Artikel top billede

(Foto: Computerworld)

Er du hacket? Ingen grund til panik – her er redningen!

Find ud af, om dine konti er blevet hacket, og se her, hvad du kan gøre ved det. Alt håb er bestemt ikke ude.

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Hvis der er én ting, der kan bringe sveden frem på panden, er det tanken om at blive hacket. I årenes løb har vi udrustet dig med alle de redskaber, du skal bruge for at beskytte din pc mod vira, hackere og andre former for malware, men kampen slutter aldrig. Nu om dage er de fleste trusler adfærdsbetingede – de bygger på, at svindlere har held til at placere falske e-mails, der rummer ondsindede vedhæftninger og links til falske websites.

Selv hvis du er opmærksom på alt dette, har kæden et afgørende svagt led: onlinekonti. Mange af os har oprettet masser af konti og sikret dem med korte og ofte genbrugte kodeord, som er nemme at huske – og dermed nemme at hacke. Endnu værre er det, at selv hvis du ikke personligt har overdraget dit kodeord, taler sandsynligheden for, at mindst én onlinetjeneste, som du bruger, er blevet hacket, således at dine data bliver lagt blot på det såkaldte mørke net.

Tror du ikke på os? I januar i år udgav websitet Have I Been Pwned Collection 1, der er en samling af over 770 millioner angrebne onlinekonti, herunder loginoplysninger og kodeord. Sitet omfatter et søgeværktøj, der gør det muligt for dig selv at se, om du er med på listen. Og medmindre du er meget heldig eller stort set aldrig bruger onlinetjenester, figurerer du med stor sikkerhed på denne liste.

Der er ingen grund til panik. I denne artikel afslører vi alt det, du skal vide for at finde ud af, om du står på listen, hvad du skal gøre, hvis det er tilfældet, og hvordan du lukker dine konti med gratis værktøjer og onlineerfaring. Lad os se at komme i gang.

Hvis du allerede er blevet hacket, skal du gå til afsnittet “Nødsituationer”. Hvis du læser denne artikel, fordi du vil blive klogere på de senere tilfælde af angrebne data, skal vi se på et par metoder, du kan bruge til at stramme op på din onlinesikkerhed.

Først og fremmest er tiden inde til at bruge et vpn (virtual private network). Der findes både gratis versioner og betalingstjenester – dem kan du læse om i tekstboksen nedenfor.

Når du får forbindelse via et vpn, maskerer du din sande lokation, som den er determineret af din offentlige ip-adresse. Du får blot forbindelse gennem den lokation, der er tættest på din egen. Hvorfor skal du gøre alt det? Det skal du gøre for det tilfældes skyld, at websitet Have I Been Pwned nogen sinde bliver angrebet. I så fald ønsker du ikke at efterlade vidnesbyrd om din tilstedeværelse.

Vpn’er krypterer det indhold, du sender og modtager til og fra internettet, men de skjuler ikke de data, du sender til de websites, du besøger, og du efterlader stadig oplysninger om de steder, du har været, på din pc. Du kan sikre dig, at intet bliver registreret, ved at åbne et privat eller “inkognito” vindue i din browser. Slå også browser-extensions fra, for nogle af dem gemmer information fra private browservinduer.

Opret et vpn

Vi går varmt ind for virtuelle private netværk, og det er der gode grunde til. De maskerer ens identitet og krypterer alle de data, der bliver sendt og modtaget over internettet. Vpn er et essentielt værktøj, hvis man ofte browser på ukrypterede trådløse netværk såsom offentlige hotspots. Det myldrer med vpn-udbydere, og der er tre, vi kan anbefale. De fungerer alle på mobile enheder og på desktopmaskiner, og de bruger alle den strammeste form for kryptering.

Creme de la creme er ExpressVPN (www.expressvpn.com), der lever op til alle kravene om sikkerhed. Her er man sikker på, at ingen identificerbare spor efter ens browseraktivitet bliver registreret. Tjenesten har over 2000 servere fordelt på 140 storbyer i 90 lande, og det gør den også praktisk, hvis man ønsker adgang til geo-begrænset indhold (såsom BBC iPlayer).

Processen med at kryptere og dekryptere ens internettrafik plus den ekstra afstand, den tilbagelægger gennem ens vpn’s servere, har normalt en mærkbar indflydelse på ydelsen, men ExpressVPN er så hurtig, at man ikke bemærker det.

