Hantera lösenord på nätet
Många användare känner sig överväldigade när det kommer till säkerhet på nätet. Mark Risher och Stephan Micklitz från Google pratar om hur de har denna känsla i åtanke när de utformar säkerhetsåtgärder.
Mark, du är Director of Product Management på Google och jobbar med säkerhet på nätet. Har du någonsin fallit offer för bedrägeri på nätet?
Mark Risher: Jag kan inte komma på något konkret exempel just nu, men jag antar att jag har det. Jag begår misstag när jag surfar på nätet precis som alla andra. Jag angav till exempel mitt Google-lösenord på fel webbplats nyligen. Lyckligtvis hade jag installerat pluginprogrammet Chrome Password Alert som meddelade mig om misstaget. Efteråt bytte jag självklart till ett annat lösenord.
Stephan Micklitz, Director of Engineering i Googles integritets- och säkerhetsteam: Att fela är mänskligt. När vi har memorerat ett lösenord är det lätt att vi anger det utan att vara uppmärksamma på var vi anger det.
Risher: Vi skulle gärna göra oss av med lösenorden helt och hållet, men det är tyvärr inte så enkelt.
”Många säkerhetsåtgärder sker bakom kulisserna.”
Mark Risher
Vad är det dåliga med lösenord?
Risher: De har många nackdelar. De är lätta att stjäla men samtidigt svåra att komma ihåg, och det kan vara jobbigt att hantera alla olika lösenord som vi har. Många användare tror att ett lösenord bör vara så långt och komplicerat som möjligt, men faktum är att detta ökar säkerhetsrisken. Användare använder ofta samma komplicerade lösenord för fler än ett konto, vilket gör dem extra sårbara.
Micklitz: Ju mer sällan du anger ditt lösenord, desto bättre. Därför bör du inte kontinuerligt logga in på dina konton och sedan ut igen. Över tid kan detta leda till att användare inte är uppmärksamma på vilken webbplats de befinner sig på, vilket gör det mycket lättare för lösenordstjuvar. Vi rekommenderar därför våra användare att fortsätta vara inloggade.
På bankens webbplats blir jag automatiskt utloggad efter fem minuters inaktivitet.
Micklitz: Många företag följer dessvärre fortfarande föråldrade regler. Rådet att kontinuerligt logga ut kommer från tiden då de flesta personer surfade på nätet på internetkaféer eller delade en dator med andra. Vår forskning visar att ju fler gånger man anger sitt lösenord, desto större är risken att utsättas för en cyberattack. Det är därför säkrare att helt enkelt aktivera låsskärmen på telefonen eller datorn och använda ett säkert lösenord.
Risher: Det stämmer. Det finns tyvärr gott om falsk eller opraktisk information som kan vara förvirrande för många användare. Det värsta scenariot är att folk ger upp till följd av ovissheten: ”Om det nu är så svårt att skydda sig själv är det ingen vits med att ens försöka”. Men det blir som att lämna ytterdörren öppen när det finns tjuvar i området.
Hur skulle Google hålla användare säkra om lösenorden avskaffades?
Risher: Vi har redan flera andra säkerhetsåtgärder som körs i bakgrunden. Även om en hackare skulle få åtkomst till ditt lösenord och ditt telefonnummer skulle vi fortfarande kunna garantera en säkerhet på 99,9 % för Google-kontot. Vi kontrollerar till exempel enheten och landet som man loggar in från. Om någon försöker logga in på ditt konto flera gånger i rad med ett felaktigt lösenord utlöses en varning i våra säkerhetssystem.
Micklitz: Vi har även skapat säkerhetskontrollen, som ger användare möjlighet att stegvis gå igenom sina personliga säkerhetsinställningar i Google-kontot. Och med programmet Avancerat skydd går vi ett steg längre.
Vad är tanken bakom det programmet?
Micklitz: Programmet skapades först för personer som politiker, vd:ar och journalister som kan vara extra utsatta för brottslighet. Men nu är det tillgängligt för alla som vill ha extra skydd på nätet. Det är endast möjligt att få åtkomst till det skyddade Google-kontot med en särskild USB- eller Bluetooth-nyckel.
Risher: Eftersom alla Googles medarbetare använder en säkerhetsnyckel för att skydda sina företagskonton vet vi av egen erfarenhet hur effektivt det här systemet är. Sedan vi implementerade den här säkerhetsåtgärden har vi inte haft ett enda fall av nätfiske till följd av ett utsatt lösenord. Nyckeln gör Google-kontot betydligt säkrare. Även om angriparen känner till användarens lösenord kan han eller hon inte få åtkomst till kontot utan nyckel. Man brukar säga att ett onlinekonto kan hackas varifrån som helst i världen, men detta är inte fallet med konton som skyddas med en fysisk säkerhetsnyckel.
