5 alvorlige argumenter for at skifte dit LinkedIn-kodeord nu

Det er alvorligt, hvis dit LinkedIn-password er blevet hacket, og du ikke skifter det. Læs hvorfor - og få tre råd til, hvordan du bør håndtere situationen.

Når 6,5 millioner kodeord lækkes fra et af verdens mest fremtrædende sociale medier, bliver det forsidestof verden over.

Læs også: Er din LinkedIn-konto blevet hacket? Tjek dit password her

Sådan gik det i sidste uge for det sociale karrieremedie LinkedIn, der måtte opfordre sine brugere til at skifte kodeordet til deres konti hurtigst muligt.

I Danmark er der cirka 840.000 brugere af det sociale medie, og derfor vækker sagen også opsigt herhjemme.

»Jeg kiggede jo selv indad, da jeg læste nyheden. Hvordan ser mine egne risici ud?« siger it-sikkerhedskonsulent i PricewaterhouseCoopers Claus Nørklit Roed til Version2.

For sagen er alvorlig, selvom LinkedIn i et blogindlæg oplyser, at der, så vidt vides, ikke er lækket tilhørende e-mail-konti til kodeordene.

Læs også: LinkedIn: SKIFT PASSWORD!

»Du bør ændre password på LinkedIn ligemeget hvad, da det kryptografiske 'fingeraftryk' er ude, og det er skabt således, at det er nemt at cracke (knække, red.),« forklarer sikkerhedschef hos Evedon og Version2-blogger Patrick Mylund Nielsen til Version2.

Her får du fem gode grunde til at skifte dit kodeord.

1)Du kompromitterer sikkerheden på andre tjenester, hvor du har brugt samme kombination af e-mailadresse og kodeord som LinkedIn.

»De fleste af os har det med at bruge de samme kodeord på ikke-kritiske hjemmesider. Jeg fandt selv ud af, jeg havde brugt den samme kombination af e-mail-adresse og kodeord på 3-4 andre hjemmesider, som jeg brugte på LinkedIn,« siger Claus Nørklit Roed.

»Så kan det godt være, at det ikke er fatale informationer, der ligger på hjemmesider som Facebook, Gmail eller Den Blå Avis, men derfor kan de godt være kritiske alligevel,« siger sikkerhedskonsulenten.

Derfor bør man skifte kodeordet både på LinkedIn og på de andre tjenester på nettet, hvor man har benyttet samme login-oplysninger.

2) Du risikerer, at andre kan misbruge dit professionelle netværk.

»Det åbner nogle muligheder for, at andre for eksempel kan få adgang til interessante LinkedIn-konti, som har rigtig mange connections. Det kan de misbruge til at øge deres eget netværk,« siger Claus Nørklit Roed.

»Men det kan også misbruges bag om ryggen på folk til for eksempel at udbede sig fortrolige informationer fra kontakter i netværket igennem LinkedIns direkte e-mail-service,« siger han.

3) Du risikerer, at andre kan misbruge og overtage din identitet.

»Selvom mange it-sikkerhedspolitikker forbyder det, er der rigtig mange helpdesks i virksomheder, som accepterer, at en bruger bare ringer ind og opgiver sit brugernavn og kodeord for at få det ændret,« siger Claus Nørklit Roed.

4) Du risikerer, at andre misbruger dine oplysninger til svindel mod private.

Det er for eksempel set herhjemme, hvor danske Gmail-brugere har fået misbrugt deres konto af it-kriminelle, der skriver til brugerens kontakter og beder om penge under påskud af at være blevet overfaldet under en udlandsrejse.

Læs også: Danskeres Gmail hacket og misbrugt til at lokke penge fra venner

5) Tjenesten Sign in with LinkedIn gør det muligt at logge ind på en række hjemmesider med dine login-oplysninger fra LinkedIn, på samme måde som det er muligt med Facebook på mange hjemmesider.

3 gode råd: Sådan skifter du bedst kodeordet

Version2's sikkerhedsblogger, Patrick Mylund Nielsen, giver her tre gode råd til, hvordan du vælger et nyt kodeord.

