Lösenordssäkerhet: Undvik att bli Inge Koll

Detta inlägg är en uppföljning på historien om Inge Koll som råkade ut för den illvillige Sten Koll.

Om du inte har läst det inlägget så bör du läsa det först:

Lösenordssäkerhet: Historien om Inge Koll

Vad kunde Inge Koll ha gjort annorlunda?

Nu tänker du kanske:
"Benj4min2018 är ju ett uppenbart klantigt val av lösenord. Han hade klarat sig klart bättre om han hade använt något i stil med u7Gw63HJx"

Både ja och nej.
Om han hade använt olika lösenord överallt så hade han suttit relativt säkert.

Hade han däremot använt lösenordet u7Gw63HJx på flera ställen och dessutom angett det i Stens webbutik Kungliga Klockor så hade lösenordets komplexitet inte hjälpt honom ett dugg.


Varianter av samma lösenord är verkningslöst

Även om det innebär en liten obekvämlighet för hackaren så är det i praktiken verkningslöst att exempelvis använda lösenordet Benj4min2018 för LinkedIn och benjamin2017 för Facebook.

Sådana variationer är det första en hackare testar när de har fått en indikation på vad du använder i ditt lösenord.


Tips för att skapa unika, svårknäckta lösenord som du kommer ihåg

Att skapa unika lösenord som u7Gw63HJx för varje hemsida och dessutom komma ihåg alla är givetvis en omöjlighet.

Men tänk om du inte behövde komma ihåg lösenorden, utan endast regeln för att skapa dem?

Börja med att komma på ett grundord för varje "kategori" av webbsidor du besöker. Dessa är de enda orden du behöver komma ihåg.

 

Exempel:
Sociala medier: elefant
Onlinekasino & spel: humla
Webbutiker: spindel

 

 

Därefter lär du dig dina regler:

  • Lösenordet utgår alltid från grundordet för hemsidans kategori
  • Lösenordet skall alltid börja på (valfritt specialtecken)
  • Lösenordet skall alltid sluta på (valfritt specialtecken)
  • Efter den första bokstaven i grundordet infogar jag de två sista bokstäverna i hemsidans adress.
  • Före den sista bokstaven i grundordet infogar jag de två första bokstäverna i hemsidans adress.

Nu kan du skapa unika lösenord för vilken hemsida och komma ihåg dem med lätthet.

 

Exempel 1:
facebook.com tillhör sociala medier och har därför grundordet elefant.
Lösenordet blir då *eomlefanfat#  (*eomlefanfat# )

Exempel 2:
ca
sinostugan.se tillhör onlinekasino och har därför grundordet humla.
Lösenordet blir då *hseumlcaa#  (*hseumlcaa#)

Detta gör det avsevärt mycket svårare för en hackare att hitta mönster för att kunna använda ditt lösenord på flera olika sajter.

Om Inge Koll skulle ha tillämpat denna metod så skulle hans lösenord på kungligaklockor.se ha varit:
*ssepindekul#

Sten Koll hade inte haft det minsta nytta av detta lösenord, och hela hans plan hade skjutits i sank.


Mobiltelefonen räddar dagen: Tvåfaktorsautentisering

Tvåfaktorsautentisering innebär att exempelvis Facebook, LinkedIn, Twitter, Apple, och Google skickar en verifieringskod till din mobiltelefon när en inloggning sker från en dator eller telefon som inte tidigare har varit inloggad.

För att aktivera tvåfaktorsautentisering anger ditt mobiltelefonnummer på respektive sida samt aktiverar det under inställningar. På många sidor blir man dessutom tillfrågad om det redan vid inloggning om man inte har angett något mobiltelefonnummer.

Om Inge Koll hade haft tvåfaktorsautentisering aktiverat så hade Sten inte kunnat logga in utan hans godkännande, även om han visste lösenordet.

Aktivera tvåfaktorsautentisering, och gör det idag.


Ingen kedja är starkare än den svagaste länken

Den gemensamma nämnaren för alla dina konton är din epostadress. Det räcker egentligen att en illvillig person får tillgång till ditt epostkonto, så har hen indirekt tillgång till alla dina konton via "glömt lösenord"-funktionen på respektive sida.

Detta konto är därför det viktigaste att skydda och man bör anstränga sig en smula för att göra det.

En bra grundregel är följande:

Använd aldrig samma lösenord som du använder till ditt epostkonto på något annat ställe.


Slutsats

Man kan inte skydda sig mot allt, men man kan begränsa skadeverkningarna vid en attack avsevärt med ganska enkla medel. Det allra viktigaste är att isolera hackaren så att hen kommer "hit, men inte längre" om man skulle råka bli lurad.

Det är inte alltid lätt att upptäcka phishingsidor som Kungliga Klockor, och Inge Koll är på intet sätt naiv för att han försökte skapa ett konto där. Hans val av lösenord var däremot naivt.


 

Är du osäker på hur din eller ditt företags digitala identitet skulle stå emot attacker från personer som Sten Koll?

Jag kan hjälpa er att utvärdera och identifiera era digitala svagheter.
Kontakta mig om ni vill veta mer.

emil@ka50.se

Lösenordssäkerhet: Historien om Inge Koll

Det enda som står mellan oss och illvilliga hackare är våra lösenord. Idag, när den genomsnittliga internetanvändaren har fler konton än någonsin tidigare så spelar starka lösenord en väsentlig roll för att säkra vår identitet i den digitala världen. 

Detta är historien om Inge Koll, och hur enkelt hans digitala identitet kunde kontrolleras av en tredje part med onda intentioner.

Detta är Inge Koll.
Han är VD för företaget Kopieringspapper AB.
Inge är en flitig användare av Facebook och LinkedIn. Han twittrar lite sporadiskt ibland. Han har en privat epostadress, inge.koll@gmail.com samt en företagsadress, inge@kopieringspapper.se.


Detta är Sten Koll (ej besläktad med Inge Koll).
Sten spenderar största delen av sin tid vid datorn. Han drivs av nyfikenhet och kaffe.

Han försörjer sig på diverse ströjobb, både på och utanför internet. Sten använder även Facebook, LinkedIn, och Twitter, fast inte med samma identitet.
Sten har även en laptop med klistermärken på.


Del 1: Epostutskicket

Sten har efter lite "detektivarbete" på internet kommit över en lista med 300 000 epostadresser. Nu börjar han sina förberedelser.

Han sätter upp webbutiken Kungliga Klockor som säljer just klockor.
Sten har dock inga klockor på lager och han har inga intentioner att sälja några heller.

När hemsidan ligger uppe så konstruerar han ett snyggt reklam-email med erbjudanden samt en länk till webbutiken. Han skickar ut detta meddelande till de 300 000 epostadresserna.

Efter en stund så kan Sten se att epostmeddelandet har öppnats av 40 000 av dessa personer.


Del 2: Epostmottagarna

En av epostadresserna i Stens lista råkar vara inge.koll@gmail.com.

Inge öppnar och läser mailet. Eftersom han gillar klockor så fångas hans intresse relativt fort.

Inge klickar sig in på webbutiken och kikar igenom utbudet. Han ser några klockor som han väldigt gärna skulle vilja ha.

Han har dock en dålig magkänsla kring denna butiken.
Vem skickar ut epost bara sådär? Och vad är detta för butik egentligen?

Han lämnar hemsidan.


Del 3: Sten undersöker resultatet

Som du kanske redan har listat ut så är webbutiken Kungliga Klockor ingen vanlig webbutik.

När en användare har valt sina produkter och skall betala, så tvingas de att skapa ett konto.

Användaren anger sin epostadress och ett lösenord som de vill använda.
Istället för att ett konto skapas så skickas den angivna epostadressen och lösenordet i ett epostmeddelande till Sten Koll.

