Eller bara fråga snällt

Men skadlig kod är inte alltid nödvändigt – bland de enklare sätten att skörda en stor mängd lösenord är att fråga användarna om dem. Folk är ibland lättlurade, och det utnyttjar illvilliga människor. Massutskick av e-post från en spelportal frågar om ditt lösenord för att de har upptäckt misstänkt aktivitet, eller banken som frågar efter ditt kortnummer är egentligen inte från den avsändaren du tror. Just e-post är ganska enkelt att skicka med en falsk avsändare som ändå ser tillförlitlig ut.

Andra metoder att skörda lösenord är att utnyttja tillfällen då serverangrepp har skett. Då kan man försöka locka användare att testa (alltså uppge) sina lösenord på en sajt för att kontrollera om just de har råkat ut för ett angrepp. Det här hände till exempel Linkedin efter hackerattacken i juni 2012 – det tog inte lång tid förrän det fanns ett flertal sajter erbjöd sig att kolla om just dina användaruppgifter var bland de 6,5 miljoner som stulits. Och vips hade hamnade då ytterligare ett lösenord till ett Linkedin-konto i orätta händer, detta i klartext.

Samma lösenord överallt

Det finns alltså många metoder att komma över lösenord, men det vanligaste kanske ändå är att ett av en användares många lösenord knäcks, och att detta på något sätt blir offentligt på internet. Många har ju en tendens att använda samma lösenord på flera ställen, eller varianter av det.

Det krävs helt enkelt inte alltid så mycket jobb att komma över lösenord, eller så kan du låta någon annan göra jobbet.

Och i stor utsträckning används alltså samma metoder för att få tag på lösenord i dag som för 10–20 år sedan. Olika tekniska lösningar har brister då och då, men om de inte patchas kommer nya förbättrade lösningar att konkurrera ut de bristande. Så länge lösenord används kan de stjälas – det är bara hoppas på att trenden med flerfaktorautentisering växer så att stöldproblematiken avtar i effekt.

TechWorlds slutsats

Att fråga om lösenord via e-post, phishing, eller försök att få människor att exekvera trojaner gömda i program som verkar roliga eller användbara är två metoder som förlitar sig på människans godtrohet. De här metoderna att lura folk för att få tag på lösenord kan vara relativt enkla, och så länge lösenord används så kommer lösenordsstölder ske.

I den andra huvudriktningen när det gäller lösenordsstöld siktar man in sig mot servrar, däribland även kommunikationen med servern genom sniffning eller serverintrång för att komma år lösenordsdatabaser. Ett fullgott skydd mot sådant kommer troligen aldrig finnas, eftersom sårbarheter i programvara är svårt att undkomma, men en flerfaktorautentisering medför att stulna lösenord inte är användbara, då de endast kan användas i kombination med en annan autentiseringsmetod.

Vi har i artikeln tagit angreppen mot Linkedin och Ubuntu Communitys forum som exempel. Du kanske frågar dig varför de är viktiga – ”Så någon kan göra inlägg i mitt namn. Och?”

Problemet är större än så. Många användare tycker lösenord är krångliga att komma ihåg, så samma lösenords används för till exempel e-post, internetbutiker och internetbanker. Och nu ligger alltså 1,82 miljoner lösenord tillsammans med användarinformation från Ubuntu Communitys forum ute på nätet. Hur många av dessa drabbade användare tror ni har samma lösenord till sina andra registrerade konton?

Fakta

Skadlig kod försöker ibland stjäla lösenord som har lagrats i filer. Exempel på mappar som innehåller filer som skulle vara intressanta för den som vill få tag på lösenord på en Windows 7-dator är:

Internet Explorer: %APPDATA%\Microsoft\Credentials\
Chrome: %LOCALAPPDATA%\Google\Chrome\User Data\Default\
Firefox: %APPDATA%\Mozilla\Firefox\Profiles\<profilsträng>.default\
Windows SAM: %SYSTEMROOT%\System32\config\

botnät: Ett antal datorer som infekterats av skadlig kod och fjärrstyrs utan ägarens vetskap.
honeypot: Nätverksnod som är skapad med tydliga brister för att locka hackare. Notera att begreppet också används för wi-fi-hotspots som satts upp av hackare för att locka till sig intet ont anande surfare.
hook (krok på svenska): Typ av tillägg för ett befintligt program. Kallas ibland add-on.
injektionsbaserade attacker, sql-injektion: Ett sätt att utnyttja en säkerhetsbrist i ett webbgränssnitt eller program som arbetar mot en databas. Injektionen innebär att parametrar till en databasfråga skickas in, och då kan data hämtas från en underliggande databas på ett sätt som inte är tänkt.
Keykeriki: Sniffer för trådlösa tangentbord.
keylogger: Hård- eller mjukvara som spårar knapptryckningar.
man-in-the-middle-attack: När en tredje part spionerar på trafik mellan två noder.
phishing, nätfiske: Användning av falska webbsidor och e-post för att lura åt sig lösen­ord eller andra hemliga uppgifter.
psk, pre shared key: Hemlighet som delats tidigare. Används vanligen för wi-fi-kryptering med wep eller wpa där båda accesspunkten och klienter delar en nyckel, det vill säga wi-fi-lösenordet.
sandlåda (sandbox, sandboxing): En isolerad miljö som förhindrar exekverande program att påverka miljön utanför inneslutningen.
sniffer: Hård- eller mjukvara för att avlyssna datatrafik.
xss, cross site scripting: Sårbarhet i webbgränssnitt som gör det möjligt att injicera skript som körs på klienten, till exempel ett popup-fönster som visas eller en länk som inte finns på originalsidan.