Tilstår nøgenhacking: Brød ind via lette sikkerhedsspørgsmål

Illustration: Virrage Images/Bigstock
Hackeren, som brød ind i 50 Hollywood-stjerners indbakke, har tilstået sine gerninger. Han fik blandt andet adgang til stjernernes nøgenbilleder ved at finde svar på deres sikkerhedsspørgsmål til e-mail-kontoen.

Selvom passwordet er verdens stærkeste, nytter det ikke meget, hvis kæden knækker et andet sted.

Og det gjorde den i høj grad, da kendte amerikanere som Scarlett Johansson og Christina Aguilera blev hacket af Christopher Chaney, en 35-årig mand fra Florida.

Han fik nemlig let adgang til ofrenes e-mail-konti ved at finde svarene på de tilknyttede sikkerhedsspørgsmål via offentligt tilgængelige oplysninger om personerne. Det skriver The Register.

Sikkerhedsspørgsmålene er tænkt som en hjælp, hvis man glemmer et password, men da mange bruger de standardspørgsmål, der bliver tilbudt, samt det tilhørende korrekte svar, kan det være et meget blødt punkt i sikkerheden. Et spørgsmål kan for eksempel handle om moderens pigenavn eller navnet på første kæledyr.

Da først Christopher Chaney havde fået adgang til de mange forskellige e-mail-konti, sørgede han for at få alt post videresendt. Var der noget saftigt stof imellem, sendte han det videre til sladderblade, men uden at få betaling for oplysningerne. På den måde fik han blandt andet lækket nøgenbilleder af Scarlett Johansson, som hun havde sendt til sin daværende kæreste.

Straffen for hacking og aflytning er endnu ikke afmålt for Christopher Chaney, som blev anholdt i oktober efter et års efterforskning i sagen.

Problemet med den nogle gange meget ringe sikkerhed i sikkerhedsspørgsmålene kom især i fokus, da Sarah Palin fik sin private e-mail-konto hos Yahoo hacket under valgkampen i 2008, hvor hun stillede op som John McCains vicepræsidentkandidat.

Det viste sig senere at være en 20-årig universitetsstuderende, som stod bag angrebet. Det krævede blot Sarah Palins postnummer, fødselsdato samt et gæt på, at hun havde mødt sin mand i gymnasietiden, før han fik adgang til politikerens e-mail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thue Kristensen

Det er vel åbenlyst at ens konto ikke er mere sikker end det mest usikre af password of sikkerhedsspørgsmål. Og et sikkerhedsspørgsmål som "hvor er du født" er jo i sagens natur ikke særligt sikkert, sammenlignet med et password! Alligevel er der nogle tjenester som insisterer på at man skal angive et sikkerhedsspørgsmål.

Af samme grund så er mit sikkerhedsspørgsmål altid JKFHFUEIsdfsdKJEHF, og svaret jkdfhJKHFEH#3jhdfsdiugh, når en tjeneste insisterer på at jeg skal angive et sikkerhedsspørgsmål, som jeg kan se giver adgang i stedet for password.

En meget bedre metode er fx Google's hvor man kan knytte et mobilnummer til sin gmail-konto, og så få sendt en kode pr SMS for at verificere sin identitet.

  • 4
  • 1
Torben Mogensen Blogger

Sikkerhedsspørgsmål kan bruges fornuftigt, men hvis spørgsmålene er f.eks. navnet på ens første skole, kæreste, kæledyr eller sådan noget, så er de oplagte sikkerhedshuller. For mange mennesker kan man finde de oplysninger på nettet eller blot gætte på almindelige navne (hvor mange har ikke haft et kæledyr, der hed "Blackie" eller "Beauty"?)

Men hvis man for lov selv at stille et spørgsmål, kan man gøre det til noget mere personligt, som man ikke så nemt kan finde eller gætte. Men det kræver mere selverkendelse og disciplin end de fleste netbrugere mestrer (jvf. også diskussionen om usikre løsener).

