Aftonbladet under attack – hur ser ditt lösenord ut?
Några som kallar sig Vuxna Förbannade Hackare har ställt till det rejält för Aftonbladet. I ett inlägg på Flashback beskriver man attacken. Bland annat har man postat 1030 användarnamn och lösenord till mailservern, och det orsakade rena läsfesten innan teknikerna drog ur pluggen. Ur ett källskyddsperspektiv är det naturligtvis inte alls bra, och belyser igen hur viktigt det är att vi alla försöker tar vårt ansvar för tekniken. Flera av lösenorden som användes av högt uppsatta chefer på tidningen är verkligen ett skämt, och då hjälper det inte hur hårt it-avdelningen än jobbar. Anmärkningsvärt i ljuset av SAPnet-skandalen. Rekommenderad läsning för de värsta syndarna finns i den egna tidningen.
Samtidigt som jag verkligen lider med teknikgänget i natt, så minns jag ändå med visst välbehag den adrenalinkick det är när man står mitt i ett skeende som det här. 2007 var det precis 10 år sedan jag och min dåvarande hustru, Christine Pamp, satte upp tävlingen ”Crack a Mac”. Vi bjöd in alla att försöka knäcka en mac som stod helt oskyddad på nätet. Första omgången gick alldeles utmärkt, andra rundan gick lite mindre utmärkt ;) Men det var great fun, vi var många som lärde oss mycket och det ligger fortfarande ett ex a Wired i källaren med artikeln ”Crack a mac for fun and profit” (jag fick själv komma på rubriken…)
Idag skulle jag inte ens komma på tanken att sätta upp en sådan utmaning. Inte bara för att jag själv är hel clueless på den sortens teknik numera, utan också för att nätet blivit en lite mindre mysig plats att vara på. Självklart. Så det minsta vi kan göra är att försöka hålla koll på våra lösenord – låt inte våra tekniker tvinga på oss fler och krångligare regelverk. Ni vet de där kraven på minst nio (men högst 11) tecken, varav två måste specialtecken, inga tecken får upprepas, det inte får inledas eller avslutas med siffror etc. Och som dessutom måste bytas var tredje vecka och inte får vara samma som de fem föregående gångerna. Puhh…
Min lösning är: ett otroligt komplicerat lösenord till internetbanken som bara används där, ett relativt svårt till mail och andra känsliga inloggningar (som jag byter ett par gånger i månaden) och ett busenkelt som jag använder i alla de hundratals tjänster där det faktiskt inte spelar mig någon större roll om någon obehörig tar sig in. Riktiga säkerhetsexperter tycker förmodligen att jag är dum i huvudet, men det har de ju betalt för att tycka. Jacob Nielsen håller iaf med mig. Och det värsta som kan hända är att göra det så svårt att användarna tvingas skriva upp lösenordet. (Har letat efter en snygg graf jag sett på det där fenomenet – hur man inledningsvis ökar säkerheten, men efterhand som regelverket blir för komplicerat så minskar säkerheten igen. Helt enkelt för att användarna tvingas till en post it-lapp på skärmen. Någon som vet var den kan finnas?)
Mer läsning hos tex IDG: ”Allvarligt intrång hos Aftonbladet”, Sydsvenskan och HD är också på det. Piggt! Dagens media har väckt Olof Brundin (med lösenordet olof) som säger en del konstiga saker… Patrik Fältström skriver som vanligt klockrent om de tekniska aspekterna. Bra uppföljning, dagen efter, av IDG.
Dilbert kommenterar också: 1, 2, 3, 4, 5,
About Joakim Jardenberg
Senior advisor in all things internet and media. #4 when Huffington Post picked ”The Most Influential Tech CEOs On Twitter” Business angel and investor in early stage tech startups. #14 when The Telegraph picked ”The 100 most influential technology investors in Europe” I write, lecture, speak, facilitate and moderate large and small groups. Open everything evangelist and internet pundit!
Noppe L says: Varför byter du de känsliga lösenorden ett par gånger per månad?
Noppe L says: Varför byter du de känsliga lösenorden ett par gånger per månad?
[...] Andra bloggar om ämnet (jag ansvarar ej för innehållet på dessa): Rstvideo, Mindpark [...]
[...] mer hos Mindpark som ifrågasätter lösenorden (“flera av lösenorden som användes av högt uppsatta chefer [...]
Lustigt, jag har själv kört med precis samma system för lösenord sedan 10 år. Dessutom lägger jag upp lösenord och annan känslig information på passpack.com, en synnerligen mycket smidig tjänst där all kryptering sker drekt i min webbläsare, dvs inget okrypterat lämnar min dator.
Men de flesta användare kommer att fortsätta att slarva med sina lösenord, så det är ju hög tid att utveckla smartare ID-system, openID är väl ett första steg.
