Ord:
IM: Instant Messaging systemer, herunder Skype, AIM mv.
IRL: Slang/forkortelse for "In Real Life", alternativt også kaldet "meatspace"
NemId: Et såkaldt "sikkert" system til banker og offentlige data indført af den danske stat. Desuden 99.99999% sikkert det første mål kommer Danmark ud i online krigsførelse i fremtiden.
Sniffer: Program der kan aflytte datatrafik mellem to parter
Social Engineering: En form for hackerangreb der ofte involverer at hackeren ringer eller møder målet personligt og på den måde får vigtig information
-----------------------------------------------
Det basale:
Kodeord er måden vi får adgang til vores vigtigste konti uden at andre kan komme ind. Alt fra at komme ind i BIOS og Windows, til Facebook og NemId konti beskyttes af disse små strenge af tekst, som ofte er det eneste led der skal knækkes før uvedkommende kan få fuld kontrol over dine konti.
Lad os se på de 5 mest benyttede kodeord i 2013:
Quote
- 123456
- password (default i mange routere)
- 12345678
- qwerty
- abc123
Nr. 2 er bl.a. brugt som default kodeord i mange routere for at gøre det nemt for brugeren at komme ind og sætte den op. Men fælles for alle kodeord ovenfor er at de både er lette at huske, men også at gætte, og derfor bryder kodeordenes helligste regel.
Et kodeord skal være nemt at huske, men svært at gætte!
Hvad inkluderer dette? Lad os belyse dette ved at tænke på en typisk hackers arbejdsgang:
Quote
- Find et mål: Dette mål kan variere alt efter hackerens intentioner, men det kan være dig, et firma eller en myndighed.
- Find informationer om målet: Hackeren går bl.a. på Google, fora, Facebook mv. for at opspore al information om dig. Herunder fødselsdag, navn, adresse, venner, kæledyr mv. som også kan indeholde kompetente forslag til passwords. Ergo, har du fx. din hund på facebook er det nok ikke dens navn du skal bruge som kodeord i fremtiden.
- Saml værktøjet: Hackeren laver eller anskaffer sig værktøjer til indbruddet, bl.a. sniffers, password breakers, tabeller m.m.
- Optakten: Hvis hackeren ikke kan skaffe kodeordet direkte, kan han yderligere aflytte trafik (via sniffers), eller på anden måde tiltuske sig adgang, herunder via Social Engineering (i princippet, godt skuespil og som regel IRL) eller phishing (det samme, bare via mails og hjemmesider).
- Angrebet: Hackeren går i aktion. Alt afhængigt af målet og dets sikkerhed kan det tage alt fra et kvarter til flere uger.
Læg mærke til at hackeren starter med at søge information, ofte ved at bruge Google. Google søgemaskinen er ekstremt magtfuld hvis man kan programmere den rigtigt. prøv fx. at søge:
Quotesiteof:http://www.tweak.dk kodeord
Yderligere om Googles funktioner kommer i en anden guide, men "siteof:" tagget er det simpleste: "Søg på side: http://www.tweak.dk efter ordet kodeord"
Men tilbage til emnet; fordi en hacker leder efter alt om dig og dine omgivelser kommer vi til regel nummer 2:
Et kodeord må ikke direkte kunne spores til dit liv!
Det betyder at kærestens, hundens, kattens, marsvinets eller børnenes navne er bandlyst, ISÆR hvis du tidligere har omtalt disse på sociale medier, herunder Facebook.
Hackerens våben:
Når man logger ind på en konto sker der som oftest følgende:
Quote
- Brugeren trykker "log ind"
- Brugerens indtastede kode bliver krypteret
- Den krypterede kode sammenlignes med en gemt "hash" der blev oprettet sammen med kontoen.
- Hvis de passer sammen, er du inde, ellers ikke
Information: Som diskuteret tidligere, brugere hackeren ofte personlige informationer til at gætte og bryde kodeordet
Brute-force attack: Hackeren benytter et program der gennemgår samtlige kombinationer af tal, bogstaver og symboler der kan være i kodeordet. Er der tid nok, kan alle kodeord brydes på denne måde. Modvirkes effektivt af systemer der giver et begrænset antal forsøg til at logge ind.
Dictionary attack: Dictionary betyder ordbog på Dansk, og konceptet er det samme. Hackeren bruger et program der gennemgår en laaaaaang liste af ord og/eller mulige kodeord. Kan ikke finde alt, men alle kodeord der kendetegnes som dårlige er sikkert med i ordlisten. Dictionaries indeholder sjældent udtryk med tegnsætning, men kan altid udvides.