Användaren ser bara ett felmeddelande i stil med "Någonting gick fel, försök senare.".

Sten ser nu att 90 personer har försökt att skapa ett konto i webbutiken.
Han har nu en lista på deras respektive epostadresser samt vilket lösenord de valde på hans hemsida.

Inge Koll lät sig dock inte luras. Han har minsann inte angett något lösenord.
Men Sten har ett ess i rockärmen.


Del 4: Retargeting

Nu utför Sten den andra delen av sin plan.

Han har placerat en Facebook-pixel på sidan.
Detta innebär i praktiken att han kan visa Facebook-annonser för alla personer som har besökt hans sida men som aldrig skapade ett "konto".

Nu ser Inge en Facebook-annons för just den klockan han var intresserad av.
Denna gången med ett oslagbart rabatterat pris som nästan är för bra för att vara sant.

Han klickar på annonsen och kommer till webbutiken som han tidigare hade fattat misstankar mot.
Denna gången vinner hans köpimpuls över hans förnuft, och han försöker skapa ett konto.

Han möts av följande felmeddelande:

"Sidan är hårt belastad för tillfället och ditt konto kunde inte skapas. Vänligen försök igen senare."

Inge lämnar återigen sidan. Några minuter senare har han glömt bort både klockan och webbutiken.


Del 5: Sten gräver djupare

Efter Facebook-annonseringen så har Sten fått in några ytterligare epostadresser och lösenord.
En av dessa är inge.koll@gmail.com som verkar ha valt lösenordet Benj4min2018.

Sten börjar nu att  söka runt på internet efter sidor, konton, och personer som är associerade med ovan nämnda epostadress.

Det dröjer inte länge förrän han vet att epostadressen tillhör en person vid namn Inge Koll som finns på både Facebook, Twitter, och LinkedIn.

Han hittar även några gamla konton på diverse dejtingsidor.
På Inges Facebook-profil står det att han har en son som heter Benjamin. Det förklarar lösenordet.


Del 6: Dags att prova lösenord

Sten provar att logga in på de olika sajterna med Inges epostadress och lösenord.
Ingen lycka på någon av sajterna, förutom på LinkedIn. Där fungerade lösenordet.

Sten har nu tillgång till Inges LinkedIn-konto.

Sten riktar nu fokus mot epostkontot inge.koll@gmail.com.
Genom lite mjukvarumässig hokus-pokus så kan han automatiskt prova många versioner av det kända lösenordet Benj4min2018.

Till exempel:
Benj4min-2018, benj4min2018, benjamin2018, Benj4min2017

Efter en stund så får Sten träff igen. Det fungerade att logga in på epostkontot inge.koll@gmail.com med lösenordet benjamin2014.
Nu öppnas ytterligare möjligheter för Sten.

Nu kan Sten använda "Glömt lösenord"-funktionen på Facebook, Twitter, och på dejtingsidorna.

Ett mail med en återställningslänk skickas till inge.koll@gmail.com, och eftersom han har åtkomst till detta konto så kan han använda länken, byta lösenord, och radera mailet.


Del 7: Utnyttja situationen

Nu när Sten har tillgång till Inges konto så finns det mycket han kan göra för att utnyttja situationen.
Här kommer några tänkbara scenarion.


Scenario 1: Dejtingsidorna


Inge
har inte varit inloggad på dejtingsidorna sedan han träffade sin fru för 6 år sedan.

Sten kan med enkelhet använda informationen från Inges Facebook-profil för att uppdatera hans dejtingprofiler så att de ser ut att vara aktiva och nyligen uppdaterade konton.
Därefter kan han ta skärmdumpar och pressa Inge på pengar i utbyte mot att inte avslöja det för hans fru.

Givetvis så har Sten bytt ut kontots epostadress, så Inge kan inte återställa lösenordet eller radera sitt konto.


Scenario 2: Företagsmailen

Det verkar inte bättre än att Inge har angivit inge.koll@gmail.com som återställningskonto för sitt företagskonto inge@kopieringspapper.se.