Lustigt, jag har själv kört med precis samma system för lösenord sedan 10 år. Dessutom lägger jag upp lösenord och annan känslig information på passpack.com, en synnerligen mycket smidig tjänst där all kryptering sker drekt i min webbläsare, dvs inget okrypterat lämnar min dator.
Men de flesta användare kommer att fortsätta att slarva med sina lösenord, så det är ju hög tid att utveckla smartare ID-system, openID är väl ett första steg.
[...] att jag skriver något som Joakim har skrivit så väl, känns bara dumt. Jag driver själv ett antal siter där jag nu sitter och går igenom admin [...]
Jag skickar helt enkelt ut en keygen när det är dags att byta lösenord internt med förmaningen att klicka generate så många gånger ni vill tills ni hittar något som klingar bra, och sedan kör vi på det tills vi byter nästa gång. När detta lanserades var många rätt skeptiska, eftersom man tyckte att det vikitgaste var att man kom ihåg sitt lösenord, men jag gav mig på och helt sonika börja gissa folks lösenord och när jag gissade rätt stängde jag ner dem från domänen. Då tog det inte lång tid förrens “enkelt lösenord var belyst mer som “ett problem” än en möjlighet. Är man inte på större företag tycker jag inte man behöver överdriva, men nån hejd får det vara. Är man på aftonbladet är det mycket märkligt att man inte har en bättre policy för hanteringen av lösenord.
Jag skickar helt enkelt ut en keygen när det är dags att byta lösenord internt med förmaningen att klicka generate så många gånger ni vill tills ni hittar något som klingar bra, och sedan kör vi på det tills vi byter nästa gång. När detta lanserades var många rätt skeptiska, eftersom man tyckte att det vikitgaste var att man kom ihåg sitt lösenord, men jag gav mig på och helt sonika börja gissa folks lösenord och när jag gissade rätt stängde jag ner dem från domänen. Då tog det inte lång tid förrens “enkelt lösenord var belyst mer som “ett problem” än en möjlighet. Är man inte på större företag tycker jag inte man behöver överdriva, men nån hejd får det vara. Är man på aftonbladet är det mycket märkligt att man inte har en bättre policy för hanteringen av lösenord.
[...] i att aftonbladetanställda fick sina Facebook-konton invaderade av okända. Ajaj, vad hände med säkerhetstänket? Nog för att vi vanliga odödliga slarvar men bör inte människor som är anställda för att [...]
[...] En grupp som kallar sig Vuxna Föbannade Hackare (VFB) har hackat Aftonbladet. Joakim Jardenberg på Mindpark har en bra sammanställning av vad som hänt. [...]
[...] Infontology kommenterar liksom Mindpark. [...]
[...] den anmälan kommer att se ut. Eller hur den kommer att kunna utredas. Förutom att erkänna att de lämnat dörrar öppna för skurkar att smita in genom — ska de anmäla de som skickat fejkade mail? De som [...]
[...] Mindpark [...]
[...] eller lämna trackback om du länkar hit. Kommentarer via RSS 2.0. Jocke Jardenberg lyckas att såväl dissa cheferna på Aftonbladet för deras urusla lösenord (och precis enligt min tanke [...]
“Your password has expired”…
Jag tror att ovanligt många byter lösenord idag:
(Passar på att testa Google Chart API.)
Sen tror jag att allting återgår till det normala, det vill säga man byter bara om man måste. Det är väldigt sällan lösenordsbyte ger “instant gr…
[...] mot leksugna hackare och det gör vi bäst genom att ha svåra lösenord och byta dessa ofta som Mindpark [...]
[...] lösenord och säkerhet aktualiserades när Aftonbladet blev hackat. Men jag piskade inte dem, utan försökte komma med bra förslag. Drift är relaterat, och där presenterade vi en modell för [...]
Pingback: Aftonbladet är utsatta för allvarligt intrång
Pingback: Beta Alfa » Hackare avslöjade Aftonbladets mejllösenord
Pingback: Aftonbladet hackade | Nudelsoppa
Pingback: Hur god är god säkerhet?| Mannen. myten, felet| Arrelius - Live n’ Direct
Pingback: Kryptoblog » Blog Archive » Aftonbladet hackad av VFB
Pingback: Framtidstanken - Accelererande förändring i en global ekonomi » Blog Archive » 2008: den personliga integritetens uppvaknande?
Pingback: opassande » Blog Archive » Vem kommer att polisanmäla Aftonbladet?
Pingback: Det är aningslösheten som gör det så lätt att hacka sig in | Kulturbloggen
Pingback: deep|edition » Lite nostalgiskt mitt i hackbrädet
Pingback: blog2.0 - per åström
Pingback: Hackare mal sönder säkerheten - integriteten hotad | Alter Ego Resonerar
Pingback: Har jag glömt att vara konstruktiv? | jardenberg unedited