Tag Archives: Passord

Tåkelegg skya for godt

Som eg har vore innom i tidlegare innlegg, kan tryggleiken til filer lagra på nettet vere so som so. Eg viser til:

For å vere heilt sikker på at ingen kan lese dine data, må du kryptere alle data som blir lasta opp. Sjølv om aviser hevdar at NSA knekker kryptering, har eg ikkje sett konkret dokumentasjon på det. Med utgongspunkt i Dropbox, vel eg likevel å skissere ei totalløysing med EncFS. Du vil fort forstå at ho er enkel å tilpasse alle skytenester som SkyDrive, GoogleDrive osv. Formålet er å ikkje gi ut nokon informasjon om di sikring av filene dine.

  1. Det første du må gjere er å installere programvare i innlegget EncFS sikrar dine filer på nettet.
  2. Sett standardinnstillingar slik som skissert i EncFS sikrar dine filer på nettet.

Når alt er installert og du har starta EncFS for Windows, vil det kome opp ein nøkkel i systemfeltet (system tray) nede til høgre i skjermbilete av Windows:

  1. Høgreklikk på nøkkelen
  2. Vel Open/Create
  3. Opprett ei mappe under ditt brukarnamn med t.d. namnet Skya
  4. Vel stasjon, i mitt eksempel brukar eg stasjon S,  som skal vere “redigeringskanalen”. Stasjonen gir tilgang “on-the-fly” til den dekryptert versjonen av filene.
  5. Lag eit godt passord eller setning

Det som har skjedd no er at det er oppretta ei fil .encfs6.xlm i mappa Skya. Du skal aldri kopiere filer eller mapper over i mappa Skya. Alle mapper og filer som blir skrivne via den virtuelle stasjonen (stasjon S i mitt eksempel) i EncFS, blir kryptert etter innstillingane i .encfs6.xml og lagra i mappa Skya. Fila .encfs6.xml  inneheld ikkje passordet/setningen i klartekst, men i lys av udokumenterte påstandar i media, vel eg å fjerne informasjonen frå likninga. Utan fila eliminerer ein fleire variablar som gjer det umogleg å få tilgang til informasjonen i filene du lastar opp. Eg treng vel ikkje minne deg om at du må ta backup av .encfs6.xml? Utan fila får du ikkje tilgang til dine data. Ikkje eingong NSA eller høgare makter kan hjelpe deg.

  1. Monter mappa til stasjon ved å klikke på nøkkelen system feltet og velje Mount
  2. Opprett ei mappe Dropbox på stasjon S
  3. Flytt alt frå den originale Dropbox-mappa til S:\Dropbox
  4. Vent til Dropbox-appen slettar alle filer
  5. Når Dropbox-appen er ferdig, avslutt Dropbox-appen
  6. Når Dropbox-appen er avslutta, slett mappa Dropbox frå brukarmappa di i Windows, ikkje S:\Dropbox

Dropbox-appen har hardkoda Dropbox som mappenamn. Uansett kor du peikar han slenger han på Dropbox. Om du ser under mappa Skya vil du sjå det krypterte namnet til mappa S:\Dropbox. Her ser du korleis det ser ut hjå meg:

enfsdropbox

Det du må gjere er å lage ein link med namn Dropbox under brukarområdet ditt til det krypterte namnet til Dropbox-mappa under mappa Skya. Dette må gjerast frå kommandolina/Ledetekst i Windows:

  1. Opne Ledetekst under Alle programmer\Tilbehør i Start-menyen
  2. Skriv mklink /J Dropbox «C:\Users\<brukarnamnet ditt>\Skya\<Kryptert namn til Dropbox-katalogen>»
  3. Sjekk at lenka fungerer frå Windows utforskar
  4. Når alt fungerer, start Dropbox-appen
  5. Opplasting av krypterte filer startar

Når det gjeld punkt 2, er det viktig at du bruker hermeteikn rundt stien som linken skal peike til. Årsaka er at det kan kome bindeteikn tilsvarande mellomrom frå krypteringa av mappenamnet. Utan hermeteikn kan linken bli feil.

Alt som du lagrar i S:\Dropbox\ bli lasta opp kryptert. Her ser du korleis det set ut hjå meg:

dropbox

Det siste du bør gjere er å logge deg på http://www.dropbox.com og slå på visning av sletta filer og mapper og fjerne desse for godt.

