Vissa av artikelns länkar, bilder och klipp kan saknas.
SVT rapporterade · Så skyddar du dina uppgifter på nätet
IT-säkerhetsexpert svarar på dina frågor
Svårhackade lösenord och uppdaterade säkerhetsprogram. Ja, frågan är vad du som privatperson kan göra för att skydda dina personuppgifter på nätet.
Här svarar IT-säkerhetsexperten Jesper Kråkhede på era frågor.
Chatten hölls öppen kl 11:00-12:00 måndagen den 7 december.
Här kan du se reportaget om hur EU nu diskutera skärpta krav på företag och myndigheter som hanterar våra personuppgifter. http://www.svt.se/nyheter/regionalt/dalarna/sa-latt-kan-hackare-ta-over-dina-konton-1
När man blir äldre och minnet börjar svikta är det överhuvudtaget inte lätt att göra bankärenden! Massa nya ändringar i systemen gör att det kan ta alldeles för mycket tid och ork att hänga med! Även när man kontaktar support kan det bli fel! Hur ska alla kunna hålla koll på sina transaktioner? Det borde vara en mänsklig rättighet att ha system som är säkra och som alla klarar av och denna säkerhet skall bankerna stå för på ett förståeligt sätt för alla.
Jag kan fullt förstå dig där. Jag har precis själv blivit tvingad att byta bank pga en sammanslagning och nu fungerar allt mycket sämre. Däremot kan jag säga att min vanliga bank har en helt utmärkt app vilket gör mitt liv mycket lättare. Jag har många räkningar på e-faktura men de som jag får på papper skannar jag in på ett kick. Det är också lätt för mig att föra över pengar till dem s
som jag bestämt att jag skall kunna göra det till. Och jo, den är säker. Jag har testat den själv.
Vad ska vårat företag göra för att kunna skydda sig? Räcker brandväggar och andra liknande skydd?
Det korta svaret är nej. Det långa svaret är att du behöver identifiera vad som har ett värde hos er. Därefter se till att skydda detta var det än befinner sig. Idag har vi en tendens att vara mer mobila och en brandvägg löser inte problemet med mail i mobilen.
När du vet var det du vill skydda befinner sig skall du skydda på det sätt som är nödvändigt. I korthet hade jag sagt: Brandvägg på nätverk, brandvägg på alla datorer och servrar, antivirus, patchning av både operativ system och ALLA program, se till att ingen är local administrator, utbilda användarna att aldrig klicka på länkar eller filer som de inte väntar, filtrera all mail från spam och otäckhete
och otäckheter, gå igenom loggfiler med en SIEM-lösning och implementera en SOC om möjligheten finns.
Jag är livrädd för datorvirus och "Internet-maskar". Hur gör man för att undvika dem?
Se till att ditt antivirus är uppdaterat, se till att din dator uppdaterar alla säkerhetsluckor, uppdatera alla program som kan uppdateras, klicka inte på länkar eller filer du inte väntar på.
Om du är lite mer dator kunnig så kan du kolla på aktiva processer och stänga ned dem som du inte känner igen. Kolla också på Tillägg i din webbläsare och stäng av dem du inte känner igen.
Jag gör hemsidor åt kunder i wordpress. Har råkat rejält illa ut med trojaner och annat. Har fått ominstallera alla sidor och är nu noga med uppdateringar. Vad mer kan jag göra? Och är Wordpress säkert nog att använda?
Du slår huvudet på spiken när du säger att du är noggrann med uppdateringar. Det är det absolut viktigaste du kan göra. Sedan skall du se till att ha väldigt långa lösenord, gärna fullständiga meningar typ ”Ett bra lösenord är väldigt långt!!!” på adminkonton om du inte kan använda två-faktors-inloggning. Granska också sidorna med ett skanningverktyg eller ännu bättre med kodgranskningsv
Wordpress har en autoupdate-funktion och de tar säkerhet på allvar. Tänk bara på att uppdatera alla komponenter också. Kolla gärna på SecurityFocus för att se ifall dina tilläggskomponenter finns där och om de i så fall uppdateras.
Vad är de största riskerna för att få sin id kapat?
Svår fråga för det beror på vad det är för ID som är kapat. Om man tittar på tex BankID så har jag möjlighet att ta lån i ditt namn och öppna nya konton där pengarna sätts in och sedan försvinner.
Tittar vi på mer kring körkortsbedrägerier så kan jag beställa och hämta ut paket i ditt namn.
Det mesta stöket är att du måste lägga så mycket egen tid på att reda ut problemen och får svårt att genomföra egna affärer under tiden. Man är dock kansk skyddad.
Ett tips är att använda esparr.se vilket är en gratistjänst för att stoppa delar av ID-kapningar. Och skaffa en låsbar brevlåda.
Vilka är de vanligaste bedrägerisätten och hur skyddar jag mig?
