Om informationssäkerhet och sekretess i en allt digitalare vardag

Säkerhet,Säkerhetsfrågor,Sårbarheter

Vill du ha säkrare säkerhetsfrågor? Ljug!

11 Nov , 2018, 14.36 Linus Nyman

 

Säkerhetsfrågor. Det finns få saker som är så osäkra som säkerhetsfrågor.

Stöter man på säkerhetsfrågor (eng. security questions) så är det vanligtvis i samband med att man skapar ett nytt online konto. Och så blir man ombedd att ge ett svar på en säkerhetsfråga, vilken kan användas för att säkerställa att vi är vi, t.ex. ifall vi glömmer vårt lösenord.

Säkerhetsfrågor är vanligtvis personliga frågor. Vilken gata vi bodde på när vi var unga. Vad vårt första husdjur hette. Sådana saker. Tanken är det ska vara saker om oss som främmande människor inte kan veta. Men så är också konceptet från en tid innan vi började dela med oss av allt tänkbart i social media.

Problemet med säkerhetsfrågor

Den korta versionen: problemet med säkerhetsfrågor är att de inte är säkra.

Den lite längre versionen: problemet med säkerhetsfrågor är att det alltför ofta går att antingen ta reda på svaret eller helt enkelt gissa sig fram till svaret. Ett ytterligare problem är att svaret på en säkerhetsfråga kan läcka ut på nätet via ett dataintrång, och ifall man använder samma säkerhetsfråga i flera tjänster så är alla tjänster med samma säkerhetsfråga i fara.

Vi tar några exempel: Fallet Paris Hilton och Fallet Hur Svårt Kan Det Vara att Gissa?

Fallet: Paris Hilton

Paris Hilton har råkat ut för digifanskap i några olika omgångar. I form av att ha utomstående som lyckats bryta sig in i hennes online konton.

Historien (som relaterar till säkerhetsfrågor) vet inte berätta vad Paris Hilton använde för lösenord. Det kan hända att lösenordet var hur starkt som helst. Men vad vi nog vet är vad säkerhetsfrågan var: ”Vad heter din hund?” Den frågan var alltså det enda som skyddade hennes konto från att bli kapat av en utomstående.

Min avsikt med den här bloggen är ju att hjälpa er skydda era konton, inte att hjälpa er bryta in er i andras. Men här kanske man måste göra ett litet undantag och lära er hur ni sku ha kunnat bryta in er i Paris Hiltons konto:

  1. Öppna en sökmotor (som t.ex. Duck Duck Go, som inte sparar dina sökord)
  2. Skriv in ”Vad heter Paris Hiltons hund”
  3. Testa de namn som kommer upp

Visserligen har Hilton ett antal hundar. Men räknar vi med att personen som bröt in sig i hennes konto hade 10 minuter på sig så hade de ledigt tid för ett par tre kaffepauser också.

Fallet: Hur Svårt Kan Det Vara att Gissa?

Jag blev nyligen ombedd att skapa en säkerhetsfråga i en online tjänst. Frågan tjänsten föreslog åt mig? ”Vilken hushållssyssla tycker du minst om?”

Jag hade svårt att ens hitta på 10 olika potentiella svar. Diska, städa, dammsuga, torka damm, tvätta fönster, tvätta kläder, vika kläder… Min poäng här är att om man faktiskt ger ett äkta svar på den frågan så sku majoriteten av oss ha en vilt osäker säkerhetsfråga. Är den hushållssyssla du tycker minst om på listan ovan så sku jag (i teorin) ha lyckats bryta mig in på ditt konto på några sekunder. (I teorin. Men lugn bara lugn – i praktiken satsar jag då alltså på att säkra andras konton, inte bryta mig in i dem.)

Fast som en lite lustig fotnot kan ju nämnas att en gång då jag pratade om det här fallet under en föreläsning så var det en deltagare som sade att den hushållssyssla hon tyckte minst om var att skrubba raklettpannor. Vilket jag aldrig i livet sku ha kommit att tänka på att gissa.

Hur säkra dina säkerhetsfrågor? Ljug!

Knepet att göra dina säkerhetsfrågor klart säkrare är enklet: ljug! Vad du än ger för svar på säkerhetsfrågan så är det viktigt att det inte har något alls att göra med frågan du svarar på.

Det bästa är att tänka på säkerhetsfrågor som lösenord. Som med alla lösenord, gör dem långa (tänk lösenfraser, inte lösenord) och unika, alltså återanvänd aldrig samma svar – även om du ska svara på samma säkerhetsfråga i en annan tjänst. Orsaken till att man inte ska återanvända sina svar på säkerhetsfrågor är samma som orsaken till att man inte ska återanvända lösenord: de kan komma fram i samband med dataintrång. Ger du äkta svar på frågan ”Vad hette din mormor i flicknamn” så kan en buse testa sig igenom dina olika online tjänster tills de stöter på den frågan.

Så nästa gång ni måste skapa en ny säkerhetsfråga åt er, kom ihåg: lögner, lögner och mera lögner!

 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *