Lykilorð eru enn veikasti hlekkurinn
Flest öryggisbrot á netinu eiga sér sömu rótina: veik eða endurnýtt lykilorð. Rannsóknir sýna að meirihluti fólks notar sama lykilorðið á mörgum vefsíðum, og mörg lykilorð eru svo einföld að tölva getur brotið þau á sekúndubrotum. Þetta er ekki ásökun – þetta er mannlegt eðli. Enginn getur munað tugum flókinna lykilorða.
Lausnin er einföld og er komin til að vera: lykilorðastjóri (password manager). Þetta er tólið sem gerir öllum kleift að hafa sterk og einstök lykilorð á öllum reikningum – án þess að þurfa að muna þau.
Vissir þú? Ef þú notar sama lykilorðið á Instagram, tölvupóstinum og bankanum, og eitt þessara þjónusta verður fyrir gagnaleka, eiga óprúttnir aðilar skyndilega aðgang að öllu. Þetta er kallað „credential stuffing" og er ein algengasta árásaraðferðin á netinu.
Hvað er lykilorðastjóri?
Lykilorðastjóri (password manager) er forrit sem geymir öll lykilorðin þín á einum öruggum stað. Hugsaðu um það sem stafrænan öryggishólf. Þú opnar hólfið með einu aðallykilorði (master password), og inni í því eru öll hin lykilorðin þín – hvert og eitt sterkt, einstakt og ómögulegt að giska á.
Lykilorðastjórinn geymir ekki bara lykilorðin – hann býr þau líka til fyrir þig. Í stað þess að reyna að finna upp flókið lykilorð notar hann tilviljunarkenndan textagerandi sem býr til lykilorð eins og x7$Kp9mW!bQz4nLr. Þú þarft aldrei að muna þessi lykilorð sjálf/ur.
Hvernig virkar þetta?
Lykilorðastjóri byggir á þremur meginþáttum:
1. Aðallykilorð (master password): Þetta er eina lykilorðið sem þú þarft að muna. Það opnar lykilorðastjórann þinn. Veldu langa setningu sem þú manst auðveldlega, t.d. samsetningu óskyldar orða.
2. Dulkóðun (encryption): Öll lykilorðin þín eru dulkóðuð með sterkri dulkóðun. Þetta þýðir að jafnvel þótt einhver nái að ná í gagnasafnið getur hann ekki lesið lykilorðin án aðallykilorðsins þíns. Gott dulkóðunarkerfi er eins og að geyma lykilorðin í ólæsilegum kóða.
3. Sjálfvirk útfylling (auto-fill): Lykilorðastjórinn fyllir sjálfkrafa inn notandanafn og lykilorð á vefsíðum og í öppum. Þú þarft aldrei að skrifa lykilorð handvirkt – og þetta verndar þig líka gegn vefveiðum (phishing), því stjórinn fyllir bara út á réttu vefsíðunni.
Ráð frá Vörðu: Sjálfvirka útfyllingin er ekki bara þægileg – hún er öryggiseiginleiki. Ef þú lendir á svindlsíðu sem lítur út eins og bankinn þinn mun lykilorðastjórinn ekki fylla inn lykilorðið, því hann þekkir að vefslóðin er röng. Þetta getur bjargað þér frá vefveiðum.
Samanburður: Hvaða lykilorðastjóri hentar þér?
Það eru nokkrir góðir valkostir í boði. Enginn einn er „bestur" – það fer eftir þínum þörfum og aðstæðum. Hér er yfirlit yfir fjóra vinsæla valkosti:
Bitwarden – Ókeypis og opinn hugbúnaður (open source). Virkar á öllum tækjum og stýrikerfum. Frábær kostur fyrir þá sem vilja öfluga lausn án kostnaðar. Opinn kóði þýðir að öryggissérfræðingar geta skoðað forritið og staðfest að það sé öruggt.
1Password – Borgaður (byrjar á u.þ.b. $3/mán.). Þekktur fyrir mjög notendavænt viðmót og góðan stuðning. Hentar vel þeim sem vilja sléttu upplifun og eru tilbúnir að borga fyrir hana. Gott fjölskyldupakki í boði.
Apple Keychain (Lykilkeðja Apple) – Innbyggt í iPhone, iPad og Mac. Þægilegt ef þú notar eingöngu Apple tæki. Ókeypis og þarfnast engrar uppsetningar. Takmarkað ef þú notar líka Windows eða Android.
Google Password Manager (Lykilorðastjóri Google) – Innbyggt í Chrome vafrann og Android. Ókeypis og einfalt. Hentar vel ef þú notar Chrome sem aðalvafra. Takmarkað utan Chrome vistkerfsins.
Athugið: Innbyggðir lykilorðastjórar (Apple Keychain og Google) eru betri en ekkert – mun betri. En sjálfstæðir lykilorðastjórar eins og Bitwarden og 1Password bjóða upp á meiri sveigjanleika og virka á öllum tækjum og stýrikerfum. Ef þú notar blöndu af tækjum mælum við með sjálfstæðri lausn.
Hvernig byrjar þú: 5 skref
Það tekur um 20–30 mínútur að setja upp lykilorðastjóra og verja alla reikninga þína. Hér er leiðin:
Veldu lykilorðastjóra
Ef þú ert ekki viss, byrjaðu á Bitwarden – það er ókeypis, virkar á öllum tækjum og er opinn hugbúnaður. Farðu á heimasíðu þjónustunnar og búðu til reikning. Ef þú vilt borgaða lausn er 1Password góður kostur.
