tiden på at besvare spørgsmålene. Den kommer ikke rundt om alt, men giver et godt overblik. Jeg vil foreslå, at du udfylder den sammen med rådgiveren, så i har en fælles reference ramme. Den er en del af Virk.dk Sikkerhedstjekket – Testen.
Hvis i udfylder den sammen, vil man få en god dialog omkring svarene, hvilket giver et godt indblik for rådgiveren i virksomhedens nuværende IT-sikkerheds niveau. Resultatet giver et godt udgangspunkt for næste skridt.
PS: Da testen er anonym, skal du huske at gemme den. Det kunne også være interessant på et senere tidspunkt at tage testen igen og sammenligne resultaterne.
Risikovurdering.
Igen baseret på modenhed, vil en Risikovurdering give et indblik i virksomhedens nuværende appetit på risiko.
Her kan man bruge et gratis værktøj fra virk.dk IT-risikovurderingsværktøj, der udfyldes sammen med rådgiveren. Den dækker disse områder:
- Enheder
- Applikationer og tjenester
- Brugere
- Netværk
- Data
Næste skridt.
Resultaterne af de to ovenstående giver:
- Overblik og status på nuværende setup.
- Mulighed for at udfærdige en plan for hvor man vil hen.
- Overordnet beskrivelse af hvordan man kommer derhen.
Hvor finder jeg en rådgiver?
Den rådgiver du vælger at bruge, skal være godkendt af SMV:Digital. Jeg er godkendt til dette, men du kan også søge på listen her.
Hvordan prioriterer du IT-sikkerhed?
Man siger at IT-sikkerhed er “på alles læber”. Også hos bestyrelsen, hvilket jo burde være en god udvikling.
Men er det baseret på facts eller skræmme kampagner?
Læs videre “Hvordan prioriterer du IT-sikkerhed?”Hvem modtager besked hvis din databehandler har en sikkerhedsbrist?
Som jeg tidligere har skrevet, skal du føre: Tilsyn med Databehandlere.
Læs videre “Hvem modtager besked hvis din databehandler har en sikkerhedsbrist?”Læs Datatilsynets årsberetning for 2019
Datatilsynet har offentliggjort deres årsberetning for 2019, der bl.a. omtaler væsentlige afgørelser i løbet af året.
Årsberetningen giver også et indblik i Datatilsynets virksomhed igennem 2019 og dykker ned i en række konkrete sager, der er blevet behandlet af Datatilsynet.
Du kan hente den her hos Datatilsynet
DNS med indbygget sikkerhed
Cloudflare som er mest kendt for deres hastigheds optimering af hjemmesider og Web beskyttelse, tilbyder nu også en DNS service. Denne påstås at forbedre din hastighedsoplevelse på din internet forbindelse.
Læs videre “DNS med indbygget sikkerhed”