Ulempen ved ExpressVPN er prisen: 12,95 dollars om måneden eller 99,99 dollars for et år (dog kan man i skrivende stund få 15 måneder til 12 måneders pris). Hvis det er for dyrt, er der et godt alternativ i NordVPN (www.nordvpn.com), som tilbyder tre år for blot 107,55 dollars (2,99 dollars om måneden). Tjenesten er langsommere end Express-VPN, og den dækker færre territorier, men den har over 5000 servere og kan bruges på seks enheder samtidig (med ExpressVPN er det tre).

Hvis du helt vil undgå at betale, tilbyder mange tjenester reducerede versioner med en månedlig båndbreddegrænse og et begrænset udvalg af servere. Den mest gavmilde er WindScribe (www.windscribe.com), der giver 10 GB fri båndbredde pr. måned og giver mulighed for forbindelse via en lang række lande, bl.a. USA, UK og Schweiz for de paranoide.

Hold øje med angreb

Mens du har et privat browservindue åbent, besøger du https://haveibeenpwned.com og skriver din primære mailadresse, før du klikker på knappen “pwned?”. Efter en pause får du resultaterne.
De er delt op i to: sites og “pastes.” Angrebne sites omfatter individuelle sites (som LinkedIn fra 2016 og Dropbox fra 2012) og samlinger som Collection #1. “Pastes” er de steder, hvor hackede brugernavne, e-mailadresser og anden information er blevet placeret i det offentlige rum på andre websites. Hvis du blader ned, kan du læse om hvert angreb – her er der titel, resume og den eksponerede information.

Mange af disse angreb burde allerede have været oplyst for dig; ethvert firma, der er blevet hacket, bør e-maile til sine brugere, og nogle er gået videre ved at tvinge alle brugere til at omdøbe deres kodeord. I disse tilfælde er resultaterne historiske og bekræfter meget af det, du allerede vidste.

Mange af os har nu om dage mere end én e-mailkonto, og man bør derfor køre søgninger på alle de konti, man har (inklusive webbaserede tjenester som Gmail og Outlook.com). Husk også gamle adresser, der ikke længere er i brug, navnlig hvis du stadig bruger dem til at logge på bestemte tjenester.

Have I Been Pwned har et endnu vigtigere redskab. Åbn en ny privat fane, og gå til https://haveibeenpwned.com/Passwords, hvor du bør skrive alle de kodeord, du hyppigt bruger. Du vil med afsky konstatere, at de fleste af dem er blevet ramt. Selv hvis du ikke personligt er blevet udvalgt, taler sandsynligheden for, at nogle andre har brugt det samme kodeord og er blevet hacket.
Noter dem alle. Nu bør du have en liste over konti og kodeord, der på et tidspunkt er blevet ramt. Dem bør du snarest forholde dig til, hvis du ikke allerede har gjort det.

Find ud af, hvilke af dine kodeord der er blevet angrebet, hos Have I Been Pwned?

En ny tilgang til kodeord

Her er den lære, vi kan drage af Have I Been Pwned: Man kan ikke længere sætte sin lid til en håndfuld korte kodeord, der er nemme at gætte, og som bliver brugt regelmæssigt, hvis man vil sikre sine onlinekonti. Men hvordan løser man denne version af den gordiske knude? Hvordan bruger man lange, komplekse kodeord uden at låse sig selv ude fra sine konti, fordi man har forlagt eller glemt kodeordene?

Svaret er en kodeordsmanager – et onlineredskab, der genererer og husker alle dine logindetaljer for dig. De bliver låst inde i en krypteret boks bag et enkelt masterkodeord. Det kodeord, som du for enhver pris altid skal kunne huske. I tekstboksen på side 24 kan du læse mere om det at vælge kodeord.

Læs i deprimerende detaljer, hvor din e-mailadresse er blevet angrebet.

Kodeordsmanagere omfatter en Windows-app og browserextensions, der gør det nemt at kopiere og udfylde loginoplysninger uden at skulle skrive noget som helst. De bør omfatte apps til alle dine tjenester – også telefon og tablet – og robust sikkerhed. I tilfælde af et angreb skal dine data forblive krypterede og uden for rækkevidde. En god kodeordsmanager bør også levere advarsler om dataangreb og rumme forskellige værktøjer, der hjælper dig med at afsløre svage og genbrugte kodeord.

Vi anbefaler en ud af tre kodeordsmanagere, afhængig af dine behov og din pengepung. Have I Been Pwned anbefaler 1Password, der koster omkring 36 dollars om året, (60 dollars for familier), og man kan downloade den fra https://1password.com. Den rummer afgjort alt det vigtige – selv sætter vi pris på dens Secure Desktop-tilstand, der kører 1Password i en isoleret proces for at styre fri af keyloggers – men det er dyrt.