  1. Lad være med at skifte LinkedIn-kodeord til noget, du bruger et andet sted, også selv om det er en ny kode. Det er jo ikke garanteret, at de har lukket hullet, der gav hackerne adgang til hash-strengene til at starte med. Hvis du bruger samme password eller et lignende password andre steder, bør du også ændre dit password på de sider.
  2. Et godt råd er at bruge et unikt kodeord og gøre det så langt som muligt (kompleksiteten er underordnet). En sætning på fem ord eller mere, der ikke giver mening, er et godt kodeord. Find mere inspiration på www.diceware.com
  3. Hvis det er muligt, så brug en password-manager, og generér lange, tilfældige og unikke kodeord for hver side, som du gemmer deri. Det er også o.k. at skrive dem ned, hvis du ikke har noget imod at taste dem ind manuelt.
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Filip Larsen

Så vidt jeg kan vurdere, så aktiverede LinkedIn allerede for mange dage siden (lige da nyheden kom frem i medierne) et tvunget skift af password på alle konti, så man som bruger slet ikke kan logge på uden at nulstille sit password (jeg ved dog ikke om de rent faktiskt sikrer, at det nye password er forskelligt fra det gamle). I så fald er det kun punkt 1) i artiklen der faktisk er en øget risiko for.

  • 0
  • 0
Peter Makholm

Jeg får lidt nogle trækninger i ansigtet når jeg læser om brugen af hash-funktioner. Jeg forstår ikke folk der sidder men en forholdsvis velgennemtænkt løsning som HMAC og så tænker: Det var godt nok smart, jeg tror sgu lige at jeg laver noget andet.

Ok, det er tilladt at lave en fejl - men kun én gang. Når han efter at have opdaget et muligt problem ikke straks begynder at bruge den udbredte løsning er over min forstand.

  • 0
  • 0
Ronni Elken Lindsgaard

Jeg forstår ikke din kritik. Jeg kan ikke lige følge din sammenligning mellem RndPhrase og HMAC. Vil du uddybe?

Jeg er ikke sikkerhedsekspert - men umiddelbart kan jeg ikke se det er konceptuelt forkert at bruge hash-funktioner i forbindelse med kryptering/sikkerhed m.m. - det handler om at bruge tingene fornuftigt og vide hvornår det giver mening at hashe.

Det smarte ved RndPhrase er at du bruger en adgangskode på en side som du ikke engang selv kender (sådan da). Det sikrer at den adgangskode du bruger ikke bliver kompromiteret skulle det være muligt at finde frem til adgangskoden - som f.eks. ved at bryde LinkedIns sha-1 hash.
Jeg siger ikke at RndPhrase bør stå alene - men det er effektivt nok til at lægge et ekstra lag sikkerhed på og det automatiserer netop de 3 råd som er givet i artiklen.

Sikkerhed handler ikke kun om at det skal være smart/stærkt - det handler også om at det skal være nemt og bekvemt at bruge så man rent faktisk gør brug af den.

  • 0
  • 0
Martin Frandsen

"You are technically correct, the best kind of correct," som man siger. Problemet er ikke hackede passwords eller folks egne usikre valg af løsen. Fejlen er at brugere stadig tror at certifikat-systemet er sikkert - det er ikke tilfældet.

I fire år har en eller flere grupper kriminelle haft adgang til at signere deres egne certifikater. Vi ser nu toppen af det isbjerg med dele af 'Flame' som anvendte Windows Update til at sprede sig selv (self-destruct er sendt så færre admins opdater at deres systemer er sårbare.)

LinkedIn blev brudt fordi folk er dumme. De downloader en 3rd party app og giver den deres passwords til diverse sociale tjenester. I dette tilfælde var linkedIn app'en sjusket kodet og sendte login/pass som klartekst.

Det virkelig slemme er at linkedin gemmer på folks arbejdshistorik. De har ukritisk fortalt alt om dem selv til et system der er ekstremt sårbart.

Mit råd er at undlade at fortælle noget om dig selv. Alder, Køn, bopæl, mailadresse, navn, øgenavne og så videre. ALT kan bruges og ALT vil blive brugt.

I bliver nødt til at forstå at vise argumenter ikke længere er gyldige fordi situationen (normen om man vil) har ændret sig. Visse regeringer har brugt meget lang tid og mange penge på at lave love og regler om. Visse medier har været meget lidt kritiske over for de alvorlige indgreb i datatilsyn, registerlov, kriminalret og habius corpus. Et muligt resultat af det press kan meget vel have været at den tradionelle BlackHat-Whitehat miljøbalance er faldet ud til fordel for BlackHats (det er i hvertfald mit indtryk når man ser på statistiske threat-detections fra diverse anti-virus firmaer.)