Ett återställningskonto är en epostadress som kan användas för att återställa lösenordet för ett annat epostkonto i händelse av glömska.

Sten kan nu även få tillgång till Inges företagsmailkonto, och jag behöver nog inte gå in på detaljerna kring hur detta kan utnyttjas.


Scenario 3: Lura flera

Sten utger sig för att vara Inge och skickar meddelanden till hans vänner via epost, Facebook, och LinkedIn där han rekommenderar Kungliga Klockor. Han skickar till och med en personlig rabattkod.

Det räcker att en person nappar, så börjar historien om från Del 3 igen.


Sten har använt sig av ett social engineering-trick som kallas för phishing. Det finns många versioner av phishing, och i detta exemplet så har antagonisten använt sig av riktad annonsering i sociala medier för att förbättra sina odds.


Sensmoral

Detta var den första i en rad av kommande historier om Inge Koll.
Idag är det väldigt lätt att hamna i en utsatt situation i den digitala världen om man inte är försiktig och har grundläggande kunskaper kring den organism som vi kallar internet.


Hur undviker man att bli som Inge Koll?

Det är ganska lätt att skydda sig mot personer som Sten Koll. Jag har skrivit en uppföljning på detta inlägg där jag går igenom vad man kan göra för att skydda sig.

Läs inlägget här:

Är ditt företag rustat för den digitala världen?

"Jag har en hemsida, alltså finns jag."

- René Descartes, 1637

I vår digitala tidsålder så är det viktigare än någonsin att ditt företag är up-to-date när det kommer till media- och IT-strategier.
Bristfälliga strategier gör att man inte når ut i bruset på ett effektivt sätt, och ditt företag kan gå miste om mycket positiv publicitet.

Hur skall man tänka då?
Här kommer 5 konkreta tips på hur du lyckas med framhäva ditt företag i den digitala djungeln:


1. Hemsidan: Ert ansikte utåt

Hur användarvänlig är er hemsida? Är den lättnavigerad?
Du personligen tycker säkert att det är lätt att hitta på sidan - men det beror ju på att du redan vet var allting finns.
Testa att låta en utomstående person besöka sidan och observera hur hen rör sig på hemsidan. Om hen går "vilse" eller inte hittar rätt så är er hemsida inte tillräckligt tydlig.

Majoriteten av användarna surfar dessutom via en mobil enhet, och därför är det extra viktigt att er hemsida är lättnavigerad i mobilen.

 

Google och andra sökmotorer vet givetvis om detta. För att få en fingervisning kring hur användarvänlig din hemsida är för en besökare som använder en mobil enhet så kan ni testa er hemsida på Googles mobilvänlighetstest.

 

Ett annat sätt att skaffa sig en uppfattning av hur besökarna rör sig på sidan är med hjälp av så kallade heatmaps. Hotjar.com är en av de aktörer som erbjuder heatmaps av din hemsida.


2. Grafisk profil

För att folk skall komma ihåg och känna igen ert varumärke så behövs en tydlig och stilren grafisk profil. Er logotype bör till exempel förmedla vad ni står för eller vad er verksamhet går ut på.
Världsnaturfondens logotype är ett exempel som tydligt vittnar om verksamheten:

Ni bör även ha ett färgtema med tillhörande typsnitt som folk associerar med ert företag.
Våga sticka ut och vara unik! Oavsett om det gäller starka färger eller en okonventionell logotype så har ni större chans att fastna på folks näthinnor om ni har en unik image.

Ni bör kanske ställa er frågan om er nuvarande logotype och er grafiska profil är tillräckligt tilltalande år 2018, eller om det kanske hade behövts en uppfräschning.

 


3. Rörlig media

När det kommer till marknadsföring så är sponsrade Facebook-videor och YouTube-annonser svårslagna. Det man dock bör tänka på är att man måste fånga tittarens uppmärksamhet inom de första sekunderna. Misslyckas man med detta så är annoneringen nästintill förjäves.