Fullstendig kryptering av Android

kryptere telefonTelefonane våre har vorte meir og meir eit sentralt hjelpemiddel i det daglege liv. Vi tek bilete og video, utvekslar meldingar, er tilkopla sosiale medier, lastar ned e-post frå ulike kjelder med meir. Kort sagt mykje personlege og eventuelt data frå arbeidsgivar blir samla på einingen. Ved eit tap eller avhending utan eit visst forabeid, kan det få store konsekvensar. I Sverige har ein testa 50 telefonar som tidlegare var brukt av verksemder:

http://e24.no/it/fant-sensitiv-informasjon-paa-en-av-tre-mobiler/20330071

Telefonane var tilbakestilt til fabrikkinnstillingar, men det er ikkje nok. Det betyr berre at standard konfigurasjonsfiler er kopiert over dine og dine data er «sletta». Du kan tru at det er borte, men i realiteten har du berre rive ut innhaldslista av ei bok. Sider blir berre erstatta etter kvart som ein fyller på med nye data. Med dei rette verktøya er det ikkje noko hokus pokus å hente tilbake, bilete, videoar, e-post osv.

Kryptere telefon

Dei fleste er van med å setje ein pin-kode på telefonen for å låse den. Ein iPhone blir automatisk kryptert når du set pin-kode eller passord.  I Android 3+ må du aktivt velje å kryptere telefonen, der er det ingen automatikk at data blir kryptert når telefonen får sett skjermlås.

Bilete til venstre er henta frå Samsung Galaxy S2. Telefonen er kryptert. Imotsetning til iPhone krev Samsung S2 at ein brukar passord på minimum 6 teikn der eitt av dei er eit tal for krypteringa. Det same passordet som blir brukt på skjermlåsen. Ulempa er at ein må forhalde seg til eit fullstendig tastatur på skjermen, som gjer det vanskelegare å treffe teikna. Eg let diskusjonen om det er god nok tryggleik at den same koden for skjermlås er den som òg låser opp ein kryptert telefon. Det er ikkje er ofte ein slår av og på ein telefon. Eit lite brukt passord kan lett gå i gløymeboka.

Før du krypterer, kopier ut data på telefonen i tilfelle det skulle oppstå problem under krypteringa. For å få lov til å starte krypteringa av Samsung Galaxy S2, må telefonen først ladast opp til 100%. Ladaren må stå i under krypteringa og set av tid til det. Eg tilrår at du syter for at heile dataområdet blir kryptert, for å hindre at restar av gamle filfragment kan gjenfinnast.

Ikkje gløym SD-kortet

kryptere sd-kortSamsung Galaxy S2 støttar minnekort, som må krypterast separat. Før du krypterer, kopier ut data som ligg på SD-kortet i tilfelle det skulle oppstå problem under krypteringa. Du må passe på å kryptere heile kortet. Eg ser ingen grunn til å utelate multimediafiler. Du vil vel ikkje at dine bilete og/eller videoar skal vere tilgjengeleg dersom telefonen går tapt. Alt etter kor stort minnekortet ditt er, vil det ta noko tid.

Oppsummering

Når telefonen er kryptert, vil gjenoppretting til fabrikkinnstillingar føre til at krypteringsnøkkelen forsvinn. Det er ikkje mogleg å køyre gjenoppretting sidan dine krypterte data berre framstår som tilfeldige data.

Med andre ord skal det ikkje vere mogleg å finne data i tilsvarande omfang som rapportert i artikkelen over.

Lit ikkje på nokon i skya

ServerarDet er i dag utallige leverandørar som tilbyr lagring og andre tenester på internett. Eg brukar nokre og har testa fleire. Det er ikkje til å legge skjul på at tenestene er hendige. Uavhengig av kor og korleis eg er kopla opp mot internett, får overført oppdaterte data til maskinene mine. Eller eg kan jobbe med dokument i skya.

Slike tenester skapar utfordringar ved at du aldri kan vere sikker på at tenesta er sikker i det forstand at ikkje utru tenarar kan dra nytta av dine personlege data eller at eksterne kan få tilgang på grunn av ditt dårlege passord eller svakheitar i løysinga som kan utnyttast.

