Sådan skifter du adgangskoden efter »Heartbleed«-brist

Sikkerhedsbristen »Heartbleed« har sat ny opmærksom på vigtigheden i at skifte sit kodeord. Ifølge IT-sikkerhedseksperter kan man forvente, at internettjenester oplyser det, hvis det er nødvendigt.

Sikkerhedsbristen Heartbleed har snuppet overskrifterne denne uge - og sat fornyet fokus på, at det er en god ide at vælge en sikker adgangskode. Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Den omfattende sikkerhedsbrist »Heartbleed«, der blev opdaget tidligere på ugen - og har udsat millioner af brugerdata for en potentiel risiko for at blive stjålet af hackere - har for alvor sat fokus på, at internetbrugere skal huske at skifte deres kodeord til de internettjenester, de anvender.

Sikkerhedsbristen har sat IT-folk verden over på overarbejde for at undersøge, om internettjenester er blevet berørt af fejlen, og mange selskaber bag tjenesterne har allerede meddelt, at de ikke er blevet ramt af problemet - eller allerede har afskærmet brugerne for usikkerheden.

Der findes flere lister over, hvilke internettjenester der har været berørt, hvad de har foretaget sig for at udbedre problemet, og om brugerne af dem bør skifte kodeord.

Hos IT-sikkerhedsrådgivningsvirksomheden CSIS Security Group forklarer IT-sikkerhedsekspert Peter Kruse, at der løbende kommer nye anvisninger, i takt med at selskaberne får analyseret deres tjenester. Derfor lyder rådet herfra, at internetbrugere skal passe på med at gå i panik over »Heartbleed«-bristen - og i stedet lytte til de meldinger, der kommer fra de tjenester, de anvender.

»Almindelige internetbrugere, som er bekymrede, skal lytte til de udmeldinger, der kommer fra serviceudbyderne af de tjenester, de har en konto hos. De skal ikke gå i panik, men lytte til det, hvis en serviceudbyder vil have dem til at ændre kodeord,« lyder det fra Peter Kruse.

Han forklarer, at sikkerhedsbristen »Heartbleed« er en omfattende sårbarhed, men at den ligger på et teknisk niveau, hvor den håndteres af IT-kyndige og systemadministratorer - ikke hos brugerne selv.

Hvis en internettjeneste er berørt af sårbarheden, vil brugerne ifølge Peter Kruse blive orienteret om det. De kan blive orienteret per mail, men ifølge Peter Kruse vælger mange internettjenester helt at tvinge folk til at skifte adgangskode.

»Hvis det sker, vil mange af dem højest sandsynligt orientere om det, allerede i det øjeblik, man logger på og her tvinge folk til at ændre deres adgangskode af sikkerhedsmæssige årsager,« siger Peter Kruse.

Heartbleed er kort fortalt en sikkerhedsbrist i den krypteringsmetode, som mange internetsteder anvender til at sikre kommunikationen mellem brugernes telefon eller computer og den internettjeneste, de udbyder. Det har resulteret i et sikkerhedshul, som hackere potentielt har kunnet udnytte til at få fingre i brugerdata brugernavne og adgangskoder.

Flere internettjenester som Facebook, Google og Yahoo har allerede har taget initiativ til at afskærme brugerne over for risikoen, mens både Amazon og Twitter har oplyst, at deres tjenester ikke er blevet berørt af sikkerhedsbristen.

Hos Nets, der står bag NemID og Dankort-systemet, lød meldingen i går, at selskabet var i gang med at undersøge systemerne for, om de var berørt af »Heartbleed«. Den undersøgelse har selskabet nu afsluttet, og den viser ifølge selskabets kommunikationschef Søren Winge efter en grundig sikkerhedsmæssig gennemgang af systemerne, at ingen af dem er ramt.

Hos IT-sikkerhedsorganisationen DK-CERT forklarer Shehzad Ahmad da også, at der herhjemme arbejdes på fuld tryk alle steder - både offentligt og privat - for at undersøge de internettjenester, de udbyder og opdatere dem til den nye version af softwaren OpenSS.

Han vurderer, at de vil have håndteret det inden for en uges tid og henviser ligeledes til, at selskaberne vil orientere brugerne om situationen, hvis de er berørt, og det kræver, at brugerne skal skifte adgangskode.

Er man som internetbruger nervøs i forhold til de forskellige internettjenester, man benytter, lyder rådet fra Shehzad Ahmad, at man får skiftet sine adgangskoder.

»Hvis man vil være på den sikre side, så skifter man sin adgangskode her og nu - og gør det igen om en uge eller ti dages tid. Og så skal man holde øje med det, når der kommer opdateringer til de programmer, man benytter. Der er allerede produkter, som har haft den her sårbarhed, som nu ér blevet opdateret,« lyder rådet fra Shehzad Ahmad. Det er en klassiker, at mange glemmer at få skiftet adgangskoder eller benytter de samme alle vegne.

Ifølge Peter Kruse fra CSIS Security Group er der nogle generelle råd, der er værd at følge, når man skifter sin adgangskode.

»Det handler om at vælge en stærk adgangskode, og det gør man ved at benytte otte bogstaver - både store og små - og kombinere dem med tal og gerne specialtegn,« siger Peter Kruse, der tilføjer, at den megen omtale af »Heartbleed« kan være en anledning for folk til at få skiftet deres kodeord til mere sikre varianter.

Heartbleed er blevet opdaget Google-folk og IT-sikkerhedsfirmaet Condenomicon, og sidstnævnte har oprettet internetsiden heartbleed.com for at informere om sikkerhedsbristen.

Navnet Heartbleed stammer fra softwaren OpenSSL, som sikkerhedsbristen er blevet opdaget i.

Det er en software som anvendes på servere til at kryptere sikre kommunikationen mellem en brugers telefon eller computer og den internettjenesten, de udbyder. Softwaren indeholder dele kaldet »heartbeat extension« eller RFC6520, som ifølge amerikanske Wall Street Journal kontrollerer, at forbindelsen mellem to servere er »i live«.