”mitt Google e-postkonto har nyligen hackat in medan jag var på semester i Slovakien. Hackaren sa att jag hade blivit rånad under pistolhot i Spanien och rånad och bad sedan folk att skicka pengar till ett pengaröverföringskonto i Spanien,” Läs e-postmeddelandet som kom den här veckan. ”Detta har hänt med andra människor, jag samlar.”
det har verkligen: det här är högsäsongen för människor som har sina konton hackade, främst för att så många reser, och därmed använder antingen datorer eller nätverk som delas och som de litar på för mycket.
av den anledningen har Google, Hotmail och Facebook (men särskilt inte Yahoo) alla implementerat ett system som kallas ”tvåfaktorsautentisering” för att skydda ditt konto. Grundtanken är enkel: förutom ditt användarnamn och lösenord, när du använder en ny enhet för att komma åt deras system, måste du också ange en engångskod som skickas till din mobiltelefon.
tanken är att skydda mot att dina användaruppgifter blir stulna över ett osäkert nätverk eller en dator som kan köra skadlig kod som försöker fånga exakt dessa detaljer. Och även om skadlig programvara fångar engångskoden blir koden ogiltig när du har loggat ut. Så om de försöker logga in med dina stulna uppgifter kommer de att ställas inför en efterfrågan på en kod – som kommer att skickas till din telefon.
telefonskydd
helst kommer den blivande tjuven inte att ha din telefon-men möjligheten att de kanske är anledningen till att du ska skydda din SIM med ett lösenord och ställa in telefonen för att låsa automatiskt.
problemet är att inte alla använder 2FA (som det också är känt) – och det är ganska svårt att tvinga dem till. ”Med 750 miljoner användare är det ganska svårt att få en säkerhetsfunktion att fungera för alla”, säger Joe Sullivan, Facebook: s säkerhetsansvarig, en före detta amerikansk federal åklagare som tidigare arbetat på eBay i sex år och gick med i det jätte sociala nätverket 2008.
för många som arbetar på sin bekanta dator är ett användarnamn och lösenord tillräcklig säkerhet. Men för andra är 2FA önskvärt, säger han. ”Det är som hur jag har en nyckel för att låsa min ytterdörr, men jag har också ett larm som jag kan välja om jag ställer in eller inte.”
Google och Hotmail låter dig också ställa in tvåfaktorsautentisering. Yahoo Mail gör det inte-så undvik att använda det i situationer där du inte litar på allt om nätverket och datorn du använder. (Man bör i princip inte lita på en dator med internetkafeer och inte heller öppna trådlösa nätverk på Hotell, järnvägsstationer eller någon annanstans.)
en sak som använder tvåfaktorsautentisering med alla dessa tjänster är att du först behöver ett mobilnummer; för det andra måste du ställa in det innan du reser, eller åtminstone när du är på en betrodd maskin (vilket inte är någon av de maskiner du kommer att stöta på när du reser).
Vrid upp det till faktor två
för att aktivera tvåfaktorsautentisering:
• i Google finns det via fliken ”Inställningar” längst upp till höger på sidan. Du måste ställa in 2FA på en betrodd dator. (Det är bra att ha en skrivare till hands så att du kan skriva ut en lista med säkerhetskopieringskoder som den ger åtkomst bara om din mobiltelefon försvinner eller blir stulen.) Du måste ange ett telefonnummer som koderna kan skickas till; uppenbarligen är en mobil idealisk.
• i Hotmail måste du först lägga till ett mobilnummer på din Windows Live-Kontoöversiktssida. (Återigen måste du göra detta på en betrodd dator först.) När du går till Hotmail eller andra Windows Live-tjänster kan du välja att få en engångskod – en rad siffror som skickas via SMS till din telefon – att använda istället för ditt lösenord. Se till att du gör det. Engångskoder löper ut efter cirka 15 minuter; se också till att du loggar ut från kontot innan du lämnar maskinen.
• i Facebook, Gå till konto (övre högra hörnet) och kontoinställningar. Därifrån väljer säkerhet och inloggning pprovals: detta ger en kryssruta för ”Kräv mig att ange en säkerhetskod skickas till min telefon”. Återigen måste du ange ditt nummer.
Yahoo erbjuder inte 2FA, vilket är ett problem eftersom det riskerar dina inloggningsuppgifter. Det finns inte något alternativ att introducera det heller; The Guardian har fastställt att en tjänst som heter YToken som har en webbsida som hävdar att den faktiskt inte gör det, eftersom det inte fanns tillräckligt med efterfrågan enligt ägaren.
om du behöver komma åt Yahoo-e-postmeddelanden medan du är borta är det säkrast att antingen göra det via en smartphone (med en Pin-kod och Telefonlås) eller skapa ett Hotmail-eller Gmail-konto som regelbundet loggar in på Yahoo-kontot och visar e-postmeddelandet från det och använder säkrare autentisering med dem.
under tiden, på Twitter
Twitter har ännu inte tvåfaktorsautentisering aktiverad. ”Det är bra och något att sträva efter”, säger del Harvey, Twitters chef för förtroende och säkerhet. ”Men det faktum att det har tagit Google så länge, med de resurser som det har, säger att det inte är enkelt.”
dessutom använder många människor Twitter från sin mobiltelefon – dess 140-teckensuppdateringar gör att den är idealisk för både smartphones och de enklaste telefonerna som bara skickar texter. (I ett antal länder har Twitter ett SMS-nummer som du kan skicka uppdateringar till.)
