Säkerhetshål i röstassistenterna från Google och Amazon gör det möjligt att lura av användare bland annat inloggningsuppgifter. Säkerhetshålen är givetvis intressanta i sig, men det finns också en generell lärdom kopplad till problemen: Bra lösenord är inte tillräckligt för att skydda våra konton på nätet.
Forskare vid tyska Security Research Labs har upptäckt buggen som gör det möjligt att låta en Alexa eller Google Home fortsätta lyssna på det som sägs, även när användaren tror att den smarta högtalaren är i viloläge. I Youtube-filmerna som demonstrerar problemet visar forskarna både hur en användare kan luras att lämna i från sig sina inloggningsuppgifter eller hur högtalaren tjuvlyssnar och skriver ner det som sägs i rummet.
När nätjättarna nu jobbar stenhård på att göra röst och ljud till det nya gränssnittet för teknik är det givetvis viktigt att den här typen av säkerhetshål inte finns i prylarna som sätts ut på arbetsplatser och i hem.
Men för den enskilda användaren är demonstrationen där den fiktiva användaren luras att säga sitt lösenord också en generell påminnelse: Bra lösenord är inte tillräckligt för att skydda våra konton på nätet.
Vi är vana vid att ständigt höra råd om eller till och med skarpa instruktioner för våra lösenord ska se ut. Unika för varje tjänst, långa, med stora och små bokstäver, siffror och specialtecken är ofta det vanligaste rådet. Med på senare år har många säkerhetsexperter slutat prata om lösenord för att istället använda begreppet lösenfraser. För mig, uppväxt i Grebbstad, som gillar IFK Göteborg, att åka skidor och att äta glass, är grebbestadskidorblåvittglass lättare att komma ihåg än jljvlids!!!dsr+2##.
Problemet är bara att situationerna där lösenordet verkligen spelar roll är relativt få, så länge det inte faller inom ramen för de allra sämsta lösenorden. Det vill säga är något av de mest använda lösenorden eller ett lösenord som är uppenbart för någon som känner dig att testa (tänk namn på barn eller husdjur). Så länge du undersöker de fallgroparna är skillnaderna mellan olika lösenord förhållandevis små.För att förstå varför är det här blogginlägget från en av Microsofts säkerhetsexperter bra läsning. Sammanfattningsvis finns det många olika typer av intrångsförsök som inte är beroende av hur bra lösenord man valt. Här nöjer jag mig med att nämna två av dem.
Det första är det som kallas för nätfiske, den svenska översättningen av engelskans phishing. Det här är ett samlingsnamn för intrång som börjar med att måltavlan luras att lämna i från sig sitt lösenord, precis som de tyska forskarna demonstrerar med de smarta högtalarna. Men i praktiken handlar det än så länge om mindre spektakulära grejer. Som ett meddelande från banken, om ett säkerhetsproblem. Eller från Facebook, Instagram eller någon annan tjänst på nätet. Mailet som gör dig uppmärksam på problemet innehåller en länk till en webbsida där du uppmanas mata in användarnamn och lösenord.
Haken är att det givetvis inte är bankens webbplats eller Facebooks inloggningsformulär du ser på skärmen, utan en i det närmaste exakta kopia. En titt i webbläsarens adressfält avslöjar ofta att det är fejk, adressen som står där som slutar inte på swedbank.se utan något annat. Lägger du inte märke till det och faller för bluffen spelar det ingen roll om ditt lösenord är ett tusen tecken långt, du har ändå frivilligt skickat det direkt till bedragaren som vill ta sig in i ditt konto.
Ett annat sätt att komma över dina lösenord (och kreditkortsnummer och annat som är värdefullt för andra att komma över) är genom att lyckas installera ett spionprogram som avlyssnar det du skriver. Lyckas någon med den manöver spelar det inte heller någon roll hur långt, svårt, unikt lösenordet är. Kontokaparen får det skickat till sig också i det här fallet.
Det finns en lösning på det här. Den är inte smidig, men inte heller så bökig att det finns anledning att avstå. Den kallas för engångskoder, tvåstegsinlogg, på engelska ofta two factor authentication, förkortat 2FA.
Även om du inte känner igen begreppen vågar jag nästa lova att du redan kan handgreppen. För att betala räkningar eller överföra pengar i nätbanken räcker det inte med ett lösenord. De transaktionerna måste bekräftas på ytterligare något sätt. I min bank med en dosa som genererar kombinationer med åtta siffror, till exempel.
Engångskoder för inloggningar fungerar på samma sätt. Med den funktionen aktiverad räcker det inte med användarnamn och lösenord för att logga in, det krävs också en kompletterande kod. Den kan skickas via sms, skapas i en app eller en usb-sticka som ansluts i datorn. Men oavsett hur det sker är grundprincipen den samma: Även om du gått på en bluff och skickat ditt tusen tecken långa lösenord till en hackare någonstans i världen är ditt konto ändå inte i riskzonen, eftersom det bara är du som har prylen som kan skapa den kompletterande engångskoden.
Engångskoder går med största sannolikhet att slå på för väldigt många av dina konton. Facebook, Google, Microsoft, Instagram, Snapchat, Dropbox har det, och många, många fler. På Two Factor Auth finns en lista med tjänster där engångskod finns som säkerhetstillval.
Som sagt, det här gör inloggningsprocessen lite bökigare. Men så väldigt ofta loggar du ändå inte in på ditt Facebook-konto. Att behöva hämta upp en sexsiffrig kod i en app när du gör det är trots allt en relativt liten ansträngning i relation till det extra skydd det faktiskt innebär.
Här finns ytterligare en detalj om sunt förnuft: Engångskoder är alltid kopplade till ett specifikt konto. Om det kommer ett chattmeddelande från en kompis som behöver ”låna” engångskoder eftersom hens bankdosa gått sönder, som i den film Swedbank gjort för att utbilda sina kunder om det som kallas för Facebook-bedrägerier, är det ett uppenbart bedrägeriförsök. Dina engångskoder kan bara låsa upp ditt konto, ingen annans!
En sista uppmaning bara: Om du slår på engångskoder (vilket, om det inte framgått, jag verkligen tycker att du ska göra), läs också på om hur de fungerar hos just de tjänster du använder. Eftersom det inte längre räcker med lösenord blir konsekvensen att du kommer att låsa dig själv ute om du förlorar möjligheten att skapa eller ta emot engångskoden. Alla tjänster har funktioner och lösningar som minimerar risken för att det ska inträffa, men de kräver att man läser på innan!
De båda exempel jag använder ovan, med nätfiske och spionprogram, är för övrigt i sig ett bra argument för att säkra upp alla konton på sociala medier med hjälp av engångskoder. Informationsfilmen från Swedbank illustrerar varför: Om en vilt främmande person skickar en länk och ber dig installera ett program på din dator blir du förhoppningsvis misstänksam och låter bli. Men vad svarar du om en vän skickar ett meddelande på Facebook och tipsar om ett riktigt roligt spel? Intresset för att kapa konton i sociala medier handlar ofta om just det här. Det är inte innehållet i det kapade kontot som är intressant, utan den kapade personens vänner. En bedragare som kapar mitt konto kan skicka meddelanden till mina vänner som Anders Thoresson, och därmed öka sannolikheten för att vännerna faller för bedrägeriet och installerar det där spionprogrammet eller swishar pengarna jag/bedragaren ber om att få låna.
Det är inte bara bilderna och statusuppdateringarna vi har i sociala medier som är värdefulla. Listan med vänner är väldigt intressant att få tillgång till. Genom att aktivera engångskoder på alla de konton där du är dig själv och har dina vänner skyddar du också vännerna.