Búðu til sterkt aðallykilorð
Þetta er lykilorðið sem verndar öll hin. Veldu a.m.k. 4–5 handahófskennd orð sem þú tengir saman í setningu, t.d. „hestur lampi skógur kaffi bókasafn". Langt er betra en flókið. Skrifaðu þetta lykilorð niður og geymdu á öruggum stað meðan þú ert að læra það utanað.
Settu upp vafraviðbótina og appið
Sæktu viðbót (extension) lykilorðastjórans í vafrann þinn (Chrome, Firefox, Safari) og appið á símann þinn. Skráðu þig inn með aðallykilorðinu. Nú getur stjórinn sjálfkrafa fyllt inn lykilorð á vefsíðum og í öppum.
Færðu mikilvægustu reikningana fyrst
Byrjaðu á þeim reikningum sem skipta þig mestu máli: tölvupósturinn, bankinn, samfélagsmiðlarnir. Skráðu þig inn á hvern reikning, breyttu lykilorðinu í nýtt, sterkt lykilorð sem lykilorðastjórinn býr til, og vistaðu það í stjóranum. Taktu þetta í þínum hraða – þú þarft ekki að gera allt í einu.
Kveiktu á tvíþátta auðkenningu (2FA)
Nú þegar lykilorðin þín eru sterk, bættu við tvíþátta auðkenningu (two-factor authentication) á mikilvægustu reikningana. Margir lykilorðastjórar geta líka geymt 2FA kóðana þína. Þetta bætir öryggislagi ofan á sterk lykilorð.
Ráð frá Vörðu: Þú þarft ekki að flytja alla reikninga í einu. Byrjaðu á 5–10 mikilvægustu reikningunum og bættu svo við hinum eftir þörfum – t.d. í hvert skipti sem þú skráir þig inn einhvers staðar. Eftir nokkrar vikur verða flestir reikningarnir komnir yfir.
Algengar áhyggjur og misskilningur
Það er eðlilegt að hafa áhyggjur af nýju kerfi. Hér svörum við algengustu spurningunum:
„Er ekki hættulegt að geyma öll lykilorð á einum stað?"
Þetta er skiljanleg áhyggja, en valkosturinn – að endurnýta sömu veiku lykilorðin – er mun hættulegri. Lykilorðastjórar nota sterka dulkóðun og eru hannaðir af öryggissérfræðingum einmitt til þessa. Þetta er eins og að geyma verðmætin þín í öryggishólfi í stað þess að hafa þau undir dýnunni.
„Hvað ef ég gleymi aðallykilorðinu?"
Þetta er eina raunverulega áhættan. Skrifaðu aðallykilorðið niður á blað og geymdu á öruggum stað (t.d. í læstri skúffu eða hjá traustsaðila). Sumir lykilorðastjórar bjóða einnig neyðaraðgang (emergency access) þar sem valinn aðili getur fengið aðgang ef þú getur ekki sjálf/ur.
„Hvað ef lykilorðastjórinn verður fyrir árás?"
Góður lykilorðastjóri er hannaður þannig að jafnvel þótt netþjónarnir verði fyrir árás eru gögnin ólæsileg án aðallykilorðsins þíns. Þetta er kallað „zero-knowledge" arkitektúr – þjónustan sjálf getur ekki lesið lykilorðin þín. Veldu viðurkenndan lykilorðastjóra og þú getur treyst kerfinu.
„Er þetta ekki of flókið fyrir mig?"
Ef þú getur notað app á símanum þínum, getur þú notað lykilorðastjóra. Þegar hann er settur upp þarf lítið viðhald – hann gerir allt sjálfkrafa. Ef eitthvað, þá er daglegt líf á netinu einfaldara en áður, því þú þarft aldrei aftur að ýta á „gleymt lykilorð".
Gátlisti: Lykilorðastjóri tilbúinn
Merktu við eftir því sem þú klárar hvert skref:
- Lykilorðastjóri valinn og reikningur búinn til
- Sterkt aðallykilorð búið til (a.m.k. 4 orð eða 16 stafir)
- Aðallykilorð skrifað niður og geymt á öruggum stað
- Vafraviðbót og símaapp sett upp
- Tölvupóstreikningur fluttur yfir með nýju sterku lykilorði
- Bankareikningur fluttur yfir með nýju sterku lykilorði
- Samfélagsmiðlareikningar fluttir yfir
- Tvíþátta auðkenning virkjuð á mikilvægustu reikningunum
- Gömul og veik lykilorð hætt að nota
Þetta er eitt besta skrefið sem þú getur tekið
Lykilorðastjóri er ekki lúxus – hann er grunnurinn að öryggi á netinu. Með honum ertu komin/n með sterkt, einstakt lykilorð á öllum reikningum og þarft aldrei aftur að hafa áhyggjur af gagnabrotalekum eða endurnýttum lykilorðum.
Ef þú vilt fá aðstoð við uppsetningu, eða vilt fara yfir alla stafrænu öryggisþætti í einni lotu, bókaðu ráðgjöf hjá Vörðu. Við göngum í gegnum allt með þér – á þínum hraða og á íslensku.