battlefield.no

A 1-post collection

Datainnbrudd fører til passordbytte

Twitter-melding fra Multigamer.no: "Datainnbrudd hos Battlefield.no: En eldre database fra Battlefield.no har blitt hacket".Twitter-melding fra Multigamer.no: "Datainnbrudd hos Battlefield.no: En eldre database fra Battlefield.no har blitt hacket".

Mandag, 12. mars, fikk jeg en e-post fra Battlefield.no og Multigamer.no, noen hadde brutt seg inn i en av deres gamle brukerdatabaser og min brukerkonto var en av de berørte.

Høsten 2011 lanserte Battlefield.no en ny portal, hvor brukerdatabasen ble slått sammen med Multigamer.no. Brukerdatabasen som har kommet på avveie stammer fra tiden før denne sammenslåingen, altså Battlefield.no sin gamle portal.

og…

Informasjonen som er hentet ut er email-adresser og enveiskrypterte passord i form av såkalt passord-hash og et salt (en liten tekst-bit som brukes i genereringen av passord-hash). Dette er en prosess som i utgangspunktet ikke kan kjøres i revers, men man kan ved hjelp av såkalt «brute force» ([2]les mer på Wikipedia her) gjette seg fram til enkelte typer passord. Det er særlig enkle passord («passord», «123», «hund», o.l.) som er utsatt for dette. Så langt har de funnet passordet til 1464 brukere ved hjelp av denne teknikken, og de har enveiskryptert passord til ytteligere 18295 brukere.
— E-post fra Multigamer.no, 12. mars 2012

Og sånn begynner arbeidet med å rydde opp i passord og brukeridentiteter på nett. Et raskt søk gjennom e-postkontoen jeg bruker for kontoopprettinger viser 101 treff på søket account -amazon -twitter, noe som betyr at her er det egentlig bare å komme igang med oppryddingen.

Så da må en lage nye passord. Alle som har mer enn en brukerkonto vet at det kan være en kjedelig affære å bytte passord på steder, hvor de alle sammen krever at det skal være minst fire tegn, åtte bokstaver langt, hvorav halvparten er små/store bokstaver og inneholde en ekorn-lyd for økt sikkerhet.

Dilbert-stripe«All passwords must be at least six characters long… include numbers and letters… include a mix of upper and lower case… use different passwords for each system. Change once a month. Do not write anything down» © Dilbert / Scott Adams

Jeg har en del slike passord, og jeg har selvfølgelig ulike passord basert på hvor viktig eller kritisk jeg mener tjenesten er. F.eks. MinID-passordet er unikt og vanskelig, det er også passordet til nettbanken. Passordet på tankekart-tjenesten Mindmeister derimot er en del enklere.

Passordet er dødt. Lenge leve sikkerhetsfraser

Passordet er dødt, det funker ikke lengre med et passord av typen 6a!e7E?R som er unikt for hver eneste tjeneste en bruker på nett. Det er her sikkerhetsfraser kommer til unnsetning. Sikkerhetsfraser er som et langt passord bestående av ord, det kan neppe beskrives bedre enn denne stripen fra xkcd.com:

– Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess. Kilde: xkcd.com – cc-by-nc– Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess. Kilde: xkcd.com – cc-by-nc

Et eksempel på en sikkerhetsfrase er «bøker fanger flytende drømmer» eller «undersøke beskrivende praktiske funksjoner», disse ordene danner ingen fullstendig setning og er derfor ikke tekst det vil være naturlig å gjette på for en som prøver å knekke passordet ditt. Samtidig er de enkle nok til at vi klarer å huske dem.

Fem ting du bør tenke på når du lager en sikkerhetsfrase (hentet fra Wikipedia):

  • Lang nok til at den er vanskelig å gjette – fire ord med minimum fire bokstaver hver
  • Bør ikke være et kjent sitat eller en del av en tekst
  • Vanskelig å resonere seg frem til — også for de som kjenner deg
  • Lett å huske og skrive (også på touch-dingser)
  • Bør helst ikke gjenbrukes på tvers av tjenester og nettsider

Trenger du hjelp til å lage sikkerhetsfraser, finnes det tjenester på nett som genererer slike sikkerhetsfraser for deg. Søker du på «passphrase generator» får du blant annet opp denne siden som lager tilfeldige sikkerhetsfraser på engelsk. Selv om det er vanskelig å finne lignende tjenester på norsk, vil Google Translate være til hjelp for å få sikkerhetsfrasen på norsk.

Jobben med å endre passord har allerede begynt, så er det bare å lage gode huskeregler for hvordan huske de ulike sikkerhetsfrasene for hver av tjenestene jeg bruker. Med flere ti-talls slike tjenester, kan det fort ta en stund før jeg har kommet meg gjennom alle. Når sist byttet du passord?