  • 4
  • 0
Jesper Lund

En meget bedre metode er fx Google's hvor man kan knytte et mobilnummer til sin gmail-konto, og så få sendt en kode pr SMS for at verificere sin identitet.

Husk at du er en del af produktet, ikke kunden, ved det "gratis" Gmail. Google får knyttet en sammenhæng mellem din Gmail adresse og dit mobilnummer som de ikke havde i forvejen. Og hvis du læser emails på din smartphone, er det tvivlsomt hvor meget det reelt forbedrer sikkerheden (stjålet telefon som angrebsvektor).

  • 7
  • 6
Thue Kristensen
  • 1
  • 0
Thue Kristensen

Husk at du er en del af produktet, ikke kunden, ved det "gratis" Gmail.

Hvilket modsætning til NemID er ok, for det er mit frie valg.

Og hvis du læser emails på din smartphone, er det tvivlsomt hvor meget det reelt forbedrer sikkerheden (stjålet telefon som angrebsvektor).

Sandt. Men stadig bedre end et usikkert sikkerhedsspørgsmål, da man trods alt skal stjæle noget fysisk fra mig for at få adgang.

  • 4
  • 1
Torben Mogensen Blogger

De fleste webmailudbydere tilbyder at sende et kodeord til en i forvejen udvalgt anden mailadresse. Så hvis man har mere end en mailkonto (og kan huske kodeordet på en af dem), kan man i reglen få genetableret kontakt til de andre.

Omvendt betyder det også, at man risikerer, at en hacker får adgang til alle kontiene, hvis han blot finder vej til den ene.

  • 1
  • 0
Erik Jacobsen

Hvis man får lov til selv at skrive sit spørgsmål, kan må jo også tage det fra den humoristiske side: "Why the hell are you trying to break into my account?". Det svar man så anfører kan være en meget lang tilfældig streng, som man skriver ned og gemmer forsvarligt.

  • 0
  • 0
Nicolai Hansen

Gad vide hvor mange konti man kan få adgang til, ved at gætte på sikkerhedsspørgsmålet med svaret "qwerty" eller (min favorit) "asdasd".

Jeg forstår ikke hvem der er som har opfundet disse "standard spørgsmål" (hvad var din mors pigenavn? / hvor er du født / osv) man kan sådan set google sig til at svar på dem alle.

  • 1
  • 0
Anders Rosendal
  • 1
  • 0
Rasmus Johansen

Nej, alle dem der kræver password skal bare stoppe med alle deres krav, om store, små bogstaver, tegn, tal osv. Men heller kræve en min længde. Der var en artikel, hvor vi viste hvor hurtigt et kodeord som 71Snu.Sg kunne brydes, hvor et kodeord som hestfordkonstantinogfrøkenmims ville tage meget længere tid. Hackere ved at der skal være en blanding af bogstaver og tal, men at skulle gætte sig frem til 4-5 forskellige ord, som ikke er relateret til hinanden, kræver en del af maskinen.

  • 0
  • 0
Jesper Østergaard

På præcis samme måde som der er meget stor forskel på password politikker og dermed den ønskede sikkerhed i forhold til at tillade adgang til et givent system, så skal der være fornuftige politikker vedr. sikkerhedsspørgsmål. Eller i en lidt videre forstand - at opnå adgang til at kunne ændre et password - det svageste led...
Spørgsmål kan defineres som eksempelvis moders ungpige navn kombineret med sidste fire cifre i kreditkortet/sygesikringsbevis/kørekort - noget man bærer på sig.

Er der behov for yderligere sikkerhed, ja så er det en god ide at kombinere spørgsmålene med også at sende en pinkode til en mobiltelefon - Stærk autentificering vil ofte være fornuftigt hvis det er følsomme systemer/data der tilgås. Man skal være yderst opmærksom på ikke at gå på kompromis her.

Hvis nogen har interesse deler jeg meget gerne en best practice guide der omhandler præcist dette område.
mail til jo@fastpasscorp.com

  • 0
  • 0
Log ind eller Opret konto for at kommentere