«Lit ikkje på nokon» er eit bra utgangspunkt. Det får deg til å tenkje på korleis du kan hindre uvedkomande å få tak i opplysningane frå deg. Ein måte å hindre at viktige data kjem på avvegar er å avgrense bruken av skya for dine mest personlege data. Men desse er oftast dei du vil ha med deg rundt heile tida. Som bank- og førarkortet ditt er det ting som du dagleg har bruk for. Har du, som eg, fleire maskiner med ulike operativsystem og plasseringar, er skya eit sentralt hjelpemiddel i å sikre at du alltid har tilgong oppdaterte, viktige data. Eit godt passord er ikkje alltid nok i slike tilfelle.

nklfilerEin måte å løyse det på er å nytte programvare som dannar eit ekstra lag at tryggleik mot dine data. Eit eksempel på slik programvare er Truecrypt som kan kryptere platelager, minnebrikker eller opprette krypterte filer som framstår som virtuelle stasjonar (t.d. F, G osv i Windows). Eit anna eksempel er Keepass som er ein passorddatabase. Begge kan nytte nøkkelfil(er) i tillegg til passord for å sikre data. Men slik sikring krev at du fragmenterer sikringa.

Fragmentering kan skje ved at

  1. du kopierer over nøkkelfiler til dine pcar ved hjelp av minnepinne eller -brikke. Dette hindrar deg å flytte deler av nøkkelen over internett.
  2. du brukar 2 tenester på nettet med uavhengige og sterke passord med t.d. minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.

Eit døme på alternativ 2 er å bruke Dropbox og GoogleDrive. Ei av tenestene har nøkkelfil(ene) liggande. Den andre har dine krypterte data. Nøkkelfil(ene) skal aldri vere innom same tenesta som dine krypterte data. Dersom tenesta med nøkkelfil(ene) blir kapra, vil dei ikkje skjøne kva dei er. Det viktigaste er at dei ikkje ha tilgong til dine krypterte data. Blir tenesta som har dine krypterte filer kapra, kan dei ikkje låse opp filene sjølv om dei skulle ha kjennskap til passordet. Nøkkelfil(ene) er ein del av sikringa og må vere med for å låse opp dei krypterte filene.

Oppsummert døme 2

  • Krypterte datafiler blir sikra med kombinasjonen nøkkelfil(er) og sterke passord med minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.
  • 2 tenester på internett blir sikra med uavhengige og sterke passord på minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.
  • Nødvendig programvare for synkronisering blir installert og kopla opp.
  • Nøkkelfil(er) blir kopiert over til brukarkatalogen til ei teneste.
  • Krypterte datafiler blir kopiert over i brukarkatalogen til den andre tenesta.

Ver påpasseleg med lengda og samansetninga av passorda dine

Det kom ikkje som ei overrasking at det fins verktøy som kan finne eit kort passord innafor rimeleg kort tid. Men den teknologiske framgangen er så stor at til og med «mannen i gata» har råd til utstyret. Arstechnica har publisert ein artikkel om eit system som brukar kraftige grafikkort som ved rå makt testar alle kombinasjonar av teikn som passordet kan vere bygd opp av:

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

Eg rekna litt på det:

bruteforce

Som de ser vil systemet bruka i underkant av 5 timar og 18 minutt på å teste alle kombinasjonar av teikna a-z, A-Z, 0-9 og ca 33 teikn som er lett tilgjengelege på tastaturet. Døme på det siste er skift og 1 som blir teiknet ! osv. No er det ikkje slik at folk har den siste kombinasjonen som vert testa. Om vi tek eit stort utval av brukarar kan ein rekne med å finne passordet på halvparten av tida. Det vil sei ca 2 timar og 40 minutt i snitt per brukar.

Det ikkje alt som er like raskt å knekke, som det går fram av artikkelen, men det er ikkje å legge skjul på at med dagens teknologi er eit passord på 8 teikn svakt. Ser ein framover vil ein om nokre år få langt kraftigare verktøy til rådvelde. Ergo vil eg meine at ein bør forlate tankegangen med 8 teikn og heller satse på eit passord basert på 12 teikn. Dette skal vere sett opp på ein slik måte at ein ikkje kan bruke ordlister til å finne fram til passordet eller kombinasjonen av ord som passordet er sett saman av.

Utifrå tabellen over vil eg meine at eit passord basert på a-z, A-Z, 0-9 samt lett tilgjengeleg spesialteikn vil vere meir enn tilfredstillande. Med spesialteikn som stoppteikn eller erstatningar for mellomrom kan ein vurdere å gå over til pass-setningar i stadenfor passord. I tillegg har vi nordmenn eit ess opp i ermet med våre norske bokstavar æ, ø og å.