Micklitz: Dessa säkerhetsnycklar kan förresten användas för många webbplatser, inte endast för programmet Avancerat skydd. Du kan köpa dem från oss eller från andra leverantörer till ett lågt pris. På g.co/advancedprotection hittar du all information.
”Folk har ibland svårt för att utvärdera riskerna på nätet.”
Stephan Micklitz
Vilka är enligt dig de största farorna på nätet i dag?
Risher: Ett problem är de många listorna över användarnamn och lösenord som finns på nätet. Vår kollega Tadek Pietraszek och hans team ägnade sex veckor åt att genomsöka nätet och hittade 3,5 miljarder kombinationer av användarnamn och lösenord. De här är inte data från Google-konton som hackats, utan det hade stulits från andra leverantörer. Men listorna är ett problem även för oss, eftersom många användare använder samma lösenord för flera konton.
Micklitz: Jag ser riktat nätfiske eller ”spear fishing” som ett stort problem. Det är när hackare skickar ett personligt meddelande som är så smart skrivet att det är svårt för användaren att se att det rör sig om bedrägeri. Vi ser fler och fler hackare använda sig av den här tekniken, och dessutom lyckas.
Risher: Jag håller med Stephan. Dessutom är riktat nätfiske inte alls lika tidskrävande som det kanske verkar. Oftast tar det bara några minuter att anpassa ett skräppostmeddelande. Hackare kan använda sig av informationen som användare publicerar om sig själva på nätet. Det här är till exempel ett problem med kryptovalutor. Om folk skriver att de äger 10 000 bitcoins på nätet borde de inte bli förvånade över att den här informationen drar till sig uppmärksamhet från nätbrottslingar.
Micklitz: Det är som att jag skulle stå mitt på torget med en megafon och tala om för alla hur mycket jag har på banken. Vem skulle göra det? Ingen. Men folk har ibland svårt för att utvärdera riskerna på nätet.
Är regelbundna skräppostmeddelanden fortfarande ett problem?
Risher: Länkade enheter och tjänster innebär en stor utmaning för oss. Folk surfar inte bara med laptops och smartphones, de använder även tv:ar, smarta klockor och smarta högtalare. På alla dessa enheter körs flera appar, vilket ger hackare flera punkter som de potentiellt kan attackera. Och eftersom många enheter numera är anslutna till varandra kan hackare använda sig av en enhet för att få åtkomst till information på en annan. Vi behöver nu hitta ett svar på följande fråga: Hur kan vi garantera våra användares säkerhet trots alla nya användarvanor?
Micklitz: Vi behöver först fråga oss själva vilken data vi faktiskt behöver för varje tjänst, och vilken data som delas mellan flera tjänster.
Hur använder ni AI för att skydda användarna?
Micklitz: Google har använt artificiell intelligens under ganska lång tid nu.
Risher: Tekniken var redan från början integrerad i vår e-posttjänst, Gmail. Google utformade till och med ett eget bibliotek för maskininlärning kallat TensorFlow, som hjälper utvecklarna som jobbar med maskininlärning. Gmail gynnas särskilt av TensorFlow eftersom det erbjuder hjälp med att känna igen typiska mönster.
Kan ni förklara hur mönsterigenkänningen fungerar?
Risher: Låt oss säga att vi upptäcker misstänkt aktivitet bland flera användare som vi inte kan kategorisera. Med hjälp av maskininlärning går det att jämföra dessa händelser och i bästa fall upptäcka nya slags bedrägerier innan de sprids på nätet.
Micklitz: Det finns dock gränser – en maskin är aldrig smartare än personen som använder den. Om jag matar en maskin med falsk eller ensidig data kommer även mönstret som den upptäcker att vara falskt eller ensidigt. Trots det stora intresset för artificiell intelligens beror dess effektivitet alltid på personen som använder det. Det är användarens ansvar att träna maskinen med högkvalitativ data och kontrollera resultaten efteråt.
Risher: När jag jobbade för en annan e-postleverantör fick vi en gång ett meddelande från en banktjänsteman i Lagos. Under den perioden fanns det gott om falska e-postmeddelanden som påstods komma från Nigeria. Mannen klagade på att hans e-postmeddelanden alltid hamnade i mottagarens skräppostmapp, trots att han jobbade på en välrenommerad bank. Det här är ett typiskt exempel på hur för lite information kan leda till felaktiga regler i mönsterigenkänningen. Vi kunde lösa problemet genom att ändra algoritmen.
Fotografier: Conny Mirbach
Framsteg inom cybersäkerhet
Läs mer om hur vi skyddar fler människor online än någon annan i världen.
Läs mer