8Sep
Folk taler om, at deres online-konti bliver "hacket", men hvordan sker netop denne hacking? Virkeligheden er, at konti er hacket på forholdsvis enkle måder - angriberne bruger ikke sort magi.
Viden er magt. At forstå, hvordan konti faktisk kompromitteres, kan hjælpe dig med at sikre dine konti og forhindre, at dine adgangskoder bliver "hacket" i første omgang.
Genbruger adgangskoder, især lækket
Mange mennesker - måske endda de fleste - genbruger adgangskoder til forskellige konti. Nogle mennesker kan endda bruge samme adgangskode til hver konto, de bruger. Dette er ekstremt usikkert. Mange websteder - selv store, velkendte som LinkedIn og eHarmony - har haft deres adgangskode databaser lækket de seneste år. Databaser af lækkede adgangskoder sammen med brugernavne og e-mail-adresser er let tilgængelige online. Attackere kan prøve disse kombinationer af e-mail-adresser, brugernavne og adgangskoder på andre websteder og få adgang til mange konti.
Genbrug af adgangskode til din e-mail-konto giver dig endnu mere risiko, da din e-mail-konto kunne bruges til at nulstille alle dine andre adgangskoder, hvis en angriber fik adgang til det.
Men godt, du er ved at sikre dine adgangskoder, du kan ikke kontrollere, hvor godt de tjenester, du bruger, sikrer dine adgangskoder. Hvis du genbruger adgangskoder og et firma slipper op, vil alle dine konti være i fare. Du skal bruge forskellige adgangskoder overalt - en adgangskodeadministrator kan hjælpe med dette.
Keyloggers
Keyloggers er ondsindede softwarestykker, der kan køre i baggrunden, og logger hvert tasteslag, du laver. De bruges ofte til at indfange følsomme data som kreditkortnumre, online bankadgangskoder og andre kontooplysninger. De sender derefter disse data til en angriber via internettet.
Sådan malware kan ankomme via udnyttelser - for eksempel hvis du bruger en forældet version af Java, da de fleste computere på internettet er, kan du blive kompromitteret via en Java-applet på en webside. Men de kan også ankomme forklædt i anden software. Du kan f.eks. Downloade et tredjeparts værktøj til et online spil. Værktøjet kan være ondsindet, fange dit spiladgangskode og sende det til angriberen via internettet.
Brug et anstændigt antivirusprogram, hold din software opdateret, og undgå at downloade ubetydelig software.
Socialteknik
Attackere bruger også almindelig tekniksteknik til at få adgang til dine konti. Phishing er en almindelig kendt form for social engineering - i det væsentlige angriber angriberen og beder om din adgangskode. Nogle brugere afleverer deres adgangskoder hurtigt. Her er nogle eksempler på socialteknik:
- Du modtager en e-mail, der hævder at være fra din bank, og leder dig til en falsk bankwebsted og beder dig om at udfylde dit kodeord.
- Du modtager en besked på Facebook eller andre sociale hjemmesider fra en bruger, der hævder at være en officiel Facebook-konto, og beder dig om at sende dit kodeord for at godkende dig selv.
- Du besøger et websted, der lover at give dig noget værdifuldt, såsom gratis spil på damp eller gratis guld i World of Warcraft. For at få denne falske belønning kræver hjemmesiden dit brugernavn og adgangskode til tjenesten.
Pas på, hvem du giver dit kodeord til - klik ikke på links i e-mails og gå til din banks hjemmeside, giv ikke videregiv din adgangskode til alle, der kontakter dig og beder om det, og giv ikke din konto legitimationsoplysninger tilupålidelige hjemmesider, især dem der synes for gode til at være sande.
Besvarelse af sikkerhedsspørgsmål
Adgangskoder kan ofte nulstilles ved at besvare sikkerhedsspørgsmål. Sikkerhedsspørgsmål er generelt utroligt svage - ofte ting som "Hvor blev du født?", "Hvilken gymnasium gik du til?" Og "Hvad var din mors pigenavn?".Det er ofte meget nemt at finde disse oplysninger på offentligt tilgængelige sociale netværkssider, og de fleste normale mennesker vil fortælle dig, hvilken gymnasium de gik til, hvis de blev spurgt. Med denne nemme information kan angriberne ofte nulstille adgangskoder og få adgang til konti.
Ideelt set bør du bruge sikkerhedsspørgsmål med svar, der ikke let opdages eller gættes. Websites skal også forhindre folk i at få adgang til en konto, bare fordi de kender svarene på nogle få sikkerhedsspørgsmål, og nogle gør - men nogle gør det stadig ikke.
Email-konto og adgangskode nulstiller
Hvis en angriber bruger en af de ovennævnte metoder til at få adgang til dine e-mail-konti, er du i større problemer. Din e-mail-konto fungerer generelt som din hovedkonto online. Alle andre konti, du bruger, er knyttet til det, og alle med adgang til e-mail-kontoen kan bruge den til at nulstille dine adgangskoder på et hvilket som helst antal websteder, du har registreret hos e-mail-adressen.
Af denne grund bør du sikre din e-mail-konto så meget som muligt. Det er især vigtigt at bruge et unikt kodeord til det og bevogte det omhyggeligt.
Hvilken adgangskode "Hacking" er ikke
De fleste mennesker tror sandsynligvis, at angribere prøver hver eneste mulig adgangskode til at logge ind på deres online-konto. Dette sker ikke. Hvis du forsøgte at logge ind på en persons online konto og fortsatte gætte adgangskoder, ville du blive bremset og forhindret i at prøve mere end en håndfuld adgangskoder.
Hvis en angriber kunne komme ind i en online-konto ved blot at gætte passwords, er det sandsynligt, at adgangskoden var noget indlysende, der kunne gættes ved de første forsøg, som f.eks. "Adgangskode" eller navnet på personens kæledyr.
Attackers kunne kun bruge sådanne brute-force metoder, hvis de havde lokal adgang til dine data - for eksempel lad os sige, at du lagrede en krypteret fil i din Dropbox-konto, og angriberne fik adgang til det og hentede den krypterede fil. De kan så forsøge at ødelægge krypteringen, og forsøger i det væsentlige hver enkelt adgangskombination, indtil man arbejder.
Mennesker, der siger, at deres konti er blevet "hacket", er sandsynligvis skyldige i at genbruge adgangskoder, installere en nøglelogger eller give deres legitimationsoplysninger til en angriber efter sociale tekniske tricks. De kan også være blevet kompromitteret som følge af let gættede sikkerhedsspørgsmål.
Hvis du tager de nødvendige sikkerhedsforanstaltninger, bliver det ikke nemt at "hakke" dine konti. Brug af tofaktorautentificering kan også hjælpe - en angriber har brug for mere end bare dit kodeord for at komme ind.
Billedkredit: Robbert van der Steeg på Flickr, asenat på Flickr