De siste årene har vi sett mange store datainnbrudd, der millioner av brukernavn og passord har kommet på avveie, som for eksempel:
- 153 millioner Adobe-brukerkonti (2013)
- 359 millioner MySpace-brukerkonti (2008)
- 164 millioner LinkedIn-brukerkonti (2012)
- 68 millioner Dropbox-brukerkonti (2012)
- 30 millioner Ashley Madison-brukerkonti (2015)
Men i går ble det ny «rekord» – skaperen av nettstedet haveibeenpwned, Troy Hunt, identifiserte hele 773 millioner unike e-postadresser i den store lekkasjen «Collection #1».
87 gigabyte
Fila med disse e-postadressene og passordene sirkulerer nå rundtom på nettet og er hele 87 gigabyte av størrelse.
Totalt består den av 2,7 millarder linjer, men skal altså ha 773 millioner unike e-postadresser, som skulle tilsi at hver av dem i gjennomsnitt har 3,5 oppføringer.
Innholdet stammer fra over 2.000 ulike databaser. Vi finner to .no-domener i listen, åtte .se-domener (Sverige) og syv .dk-domener (Danmark), for å nevne noe.
Og som ikke det var nok, har Hunt nettopp fått tak i Collection 2, 3, 4 og 5, så dette kan bli ganske stygt. Mer informasjon om denne lekkasjen finner du i Hunts blogginnlegg.
Sjekk om du er rammet
Den nevnte nettsiden, haveibeenpwned, samler inn data fra disse lekkasjene, slik at du kan søke etter din e-postadresse for å se om den har vært med i ett av de mange datainnbruddene. Nettsiden finner du på haveibeenpwned.com.
Taster jeg inn min e-postadresse, får jeg for eksempel vite at den var med i Adobe-, Disqus- og Linkedin-innbruddet, samt en svær samling á la den nevnte for halvannet år siden.
Verdt å merke seg er at du ikke får se passordet du har brukt. Hunt lagrer ikke brukernavnene og passordene side om side, men på passord-søket kan du taste inn et passord og se om det har vært med i et datainnbrudd.
Og får du beskjed om at du er med i en eller flere lekkasjer, bør du bytte passord på det aktuelle nettstedet, samt alle andre nettsteder der du har brukt det samme passordet.
Bruk unike passord
For igjen kommer oppfordringen – det er veldig dumt å bruke samme brukernavn og passord-kombinasjon flere steder. Da holder det at ett nettsted opplever datainnbrudd for at uvedkommende kan logge seg på din konto andre steder også.
Vurdér sterkt å bruke en såkalt «password manager», som lar deg generere helt unike passord på alle nettsteder, der passordlisten din er beskyttet av ett passord (det eneste passordet du trenger å huske, som da kan være langt og avansert).
Slik får du unike passord på alle nettsider
Selv bruker vi Lastpass, men det finnes også flere andre konkurrenter, som 1Password, Dashlane, KeePass og flere.
Alternativt kan du gjøre det i hodet ditt, for eksempel ved at du lager deg «regler», der du typisk har en «stamme» som går igjen, og som du krydrer med noe unikt for hver tjeneste. Det være seg første og siste bokstav, antall vokaler i navnet på tjenesten eller hva det måtte være (gjerne flere slike variable).
En annen mulighet er å bruke fri assosiasjon – dersom det første du tenker på når du hører Dropbox er da du mistet en eske på tærne, kan passordet være JegMistaEskenRettPåStortåai2013!.
Lett å huske, umulig å gjette. Og praktisk talt umulig å cracke.
…og husk tofaktorautentisering
Bruk også tofaktorautentisering på alle tjenester som tillater det. Da må du i tillegg til brukernavn og passord oppgi en engangskode (typisk sendt per SMS eller via en kodegenerator) når du vil logge på for første gang fra en ny enhet.
Da er det ikke helt krise om noen får tak i brukernavnet og passordet ditt.