Det er mest sikkert at anvende et GamerNick og undlade at købe ting eller foretage identifiation via nettet. NemID, netbank og lign. er (for mit vedkommende) taget helt af bordet indtil denne storm har lagt sig.

  • 0
  • 1
Peter Makholm

Jeg er ikke sikkerhedsekspert - men umiddelbart kan jeg ikke se det er konceptuelt forkert at bruge hash-funktioner i forbindelse med kryptering/sikkerhed m.m. - det handler om at bruge tingene fornuftigt og vide hvornår det giver mening at hashe.

Jeg er helt enig. Min kritik har fire elementer:
* Jeg er ikke overbevist om at han bruger byggeklodserne fornuftigt.
* Jeg er ikke overbevist om at hans betragtninger der leder frem til at han ændre rækkenfølgen af hashes er relevante eller uddybende nok.
* Jeg mener ikke at ændringen i hvordan han hasher principielt løser problemet.
* Jeg ville foretrække en gængs metode som er gennemtænkt af flere kloge mennekser.

Muligvis mangler der nogle mellemregninger i hans beskrivelse, men jeg får ikke opfattelsen af at der ligger en ordentlig genanalyse af problemstillingen efter at han påviser noget han opfatter som en svaghed. Det virker bare som om han blander det lidt rundt så han netop reducerer det konkrete forbehold.

Derfor havde jeg foretrukket en brug af hashfunktioner der er blevet gennemanalyseret og diskuteret af dygtige krypterings-eksperter.

Det er korrekt at Johan Brinchs metode og HMAC ikke er direkte kompatible. HMAC tager en hemmelig nøgle og en "besked", mens Brinchs tager to hemmelige nøgler (seed og password) og en "besked". Men jeg finder det indlysende at overveje om ikke HMAC(seed||password, hostname) opfylder ens krav.

  • 0
  • 0
Patrick Mylund Nielsen

Det ville nok være bedre at konstruere en nonce fra siden+seedet og bruge passwordet som key i HMAC(siteinfo+seed) i stedet for at bruge et fixed-size hash på outputtet fra et fixed-size hash. Det er også en meget hurtig konstruktion, selv om det er betydeligt sværere at brute force et password hvis man ikke har adgang til seedet. Det er dog et godt initiativ, og jeg er fuldstændig enig i, at andre metoder har problemer:

  • Lange, tilfældige passwords i en password manager virker kun, hvis ingen får fat i password manageren. (Det er et langt større problem, end det lyder til. Du skal kun sniffe master passwordet, nappe managerens indhold fra hukommelsen, eller brute-force master passwordet én gang, før det er ligegyldigt hvor komplekse alle dine passwords var.)
  • En password manager kan være upraktisk hvis du ikke synkroniserer databasen, som f.eks. med LastPass, eller ved at have din KeePass KDB i Dropbox, men så øger du også chancen for, at nogen får fat på den.
  • At skrive sine lange, tilfældige passwords ned er meget mere sikkert, men også ekstremt besværligt.

En simpel KDF som PBKDF2, der ikke er svær at implementere i Javascript, ville måske virke bedre. En solid version af PBKDF2, HMAC og SHA-256 findes her:

http://crypto.stanford.edu/sjcl/
http://bitwiseshiftleft.github.com/sjcl/doc/symbols/sjcl.misc.html

En lignende løsning (der dog ikke har den ekstra seed), er PwdHash: http://crypto.stanford.edu/PwdHash/ Den bruger HMAC-MD5 (MD5, og SHA-1 for den sags skyld, er stadig sikre i f.eks. HMAC.)

Det er konceptuelt samme problem som at lagre passwords (formelt "password-based key derivation"), altså at man ikke skal kunne gætte det originale input fra "nøglen", "digestet" eller "passwordet", så løsningen er den samme: Brug en adaptiv KDF med en nonce/salt (og i denne sammenhæng en global "pepper", der ofte vil være hemmelig.) Han nævner scrypt på siden, og jeg tror da også den ville være sværere at implementere i Javascript, men det ville være det bedste. Er der for meget rum til brute-force, og du ikke har en tilstrækkelig mængde tilfældigt og hemmeligt input, er det ligemeget om du hasher fra højre til venstre eller omvendt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere