Hovedinnhold

Norske myndigheter: Bytt alle nett-passord - nå

**Verden skjelver etter gigantisk nettglipp
**Rådene: Slik får du sikkert passord

DU KAN VÆRE RAMMET: I mer enn to år kan informasjon som skulle være sikker, ha ligget åpent tilgjengelig på internett. Flere av verdens største og mest populære nettsider - og de som bruker dem - kan være rammet. Foto: THE CANADIAN PRESS/Jonathan Hayward/NTB Scanpix
DU KAN VÆRE RAMMET: I mer enn to år kan informasjon som skulle være sikker, ha ligget åpent tilgjengelig på internett. Flere av verdens største og mest populære nettsider - og de som bruker dem - kan være rammet. Foto: THE CANADIAN PRESS/Jonathan Hayward/NTB Scanpix
Norske myndigheter advarer nå mot det som kan være den største sikkerhetskatastrofen i internett-historien. Rådet: Bytt alle passordene dine - med en eneste gang.

Denne saken handler om:

Slik får du sikkert passord

1. Et passord skal være lett å huske for deg og vanskelig å gjette for andre
2. Benytt ulike passord for ulike tjenester
3. Passordet bør være så langt som mulig
4. Passord bør ha mellomrom eller andre spesialtegn og kombinasjon av små/store bokstaver. Dette gjetter ingen.
5. Unngå passord som lett kan gjettes, som navn på barn eller ektefelle.
6. Æ, Ø eller Å kan gjøre det vanskelig å logge seg inn fra en utenlandsk PC.
7. Bytt passord med jevne mellomrom eller hvis du tror det er på avveie

Passordtriks:
Bruk en setning som du assosierer med tjenesten, men ikke direkte navnet på tjenesten. Eksempelvis trenger du passord for nettbutikk for bøker. Passordet kan da være en setning knyttet til yndlingsboka eller forfatteren din – eller forbokstavene i ordene som former setningen. Husk kombinasjon av små/store bokstaver. Legg til tall/spesialtegn.

Oppgi aldri passord eller koder til noen.

Kilde: VG, Norsis, NSM

Flere hundre tusen nettsider - blant dem trolig flere av verdens mest brukte nettbutikker, epostklienter, nettskyer og andre sider du trolig bruker jevnlig og har lagt igjen brukernavn, passord, kredittkortdetaljer og annen sensitiv informasjon på - kan være rammet av den gigantiske sikkerhetsglippen som ble kjent i går.

Også nettbanker kan være rammet.

- Dette kan være det største og alvorligste sikkerhetshullet på internett på mange, mange år, sier seniorrådgiver Vidar Sandland i Norsk Senter for informasjonssikring (Norsis) til VG.

Senteret er en del av regjeringens satsing på informasjonssikkerhet i Norge. De har fulgt opprullingen av den gigantiske sikkerhetstabben som har fått navnet Heartbleed tett.

Nett-hull

Kort sagt har det mest brukte sikkherhetsprogramvaren blant nettbutikker og andre innloggingssider - OpenSSL - hatt et gigantisk hull.

I stedet for å beskytte informasjonen din, kan programvaren ha gjort din personlige og sensitive informasjon åpent tilgjengelig i opp til to år.

- Alle servere i verden som har benyttet dette kan ha hatt et hull hvor organisert kriminelle eller stater kan ha lagret ekstreme mengder persondata i inntil to år, sier Sandland.

Etter at sikkerhetstabben ble kjent, har nettbedrifter verden rundt jobbet på spreng for å tette sikkerhetshullet. Etter hvert som servere nå blir sikret, oppfordrer flere av dem brukerne om å bytte passord.

Det gjør også Sandland, som er klar i sin oppfordring:

- Bytt passord nå.

Han får støtte fra Nasjonal Sikkerhetsmyndighet (NSM) og Direktoratet for forvaltning og IKT (Difi).

- Folk bør bytte de mest kritiske passordene, og begynt med passord du har brukt de siste to-tre dagene, sier Lillian Røstad, seksjonssjef i Seksjon for informasjonssikkerhet i Difi, til VG.

Hun understreker at det forutsetter at du følger reglene for sikre passord når du bytter (se egen faktaboks).