”vi får många människor som kontaktar oss för att berätta att de har tappat sin telefon och behöver att vi stänger av sina SMS-uppdateringar”, säger Harvey. Implementering av tvåfaktorsautentisering för personer som tappar sin telefon ”skulle innebära att vi låser dem ur deras konto på webben och också gör det oerhört svårt för dem att komma igång igen”.
även om hon använder Gmail och tvåfaktorsautentisering vet Harvey att om du får ett tillräckligt stort antal användare får du så småningom ett ohanterligt nummer som har lyckats att inte följa instruktionerna. ”De har förlorat sin telefon, eller de skrev inte ner säkerhetskopieringskoderna, eller – det händer – de tog ner säkerhetskopieringskoderna men lagrade dem på telefonen. Och nu har de tappat telefonen…”
Harveys tro på mänsklig felbarhet är rörande, men välgrundad. ”Användare kommer inte sannolikt att använda saker som gör det svårare att använda sitt konto”, säger hon. Istället har Twitter fokuserat på att lägga till enkel säkerhet som förhindrar att dina uppgifter ”sniffas” över nätverk: alla anslutningar till Twitter händer nu över säkra SSL-länkar (https: prefixet i en webbläsarverktygsfält: om du befinner dig på vad som ser ut som en Twitter-webbplats men det har inte det prefixet, avsluta sessionen).
en Twitter-talesman sa: ”användare kan aktivera https. Det är för närvarande inte på som standard. Vi jobbar dock på det.”
bygga ett bättre lösenord
som naturligtvis inte kommer att hindra folk gissa ditt lösenord om det är svagt — ett ord i en ordbok eller en enkel kombination av bokstäver och siffror. (Ja, många använder ”abc123” som lösenord. Det är inte ett starkt lösenord.)
du kan kontrollera ditt lösenord styrka på howsecureismypassword.net, som kommer att berätta hur lång tid det skulle ta den genomsnittliga stationära datorn att knäcka ditt lösenord. Det lagrar inte lösenord och ber inte om ett användarnamn, så du kan lita på det.
för” abc123 ”är svaret”detta är ett av de 500 vanligaste lösenorden – du borde nog ändra det”. (För mitt personliga Twitter-konto var svaret”24 000 år”.)
Facebook och Twitter söker efter svaga lösenord: om du försöker skapa ett konto med ett svagt lösenord, eller ett som har visat sig vara allmänt använt (som händer när hackare bryter mot system och lägger upp stora listor med användarnamn och lösenord), kommer de att blockera det.
”när vi ser dessa massiva butiker av e-post och lösenord, ser vi till att få se e-post och lösenord”, säger Facebook Sullivan. ”Om vi upptäcker att någon har samma e-post/lösenordsinställning på Facebook ändrar vi det och tvingar dem att ändra det när de loggar in.”
Facebook: s fördel är att det också kan tvinga människor att bevisa sin identitet genom att visa dem bilder av vänner – något som den verkliga personen i allmänhet kommer att vara bra på att göra, och någon annan inte.
Sullivan säger att någonstans mellan 1% och 10% av lösenorden är desamma mellan webbplatser – pekar på ett annat problem: personer som använder samma lösenord mellan webbplatser. Det är den enskilt största källan till sårbarheter, förutom svaga lösenord.
idealet är att du använder ett annat lösenord på varje webbplats – vilket kan göras om du använder lite fantasi. Det är också bra att inkludera siffror och skiljetecken – de lägger till komplexiteten och därmed svårigheten att bryta dem.
mest av allt, om du använder ett annat lösenord på varje webbplats, om du av någon olycka blir ditt användarnamn (ofta ett e-postmeddelande) stulen tillsammans med ditt lösenord på en (felaktig) webbplats, kommer de automatiska verktygen som hackare använder på andra webbplatser (inklusive Facebook, Gmail, Hotmail, Twitter och Yahoo) misslyckas med att få dem in. Det är framgång-åtminstone eftersom det förhindrar att du har en sämre dag än att ha ditt konto hackat.
{{topLeft}}
{{bottomLeft}}
{{topRight}}
{{bottomRight}}
{{/goalExceededMarkerPercentage}}
{{/ticker}}
{{heading}}
{{#paragraphs}}
{{.}}
{{/paragraphs}}{{highlightedText}}
{{#choiceCards}}
{{/choiceCards}}
- Dela på Facebook
- Dela på Twitter
- dela via e-post
- Dela på LinkedIn
- Dela på WhatsApp
- Dela på Messenger