Budskapet skall vara tydligt och lättsmält och framgå tidigt i videon. Annonsvideor på nätet skiljer sig nämligen avsevärt från exempelvis TV-reklam i den bemärkelsen att tittaren är "tvungen" att titta på TV-reklamen från början till slut. I annonsvideons fall så kan tittaren ofta klicka bort annonsen efter cirka 5 sekunder. Detta ställer högre krav på budskapet som videon skall förmedla.

YouTube har ett antal annonsformat för video. Den främsta begränsningen är att om man inte vill betala för en fullängdsannons så måste man få fram sitt budskap inom 5 sekunder.

Facebooks videoannonser på är perfekt om man vill nå ut till många personer. Den främsta begränsningen som man bör ha i åtanke är att majoriteten av annonserna kommer att startas med ljudet avstängt. Detta innebär att videons budskap främst måste framföras i bild och text, och allt som sägs måste visas med undertexter.


4. Blogg eller nyhetsflöde

Det är väldigt viktigt att det händer saker kring ert företag på internet. Både genom sociala medier er hemsida/blogg. Förutom att sökmotorerna premierar aktivt uppdaterade hemsidor så kommer både era befintliga och presumtiva kunder att kunna läsa om ert företag regelbundet.
Ni vet ju själva hur ni hade reagerat om ni besökt en företagsblogg där sista inlägget gjordes 2013. Den spontana reaktionen är såklart "Finns de fortfarande?".

Ett bloggflöde behöver inte bara innehålla nyheter och pressreleaser, utan ett regelbundet publiceringsflöde är viktigare än att varje inlägg är perfekt.
Har ni fått en ny kaffemaskin? Blogga! Och kläm samtidigt in lite matnyttig info om ert företag eller ett kommande event i inlägget.

Både Facebook och de flesta bloggplattformarna har en funktion för att schemalägga publiceringar i framtiden. Detta gör att du kan skriva flera inlägg samtidigt, och publicera dem i intervaller. Detta är väldigt användbart när din skrivkramp släpper en fredagsmorgon och du vill ta tillfället i akt. Varför inte skriva 3-4 blogginlägg i samma svep?

 


5. Håll koll på statistiken

För att överhuvudtaget kunna veta om man har lyckats med sin marknadsföring så måste man kunna mäta den. Det finns många bra verktyg som hjälper er att hålla koll på besökarna på er hemsida, vad de gör där, och hur de hamnade där.

 

Det första ni bör göra är att sätta upp spårning av hemsidan i Google analytics. Där kan ni se besöksstatistik samt varifrån besökarna kommer och hur länge de stannar på er hemsida. Här kommer ni även att se säsongsbetonade trender.

När ni har satt upp Google Analytics så bör ni även registrera sidan i Google Search Console. Här kommer ni att få en översikt kring vilka sökningar som er hemsida dyker upp på. Här får ni även förslag på förbättringar och blir notifierade om något inte står rätt till på hemsidan.

 


That's it!

Det finns mycket mer man kan göra för att boosta sitt varumärke eller företag, men det kommer i ett framtida inlägg.

Har jag missat något eller vill ni ha min hjälp? Tveka inte att kontakta mig,


Node.js-modul för Billmate

Jag har utvecklat en modul för Billmate för användning i Node.js. Modulen erbjuder integration med Billmates betaltjänster.
Den finns på min Github här:
https://github.com/emilisaksson/billmate

Modulen installeras via npm:

npm install --save billmate

https://www.npmjs.com/package/billmate 

 

// Emil

Fotografering & reklammaterial till SkåneSparris

Vi har i helgen besökt SkåneSparris i Ingelstorp på Österlen.

Vårt uppdrag var att fotografera och filma för att skapa reklammaterial samt en promo till hemsidan och Facebook.

Vi återvände även med mängder av sparris, rabarber, och cider 🙂

Nedan finns ett axplock från dagen. Fler bilder finns att se här.