Lägg alla ägg i en bra korg

I en återupplivad video berättar Jonas Lejon (som jag driver Säkerhetsbubblan tillsammans med) om riskerna kring användning av lösenordshanterare. Filmen heter Lägg inte alla ägg i samma korg och visas på Jonas Linkedin-sida.

I videon visar Jonas hur han kan läsa ut lösenord, inklusive huvudlösenordet, ur lösenordshanteraren Keepass. Denna teknik kan han även använda för andra lösenordshanterare. Trots det tycker jag inte att det är så allvarligt som videon ger sken av. Keepass fortsätter att vara en av de två lösenordshanterarna som jag rekommenderar (den andra är Lastpass).

Metoden som Jonas använder baseras på en tangentbordslogger som registrerar huvudlösenordet. Därigenom kan mjukvaran komma åt alla andra lösenord och ladda upp dem till personen/gruppen som utför attacken. För att kunna använda denna metod måste datorn först infekteras på ett eller annat vis. Detta är viktigt att komma ihåg för att ställa attacken i perspektiv: om en attackerare lyckas infektera min dator med en tangentbordslogger av denna typ är jag chanslös hur som helst. Attackeraren kan avlyssna allt jag gör på datorn.

Jag är kort och gott ”schackmatt” om en attackerare har kommit så långt att hen har installerat denna typ av skadeprogram på min dator. Om företagets säkerhetslösningar varken detekterar tangentbordsloggaren eller den utgående trafiken är mina läckta lösenord ett litet problem i sammanhanget.

Jag tycker inte att Jonas video påvisar något allmänt problem kring användning av lösenordshanterare. Jag fortsätter att förespråka användning av lösenordshanterare till alla jag känner. De har visserligen sina brister, men våra mänskliga hjärnor har brister som är mycket mer långtgående.

Jag tycker däremot att Jonas video visar vikten av att inte använda en och samma dator till allt. Företagets IT-säkerhetsmedarbetare ska under inga omständigheter använda samma dator för att administrera servrar och lunchsurfa på nätet. Företagets ekonomiansvarige ska aldrig hantera miljontransaktioner på samma dator som hen läser mejlen. Företagets mest kritiska datorer får inte utsättas för dessa vardagliga säkerhetsbrister, för om de blir infekterade har alla försök till god lösenordshantering och tvåfaktorsautentisering varit förgäves. Dessa datorer ska av samma anledningar inte heller utrustas med en enda applikation som inte behövs för verksamheten. Det finns exempelvis ingen anledning att ha en mediaspelare eller en bildbehandlare installerad på datorn som används för serveradministration.

Både privatpersoner och de flesta företagsmedarbetare kan använda en och samma lösenordshanterare till alla sina tjänster. Detta gäller åtminstone så länge de följer god IT-säkerhetssed. När det gäller anställda som kommer i kontakt med särskilt känsliga inloggningsuppgifter, bör inloggningsuppgifterna delas upp (precis på samma sätt som dessa personer bör har två datorer). De får då en lösenordshanterare för alla vardagliga tjänster plus en lösenordshanterare som de endast använder för extremt företagskritiska inloggningsuppgifter.

Kom ihåg att personerna som behöver ha flera lösenordshanterare är mycket få. De absolut flesta klarar sig med en enda. Det är svårt nog att få alla anställda att hantera sina lösenord korrekt. Gör det därför lätt för den breda massan att göra rätt. Låt allmänheten lägga alla ägg i en och samma korg, så länge de hanterar korgen med den varsamhet som krävs. Några medarbetare behöver två ”korgar”, men de kan oftast räknas på ena handens fingrar.

Tips! Följ även Jonas blogg Kryptera, Sveriges största blogg om kryptering och säkerhet,  där han går ner på djupet i IT-säkerhetfrågorna.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar