Aftonbladet under attack – hur ser ditt lösenord ut?

Några som kallar sig Vuxna Förbannade Hackare har ställt till det rejält för Aftonbladet. I ett inlägg på Flashback beskriver man attacken. Bland annat har man postat 1030 användarnamn och lösenord till mailservern, och det orsakade rena läsfesten innan teknikerna drog ur pluggen. Ur ett källskyddsperspektiv är det naturligtvis inte alls bra, och belyser igen hur viktigt det är att vi alla försöker tar vårt ansvar för tekniken. Flera av lösenorden som användes av högt uppsatta chefer på tidningen är verkligen ett skämt, och då hjälper det inte hur hårt it-avdelningen än jobbar. Anmärkningsvärt i ljuset av SAPnet-skandalen. Rekommenderad läsning för de värsta syndarna finns i den egna tidningen.

Samtidigt som jag verkligen lider med teknikgänget i natt, så minns jag ändå med visst välbehag den adrenalinkick det är när man står mitt i ett skeende som det här. 2007 var det precis 10 år sedan jag och min dåvarande hustru, Christine Pamp, satte upp tävlingen ”Crack a Mac”. Vi bjöd in alla att försöka knäcka en mac som stod helt oskyddad på nätet. Första omgången gick alldeles utmärkt, andra rundan gick lite mindre utmärkt ;) Men det var great fun, vi var många som lärde oss mycket och det ligger fortfarande ett ex a Wired i källaren med artikeln ”Crack a mac for fun and profit” (jag fick själv komma på rubriken…)

Idag skulle jag inte ens komma på tanken att sätta upp en sådan utmaning. Inte bara för att jag själv är hel clueless på den sortens teknik numera, utan också för att nätet blivit en lite mindre mysig plats att vara på. Självklart. Så det minsta vi kan göra är att försöka hålla koll på våra lösenord – låt inte våra tekniker tvinga på oss fler och krångligare regelverk. Ni vet de där kraven på minst nio (men högst 11) tecken, varav två måste specialtecken, inga tecken får upprepas, det inte får inledas eller avslutas med siffror etc. Och som dessutom måste bytas var tredje vecka och inte får vara samma som de fem föregående gångerna. Puhh…

Min lösning är: ett otroligt komplicerat lösenord till internetbanken som bara används där, ett relativt svårt till mail och andra känsliga inloggningar (som jag byter ett par gånger i månaden) och ett busenkelt som jag använder i alla de hundratals tjänster där det faktiskt inte spelar mig någon större roll om någon obehörig tar sig in. Riktiga säkerhetsexperter tycker förmodligen att jag är dum i huvudet, men det har de ju betalt för att tycka. Jacob Nielsen håller iaf med mig. Och det värsta som kan hända är att göra det så svårt att användarna tvingas skriva upp lösenordet. (Har letat efter en snygg graf jag sett på det där fenomenet – hur man inledningsvis ökar säkerheten, men efterhand som regelverket blir för komplicerat så minskar säkerheten igen. Helt enkelt för att användarna tvingas till en post it-lapp på skärmen. Någon som vet var den kan finnas?)

Mer läsning hos tex IDG: ”Allvarligt intrång hos Aftonbladet”, Sydsvenskan och HD är också på det. Piggt! Dagens media har väckt Olof Brundin (med lösenordet olof) som säger en del konstiga sakerPatrik Fältström skriver som vanligt klockrent om de tekniska aspekterna. Bra uppföljning, dagen efter, av IDG.

Dilbert kommenterar också: 1, 2, 3, 4, 5,

18 thoughts on “Aftonbladet under attack – hur ser ditt lösenord ut?”

  1. Lustigt, jag har själv kört med precis samma system för lösenord sedan 10 år. Dessutom lägger jag upp lösenord och annan känslig information på passpack.com, en synnerligen mycket smidig tjänst där all kryptering sker drekt i min webbläsare, dvs inget okrypterat lämnar min dator.

    Men de flesta användare kommer att fortsätta att slarva med sina lösenord, så det är ju hög tid att utveckla smartare ID-system, openID är väl ett första steg.

    Reply
  2. Lustigt, jag har själv kört med precis samma system för lösenord sedan 10 år. Dessutom lägger jag upp lösenord och annan känslig information på passpack.com, en synnerligen mycket smidig tjänst där all kryptering sker drekt i min webbläsare, dvs inget okrypterat lämnar min dator.

    Men de flesta användare kommer att fortsätta att slarva med sina lösenord, så det är ju hög tid att utveckla smartare ID-system, openID är väl ett första steg.

    Reply
  3. Jag skickar helt enkelt ut en keygen när det är dags att byta lösenord internt med förmaningen att klicka generate så många gånger ni vill tills ni hittar något som klingar bra, och sedan kör vi på det tills vi byter nästa gång. När detta lanserades var många rätt skeptiska, eftersom man tyckte att det vikitgaste var att man kom ihåg sitt lösenord, men jag gav mig på och helt sonika börja gissa folks lösenord och när jag gissade rätt stängde jag ner dem från domänen. Då tog det inte lång tid förrens “enkelt lösenord var belyst mer som “ett problem” än en möjlighet. Är man inte på större företag tycker jag inte man behöver överdriva, men nån hejd får det vara. Är man på aftonbladet är det mycket märkligt att man inte har en bättre policy för hanteringen av lösenord.

    Reply
  4. Jag skickar helt enkelt ut en keygen när det är dags att byta lösenord internt med förmaningen att klicka generate så många gånger ni vill tills ni hittar något som klingar bra, och sedan kör vi på det tills vi byter nästa gång. När detta lanserades var många rätt skeptiska, eftersom man tyckte att det vikitgaste var att man kom ihåg sitt lösenord, men jag gav mig på och helt sonika börja gissa folks lösenord och när jag gissade rätt stängde jag ner dem från domänen. Då tog det inte lång tid förrens “enkelt lösenord var belyst mer som “ett problem” än en möjlighet. Är man inte på större företag tycker jag inte man behöver överdriva, men nån hejd får det vara. Är man på aftonbladet är det mycket märkligt att man inte har en bättre policy för hanteringen av lösenord.

    Reply

Leave a Reply