Brug 1Password’s “Secure Login”-funktion for at stoppe eventuelle keyloggere.

LastPass (www.lastpass.com) har generøst gjort al sin kernefunktionalitet gratis, og vi elsker dens sikkerhedsvurdering, der gør det nemt at afsløre og opdatere svage og angrebne kodeord. Men dens Firefox-extension er noget hø, og det dataangreb, som tjenesten var involveret i, rumsterer stadig, til trods for at brugerboksene forblev krypterede og uden for rækkevidde.

Vi bruger i øjeblikket selv BitWarden (www.bitwarden.com). Den er knap så veludviklet som de to andre, men den haler hurtigt ind på dem. Den er open source, det meste af dens funktionalitet er helt gratis, og dens Premium-udgave koster kun 10 dollars om året. Denne udgave leverer forskellige rapporter, der kan identificere svage og angrebne konti.

Uanset hvilken manager man vælger, fungerer de alle på samme facon. Installer dens browserextension for at få adgang via din browser. Der findes også en skrivebords-app, men den er strengt taget ikke nødvendig. Nogle funktioner i LastPass og BitWarden er også begrænsede til adgang via ens webboks i et browservindue.

Opret en ny konto i overensstemmelse med vores anbefalinger, når du skal vælge et stærkt masterkodeord. Her er det også værd at overveje tofaktorgodkendelse (2FA) til din kodeordsmanager. I tekstboksen på side 25 kan du se, hvorfor og hvordan du gør det.

Opdater svage kodeord

Hvis du for første gang har arrangeret en kodeordsmanager, skal du nu logge ind på hver konto individuelt. Når du bliver bedt om det, skal du tillade, at din kodeordsmanager gemmer kodeordet i sin boks. Dernæst finder du den sektion, hvor du kan opdatere dit kodeord – typisk under “Account” eller “Settings.” Brug kodeordsmanagerens kodeordsgenerator-redskab til at oprette et nyt vilkårligt kodeord – jo længere, desto bedre. Brug en blanding af store og små bogstaver, tal og (hvis det er tilladt) symboler. Kort sagt: Gør det umuligt at huske det.

Kopier det til udklipsholderen, og sæt det ind i nye kodeordsfelter, før du opdaterer kodeordet.
Hvis du er heldig, opdaterer dine kodeordsmanager ændringen og tilbyder at opdatere dit kodeord automatisk. Hvis det ikke sker, logger du ud og ind igen, idet du indsætter det nye kodeord over det gamle i loginboksen. I de fleste tilfælde opdager din kodeordsmanager nu ændringen og tilbyder at opdatere kodeordet. Hvis det ikke er tilfældet, åbner du din kodeordsboks, klikker “Edit” ud for kontoen og indsætter det nye kodeord.

De fleste kodeordsmanagere registrerer din kodeordshistorik. Det kan være nyttigt at gå fremad, hvis din kodeordsændring ikke er blevet registreret, og du er nødt til at vende tilbage til det tidligere kodeord for at logge på igen. Mens du gennemgår dine konti, støder du formentlig på nogle, der ikke er aktive eller ikke længere er nødvendige. I stedet for at opdatere et kodeord, som du ikke længere bruger, er det bedre at overveje helt at slette kontoen.

Hvis du har brugt en kodeordsmanager i månedsvis, vil de fleste af dine logins være blevet registreret. Nu er tiden inde til at bruge din manager til at identificere og opdatere svage og angrebne kodeord. 1Password leverer sine WatchTower-rapporter i sin Windows-app såvel som online.

LastPass og BitWarden er nødt til at logge på deres boks via internettet. Herfra skal LastPass-brugere vælge “Security Challenge” til venstre – klik på “Show My Score”, gå igen ind i dit masterkodeord, og gennemgå så resultaterne. LastPass’ Chrome-extension understøtter også opdatering af dine kodeord i batches for at spare tid. Brugere af BitWarden Premium kan finde et udvalg af rapporter, der fremhæver problemer, under “Tools”.

Det perfekte kodeord

Den tid, da man kunne sikre sine onlinekonti med korte kodeord, der var nemme at gætte, er ovre. Men hvordan ser det perfekte kodeord ud? Drejer det sig om vilkårlige tegn, kodeordslængde eller en kombination af begge dele? Lad os begynde med tegnene. Kodeordet “mads” er tydeligvis svagere end “*l3G”, især hvis det er dit fornavn.