Rainbow Tables: Ofte hjemmesider man kan gå ind på, der gemmer krypterede kodeord-"hashes" sammen med sin ikke-krypterede makker. Fungerer ellers som et dictionary attack, men er meget hurtigere siden det tunge arbejde (kryptering) er gjort.
Keyloggers: Et lille program der holder øje med hvad du taster og sender dette til hacker. Programmet kommer ofte ind som virus, cookies eller er kamufleret inde i et andet program. Keyloggers findes også som USB sticks og virker på samme måde, på nær at man selv skal hente loggeren bagefter.
Efter den liste kommer vi til regel nummer 3:
Aldrig brug et ord alene!
Det vil sige, brug aldrig almindelige ord til kodeord, herunder "password", "kodeord", "hundehvalpe" osv. for din hacker kan sagtens have udledt sin dictionary-fil fra den danske retskrivningsordbog.
Hvad så?
For computere er de mest optimale kodeord udformet således:
Quote*V/>i!'Qq"G5894
Her er alle de gode konventioner overholdt; Store og små bogstaver, tal og tegn. Denne kode er stort set immun overfor andet end brute-force attacks, og selv disse vil tage lang tid om at finde koden.
QuoteW2PO4QS4y3R8Ywi
Endnu et genereret kodeord, dog uden brug af tegn, men den kan stadig kun med sikkerhed knækkes af et brute-force program
Dog er der ingen af de to kodeord der er specielt nemme at huske, på trods af at deres generator giver en simpel måde at huske dem på.
Den nemmeste måde at huske og lave komplekse kodeord på er via forkortelser og huskeregler.
Guitarspillere kender sikkert sætningen "Erik Andersen Drog Gennem Hele Europa" fra da de skulle lære at stemme instrumentet (tonerne E, A, D, G, H, E).
Andre, mere visuelt tænkende mennesker laver derimod en mental "reol" og giver tingene i reolen en værdi (fx. et "S" eller et 3-tal), og helt tredje mennesker lærer dem ved at bruge dem igen og igen.
Men, men, men hackeren er ude igen og vi kommer til "regel" nummer 4:
Aldrig brug samme kodeord flere steder!
Det burde forekomme logisk, at hvis hackeren har fundet dit kodeord ét sted, så kan han komme ind alle steder der bruger samme kodeord. Du skal også vide at hvis han har fundet dig på fx. Facebook, så ved han sikkert at du også følger Tweak.dk...
Men hvorfor "regel" i anførselstegn? Fordi det er svært at huske på et kæmpe sæt koder konstant. Ofte kan man dele det lidt mere simpelt op efter hvor meget og hvor vigtig information man kommer ud med på stedet. Jeg bider mærke i at det er ALT personlig information man skal passe på med. fx:
Foraer: Ofte kun bundet med mail og IM. Tænk på dit rygte på forummene og se om du vil opgradere til mere sikre passwords til disse. Jeg sætter altid simple passwords på mine forumkonti i starten og bruger en sekundær "junk" mailkonto til mail... skulle jeg beslutte ikke at komme tilbage.
Sociale netværk: Facebook, LinkedIn mv. har ofte mere information bundet i sig. Alt fra hvem du er sammen med til din adresse ligger frit hvis en hacker kommer ind på din (eller dine venners) konto. Konti på sociale netværk bør derfor beskyttes ekstra.
Spil: Spilkonti som Steam, Xbox Live og Playstation Network giver mulighed for at købe spil. Indeholder værdi i form af købte spil og også i form af kreditkortoplysninger hvis man bruger disse. Kreditkort har i sig selv visse faldenet i og med at de kan spærres og penge kan sendes retur, det tager dog tid og energi der nemt kunne bruges til et lidt mere sikkert kodeord og en del mere gaming.
Personligt behandler jeg mine spilkonti som bankbokse, især min Steam Profil med 117 spil og 10 års stolt medlemskab
Banker, offentlighed og NemId:
NemId systemet er sikkert på papiret med sit nøglekort, dit cpr-nummer og kodeord. Systemet kender du sikkert, og det er ikke meget forskelligt fra et alm loginsystem.
Første omgang idioti er dog brugen af cpr-nummer som bruger-id. Andre kan stadig få en del magt med dit cpr-nummer (bl.a. købe hus, oprette bankkonti mv.) og det er i sig selv ALT for nemt at gætte.... har man fødselsdagen, kan man barbere ned til 5000 kombinationer.
Kodeordet er ikke længere sidste mur til Paradis, men ikke desto mindre skal det være sikkert. Husk på det er din komplette persona, som myndigheder og banker ser, der står på spil!
og pas på nøglekortet....