- Man ser det ofte omtalt som et godt råd at du ikke skal bruke samme brukernavn og passord på flere nettsteder, men det er sjelden jeg har sett konkrete eksempler på hva som kan skje dersom du gjør det, sier Geir Petter Gjefsen, leder for forbrukertrygghet i Finn, til Dinside.
Nå ønsker han å advare mot dette. Gjefsen omtaler passordvanene som «et samfunnsproblem», og sier at dette eksempelet viser konkret hva som kan skje hvis du bruker samme passord overalt. Så dette er ikke et problem som kun er relatert til Finn, snarere tvert imot.
Avslørte kontoovertakelser
Bakgrunnen for advarselen er flere hendelser på Finn.no der flere brukere har opplevd at kontoene deres er blitt tatt over av andre personer.
- Vanligvis har vi kunnet relatere «angrep» med kontoovertakelser til utsendelse av falske SMS, men det har ikke vært tilfelle nå. Vi undret oss litt hvordan svindlerne har fått tak i brukernavn og passord, men så fant vi det ut ved en tilfeldighet, forteller han.
Det Finn gjorde var å søke opp brukernavnene til personer som var rammet av kontoovertakelser. Da fikk de treff i passordlekkasjer som ligger åpent på nett. Finns leder for forbrukertrygghet tror at all informasjonen stammer fra lekkasjer hos Spotify. Han understreker at opplysningene ikke er hentet fra Finn.
Vi har også blitt oversendt et eksempel på en e-postadresse hvis passord ligger i en database med andre, lekkede brukernavn og passord. Ved å søke opp e-postadressen på Google fant vi fort ut av passordet til kontoen. Ettersom personen benytter samme passord på flere tjenester, kan man blant annet logge inn på nettopp Finn med informasjonen fra lekkasjen.
Ved å søke opp e-postadressen finner man raskt en database med passord som stammer fra lekkasjer:
I databasen er hundrevis av e-postkontoer og tilknyttede passord listet opp:
PS. Vi har naturligvis sensuert e-postadresse og passord.
Fant passord på få sekunder
Vi tok kontakt med Tor Henning Ueland, seniorutvikler i Aller med fokus på sikkerhet, og spurte om han kunne undersøke litt rundt dette. På få sekunder fant han passordene til en rekke, kjente e-postadresser.
Facebook lagret millioner av ukrypterte brukerpassord
- Passordene kommer fra tjenester de har vært registrert på, som har fått passordene lekket. Det vil da være lett for meg å lage et program som prøver de brukernavn:passord-kombinasjonene på de nettstedene jeg vil prøve å få tilgang til, sier han til Dinside.
Konklusjonen hans er den samme som Gjefsens:
- Ikke bruk samme passord på flere steder.
- Elendige på passord
En undersøkelse fra sikkerhetsselskapet Kaspersky i februar konkluderte med at «nordmenn er elendige på passord». Her kom det frem at mange benytter samme passord på flere tjenster og at vi sjeldent bytter passord.
– De siste årene har vi sett en lang rekke store hackerangrep hvor det har blitt hentet ut innloggingsinformasjon til en rekke e-poster. Ved ikke å ha forskjellige passord til de ulike tjenestene man benytter, vil man i prinsippet gi en person med uærlige hensikter tilgang til hele ens digitale liv, uttalte David Jacoby, seniorforsker i Kaspersky Labs, i forbindelse med undersøkelsen.
– Om man veksler mellom noen få passord, noe mange virker å gjøre, er man ikke særlig mer beskyttet enn om man bruker det samme passordet overalt.
Norsk senter for informasjonsforssikring (NorSIS) anbefaler brukerne å aktivere totrinnsverifisering som et ekstra sikkerhetsledd til kontoen.