- Sikkerhetshullet har eksistert i opp til to år, men det er først de to siste dagene det har blitt offentlig kjent. Det øker sjansen dramatisk for at det er passordene du nylig har brukt som er utsatt, sier Røstad.

NSM understreker at du bør bytte passord jevnlig.

- Du bør bytte passord jevnlig, og passe på å ha ulike passord på ulike tjenester og nettsider. Dette kan være en god anledning til å se over og bytte passordene dine uansett om du frykter at du er rammet eller ikke. Og hvis du får beskjed om det, bør du bytte passord med en eneste gang, sier informasjonssjef Kjetil Berg Veire i NSM til VG.

- Svært alvorlig

- Men vi vet det er en stor jobb. Stadig flere bruker internett til tjenester der de stadig oftere har egne profiler, bruker passord og legger igjen informasjon. Men det er også dette som gjør Heartbleed-hullet så alvorlig, sier Veire.

Foto: HEARTBLEED.COM
Foto: HEARTBLEED.COM

Feilen i programvaren - som ifølge flere kilder brukes av så mange som to tredeler av nettsider som krever innlogging - ble oppdaget av forskere i det finske selskapet Codenomicon og ansatte i Googles sikkerhetsavdeling.

Hullet har fått navnet Heartbleed, etter oppdateringen som i stedet for å gjøre sikkerheten bedre i stedet åpnet dørene på vidt gap.

Det har også blitt opprettet en egen nettside - Heartbleed.com - med omfattende informasjon om Heartbleed-hullet, hvordan det rammer og hvordan både private og profesjonelle kan beskytte seg.

Mye kan være på avveie

- Det som kan ha kommet på avveie er sensitive personopplysninger, kredittkortinformasjon, private såkalte sikkerhetssertifikater til å logge inn på banktjenester og mye annet. Informasjonen som kan ha blitt hentet ut millioner av servere verden rundt kan ha stor potensiell skadevirkning, både for enkeltpersoner, myndigheter og bedrifter, sier Sandland i Norsis.

Feilen i dataprogrammet er nå rettet opp. Men før de som står bak nettsidene har oppdatert sine servere, er det fortsatt fare for at informasjonen kan komme på avveie.

Samtlige eksperter VG har snakket med, sier nå det samme: De fleste seriøse aktørene har oppdatert programvaren sin, dermed er det både trygt og smart å oppdatere passordene sine nå.

- Vi vet rett og slett ikke omfanget, hvor mange eller hvem som har utnyttet sikkerhetshullet - og hvor mye informasjon som kan være stjålet. Men omfanget gjør at dette er svært alvorlig, sier Veire i NSM.

Ekstrabeskyttelse

I tillegg til å bytte passord, anbefaler Norsk Senter for informasjonssikring at du gjør enda mer for å sikre informasjonen din på internett:

Store internettjenester som Google, Facebook, Dropbox og flere andre har muligheten til å benytte såkalt to-trinns bekreftelse når du skal logge deg på. Det betyr at du i tillegg til å skrive inn brukernavn og passord må svare på kontrollspørsmål for å få tilgang til kontoen din.

- Har ikke passord og brukernavnet ditt blitt fanget i denne alvorlige sikkerhetsbristen, vil det garantert komme på avveie på et eller annet tidspunkt. Bruk to-trinns bekreftelse der det er mulig, og aldri bruk samme passord på alle tjenestene dine. Det gjør de potensielle skadene langt større, sier Sandland til VG.

Kommentarer Antall kommentarer på artikkelen

Øyvind Solstad

Har du en mening om denne saken? Vi løfter ofte opp de beste kommentarene! Du må bruke ditt egentlige navn, vær saklig, respekter andres meninger og husk at mange kan se hva du skriver. Brudd på reglene kan føre til utestengelse.
Vennlig hilsen Øyvind Solstad, ansv. for brukerinvolvering og sosiale medier i VG.
Les mer om vår moderering

VGs journalister og moderatorer overvåker denne debatten kontinuerlig mellom kl. 07 og 24. Kommentarfeltet er nå stengt og åpner igjen kl. 07.00. Velkommen tilbake da!
Klikk for å se kommentarene

Siste saker fra Teknologi

Se neste 5 fra Teknologi