Imidlertid er et længere kodeord som “JegElskerSankthansaften” ikke blot til at huske; det er potentielt stærkere end “*l3G”. Det skyldes, at til trods for, at det måske er til at gætte, er det mere modstandsdygtigt over for brute force-angreb, der blot gennemgår alle mulige kombinationer af bogstaver for at nå frem til det korrekte kodeord. Kortere kodeord er derfor nemmere (og hurtigere) at cracke, fordi der er langt færre mulige kombinationer.

Når det er sagt, er lange kodeord sårbare, fordi der er en tendens til, at de bliver genbrugt – hvis ikke af dig, så af andre. Hvis et kodeord bliver eksponeret, fordi et sites brugernavn og kodeord er blevet angrebet, kan crackere bruge dette kodeord, før de tyr til brute force-metoden, og dermed er kodeordet ubrugeligt for alle – ikke kun for dem, der oprindelig brugte det.

Det er årsagen til, at kodeordmanagere er essentielle. Med dem kan man generere lange, vilkårlige kodeord, som det er umuligt at huske eller gætte, og man kan modstå brute force-angreb i måneder eller sågar år. Når den tid er gået, bør det pågældende site være opmærksomt på, at det er under angreb, og tage de nødvendige forholdsregler.

Det er anderledes med ens kodeordsmanagers masterkodeord; det er man nødt til at huske. Det kommer man om ved med et system, der opretter et langt alfanumerisk kodeord (med symboler), som kun du kan huske. For eksempel: “ “Jaj’Ælsker#Sankt$Hans%Aften”. Hvis du parrer det med 2FA og en kryptisk kodeordshusker (hvis du får brug for en påmindelse), bliver dine kodeord så sikre, som de overhovedet kan være.

Nødsituationer

Alt det ovenstående er meget udmærket, men hvad sker der, hvis du bliver låst ude fra din egen konto? Hvis du får sådan en advarsel med e-mail, skal du ikke ile med at klikke på nogen links i den, for de kan styre dig hen til en faksimile af det ægte website og opsnappe de oplysninger, du angiver, for at hacke din konto. De fleste browsere og gode sikkerhedspakker opdager indlysende svindel på kilometers afstand, men tjek alligevel manuelt.

Besøg det pågældende site ved at skrive dets adresse ind i din browser. Bekræft, at adressen er ægte, ved at tjekke URL’en i din browsers adressebjælke og ved at klikke på låsen ved siden af den. Hvis du er blevet videresendt, er dette et tegn på, at din pc’s sikkerhed kan være angrebet. Hvis du har adgang til en anden pc, som er ren, og som du stoler på, kan du bruge den til at sikre dine konti, før du undersøger den mulige infektion på din pc.

Hvis du er overbevist om, at sitet er ægte, logger du ind, ændrer dit koderord og leder efter muligheder for at tilføje 2FA. Hvis du konstaterer, at du er låst ude, skal du begynde med at prøve en simpel kodeordsreset – de fleste tjenester omfatter en sådan funktion. Skriv e-mailadressen på din konto, så kommer der en e-mail flyvende til den konto. Hvis du er overbevist om, at anmodningen er ægte, er dette det eneste tidspunt, du klikker på linket i e-mailen, men du må hellere dobbelttjekke, at du er på det rette site. Efter at du har opdateret dit kodeord, skal du aktivere 2FA, hvis du får det tilbudt.

Tjek, at et site er ægte, før du logger ind.

Hvis du ikke har anmodet om en kodeordsreset, kan det være et tegn på, at nogle har fået adgang til din e-mailkonto. Alle ordentlige web-baserede konti understøtter 2FA, og hvis du har aktiveret den, bør alt være i orden. Ellers skal du opdatere dit kodeord og aktivere det.

Hvis du er blevet låst ude fra din e-mailkonto, har du to muligheder: Du opretter endnu en e-mail, som du kan bruge som gendannelsesadresse for at resette dit kodeord; eller du kan bevise, hvem du er, på andre måder. Google, Microsoft, Apple og andre større sites har detaljerede gendannelsesprocedurer, der giver mulighed for at besvare visse spørgsmål ved hjælp af personlig identificerbar information.

Facebook giver mulighed for at nominere en betroet ven, der kan hjælpe dig med at genvinde kontrollen over kontoen. Igen skal du huske at sikre dig, at du er på det ægte website, og at det ikke er fup. Denne proces afhænger også af, at hacke-ren ikke har ændret din personlige information for at forhindre dig i at få adgang. Du er nødt til at kontakte din e-mailudbyders supportsider og få specifik rådgivning, hvis du ikke kan komme ind (søge på “hacked”, “recovery”, ”Gendannelse” eller “password reset”). Vær forberedt på at ringe op, hvis det er muligt.

Når du har genvundet kontrollen med din konto, logger du ind til den tilknyttede e-mail og tjekker indbakken, sendt post, junk og papirkurv for at se, om hackeren har efterladt nogen spor af, hvad der er foregået – herunder andre berørte konti. Du vil måske endda konstatere, at spam eller inficerede meddelelser er blevet sendt til dine kontakter. I så fald skal du advare dem.

Hvis du tror, at du er offer for identitetstyveri – det bliver typisk afsløret ved usædvanlige transaktioner i dine bankkontoudtog – skal du besøge et kreditoplysningsbureau og få oplyst, hvad du skal gøre. Det drejer sig typisk om at bestille en kopi af dine kreditoplysninger og indgive en anmeldelse. Kontakt også politiet, og tal med din kreditkortudbyder og med din bank.

Et ekstra beskyttelseslag

Man kan stort set eliminere truslen fra et brute force-angreb, men man kan ikke forhindre, at kodeord bliver eksponeret som del af en større sikkerhedsbrist, der skyldes fejl eller svagheder hos den onlinetjeneste, der forvalter ens data. Hvordan griber man sagerne an, hvis man vil beskytte sin konto mod konsekvenserne af et sådant angreb?

Svaret skal findes i 2FA (tofaktorgodkendelse). Den teknik indfører et sekundært element i login-processen: Der er tale om en sekscifret kode, som man skal indskrive foruden kodeordet. Koden skifter regelmæssigt, og den kan leveres via e-mail, sms eller godkendelses-app. E-mail er den mindst sikre løsning – tænk, hvis din konto bliver angrebet – og godkendelses-app eller sms er at foretrække, fordi de kræver din mobiltelefon, der er en separat enhed, som er uden for hackerens rækkevidde.
Sms’er kræver et cellulært netværk – koderne skifter gerne med fem-ti minutters mellemrum – men godkendelses-apps arbejder offline, og koderne skifter hvert 30. sekund, hvilket tydeligvis er mere sikkert. Der findes talrige systemer og apps, men vi anbefaler Authy (www.authy.com), som man kan bruge på mere end én enhed.

Efter at have installeret og arran-geret appen logger du på din onlinekonto og leder efter en indstilling, der kan aktivere 2FA. Hvis den er der, vælger du muligheden for at modtage koder efter app eller Google Authenticator, hvis den er navnetjekket. Du kan enten indskrive den lange kode manuelt eller scanne den unikt genererede QR-kode ind i Authy ved hjælp af din telefons kamera. Skriv den sekscifrede kode for at verificere, at alt er blevet ordnet korrekt, og så er du færdig. Åbn blot appen – som kan kodebeskyttes med henblik på yderligere sikkerhed – og så bliver du bedt om at skrive en 2FA-kode og dermed logge ind.

Sikkerhed for fremtiden

Når du har løst dine problemer og sikret dig, at dine konti er beskyttet af opdaterede kodeord, er du færdig ikke sandt? Nej, ikke helt. Nu er tiden inde til at anlægge en mere proaktiv tilgang. For det første behøver du ikke bekymre dig om at ændre dine kodeord hvert halve år, som den konventionelle visdom ellers fordrer. Dine kodeord er ikke længere nemme at gætte, og de bliver ikke afsløret af brute force-angreb foreløbig.

Led efter angreb i et privat eller inkognito browservindue.

Når det er sagt, kan det være klogt at ændre kodeord en gang om året, navnlig når det gælder konti, der ikke har 2FA-beskyttelse. Rapporter som Have I Been Pwned bygger på gamle data, og man kan derfor ikke regne med, at man er i sikkerhed, indtil ens kodeordsmanager sender en advarsel. Vi vil også foreslå, at du opdaterer dit masterkodeord oftere – for eksempel hvert halve år. Led efter muligheden for at rotere din krypteringsnøgle ved samme lejlighed.

Bortset fra det kan vi kun anbefale dig at følge de sædvanlige råd om god praksis: Aktiver 2FA, når det overhovedet er muligt, hold et vågent øje med din pc’s sikkerhed, læs vores artikler i tidligere numre, vær altid på vagt over for bedragere – de fleste hacks finder i dag sted ved svindel – og frem for alt: Lad være med at blive grebet af panik!