Gode passord er ikke nok. Selv om alle rådes til å bruke passord som er vanskelige å gjette, skjer de fleste innbrudd i vanlige brukeres epostkontoer ved at brukeren selv forteller ondsinnede hva som er passordet. Riktignok uten å være klar over det selv.
I en større undersøkelse som Google har gjort i samarbeid med University of California, Berkeley, studerte forskerne flere undergrunnsmarkeder for å finne ut hvordan passord og andre sensitive data egentlig blir stjålet.
Tre metoder
Blant annet studerte forskerne salg av passord som stammer fra innbrudd hos andre aktører, i tillegg til rundt 25.000 verktøy som kan brukes til phishing eller keylogging.
Med phishing menes teknikker som får brukeren til å oppgi brukernavn og passord i til det brukeren tror er den offisielle tjenesten, men som egentlig er en til forveksling lik tjeneste som kriminelle har etablert for å stjele innloggingsinformasjon.
Men keylogging menes skadevare som registrerer alt brukeren skriver på tastaturet til en datamaskin, for så å sende dette videre til den som står bak skadevaren.
Flest passord fra lekkasjer
I perioden mars 2016 til mars 2017 identifiserte forskerne omtrent 3,3 milliarder poster med innloggingsinformasjon. 12 millioner ble stjålet ved hjelp av phishing, mens 788 000 ble stjålet ved hjelp av keylogging.
Da skulle man kanskje tro at innbrudd i passorddatabasene til ulike tjenester er det største problemet for Googles brukere, men dette er ikke nødvendigvis tilfellet. Bare 12 prosent av disse passordene berørte Gmail-adresser, og av disse igjen, var det bare sju prosent av passordene som faktisk kunne brukes til å logge på Google-kontoer.
Men at det i det i det hele tatt var mulig å benytte passordene, skyldes at mange bruker de samme passordene på tvers av ulike tjenester.
Likevel, av 3 milliarder passord, var det mer enn 25 millioner som kunne benyttes i forsøk på å kapre Google-kontoer.
Men suksessraten viste seg å være mye høyere i forbindelse med phishing og keylogging. Mellom 12 og 25 prosent av angrepene resulterte i et gyldig passord.
Phishing er den største trusselen
Selv om phishing og keylogging totalt sett gir tilgang til færre gyldige Google-passord enn databaselekkasjene, er det phishing som utgjør den største trusselen mot Google-brukerne, fulgt av keylogging.
Årsaken til dette er at det nå i liten grad er nok å oppgi en epostadresse og passord dersom man logger seg på en Google-konto fra en enhet som ikke tidligere har blitt brukt til å logge på den aktuelle kontoen.
Mens de lekkede passorddatabasene kun vil inneholde epostadressen og passordet, vil angrep ved hjelp av phishing eller keylogging ha mulighet til å registrere mer informasjon om brukeren, for eksempel IP-adressen og posisjonen, i blant også mobilnummeret og informasjon om mobiltelefonen som eventuelt benyttes.
Dette kan brukes av angriperne til å gjøre innbruddsforsøket fra en enhet som tilsynelatende er den samme som den kontoeieren benytter.
Ikke nok med bare ett passord
Selv om Google forsøker å avdekke mistenkelige innloggingsforsøk, lykkes ikke selskapet alltid med dette. Det er derfor viktig at alle brukere, både av Googles tjenester og tjenester fra andre leverandører, aktiverer det som ofte kalles for to-faktor autentisering, eventuelt totrinns innlogging eller verifisering.
Dette innebærer at brukernavn (for eksempel epostadresse) og passord ikke er tilstrekkelig for å få tilgang til kontoen. I tillegg må ytterligere en faktor inkluderes. Dette kan være et engangspassord som brukeren mottar via SMS eller via en egen mobilapp. Det kan også være en egen USB-basert sikkerhetsbrikke eller en dialogboks som kun vises på brukerens smartmobil.
Av disse regnes gjerne SMS som den minst sikre, siden SMS kan avlyttes. Flere metoder for å gjøre dette, er oppgitt i denne saken. Selv om engangspassord via SMS er langt bedre enn ingen engangspassord, bør man så langt det er mulig benytte en annen metode som autentiseringsfaktor nummer to.
Hos Google aktiveres to-faktor autentisering via denne siden. I alle fall de fleste epostleverandører og sosiale medier har nå støtte for dette, men det er få hvor dette er obligatorisk, slik det er i for eksempel norske nettbanker.
Les mer om undersøkelsen her.