Ta över din Facebook, twitter eller motsvarande. Två faktorsinloggning med hjälp av mobilen.
Beställa saker i ditt namn och stjäla avier. Skaffa en låsbar brevlåda.
Skimma ditt kort. Använd ett kreditkort snarare än betalkort för de bolagen har bättre mekanismer för att hitta felaktiga transaktioner.
Förklara gärna två faktorsinloggning. Kanske fler än jag som inte är med på vad du menar.
Mailintrång där de tar över din kommunikation. Bra lösenord eller två faktorsinloggning.
För er som undrar om 2-faktors inloggning.
När man pratar om inloggningar pratar man om tre saker:
Något jag vet, ex lösenord
Någit jag har, ex smartkort eller mobil
Något jag är, biometriska lösnignar såsom fingeravtrycksinloggning (finns på vissa telefoner)
2-Faktorsinloggning är helt enkelt att man använder två av ovan, ex lösenord och mobillösenord. Mobilt BankId är ett exempel på en sådan.
När man pratar om inloggningar pratar man om tre saker:
Något jag vet, ex lösenord
Någit jag har, ex smartkort eller mobil
Något jag är, biometriska lösnignar såsom fingeravtrycksinloggning (finns på vissa telefoner)
2-Faktorsinloggning är helt enkelt att man använder två av ovan, ex lösenord och mobillösenord. Mobilt BankId är ett exempel på en sådan.
Ok, tack!
Hur kan du som "itsäkerhetsexpert" rekommendera lösenord med riktiga ord i. Det är ju det frysta man lär sig att inte ha med i lösenorden. .
Jo, jag som "itsäkerhetsexpert" vet betydligt mer om hur lösenordsknäckning fungerar. ;-)
När du skapar ett lösenord genereras en hash av lösenordet. Denna sparas sedan ned i kontodatabasen.
När du loggar in skapas en ny hash och dessa jämförs sedan.
Du får alltså olika hashar om du skriver "Jag har en boll" respektive "Jag har en båll" även om flera ord är samma.
Därav följer att lösenord som är långa är mycket svårare att knäcka. Idag finns det ngt som kallas rainbowtables som knäcker de flesta lösenord under 16 tecken inom loppet av ngn sekund om jag har tillgång till hashen.
Är vi privatpersoner mer sårbara för kapning nu än för några år sen?
Både ja och nej. Å ena sidan är vi mer medvetna och har mer skydd men å andra sidan så eponerar vi oss mycket mer nu ochhar en tendens att återanvända användarnamn och lösenord. Faran ligger i att om en sida blir hackad så kommer hackarna att försöka använda de inloggningsuppgifterna på andra ställen.
Det sågs tydligt på LinkedIn hacket där många fick konton på andra sidor hackade också.
Jag köpte lie cykeldelar från en tysk firma, Varför skall mina personuppgifter inkl betalkortsnummer ligga lagrade hos leverantören; det räcker väl att de är tillgängliga under själva köpet. Jag vill minnas att det var Jan Freese som t.o.m. sa något i stil ned: en gång sekretessbelag information kommer in i sekretessbelagt register, sedan är informationen publik.
Det är bara att läsa tidningar för att få det belagt.
Det är bara att läsa tidningar för att få det belagt.
Sannolikt ligger inte ditt betalkort hos företaget utan de har använt en betalningslösning på webben. Du ser det när du handlar på många sidor att du skickas iväg till en annan sida för att hantera betalningen och sedan kommer du tillbaka till ursprungssidan igen. Det är nämligen väldigt dyrt och svårt för företag att hantera betalkortsnummer så de flesta undviker det. Detta är pga en säkerhetsstandard som
Den nya eu-förordningen säger att företag skall bara spara den information de behöver. Inte mer.
Sedan är ju lite civil olydnad bra. Jag lägger bara in den information som de behöver för att kunna skicka grejorna till mig. Allt annat fyller jag in skräp på. Ex mailadress a@a.fi :-)
Hej. Vilken utbildning har du, hur är matematik tillämpat i kryptografi i praktiken, finns det böcker om IT säkerhet. Tack så mycket.
Hej, jag är ursprungligen socionom men har därefter läst en väldigt massa IT, framförallt om operativsystem och teknik. Ovan på det har jag läst till IT-arkitekt med en specialinriktning inom säkerhet. Jag är inte själv kryptolog men jag rekommenderar att du söker på lämplig bokaffär på ”Introduction to Cryptography” så hittar du flera bra böcker i ämnet. Det finns massor av bra böcker inom IT-säk
Jag brukar rekommendera att mina kollegor skall ta en CISSP-certifiering och då rekommenderar jag bl.a. en bok som heter ”All-In-One-CISSP” av Shon Harris.
När det gäller just krypto använder man oftast primtal, mycket stora primtal, för att generera nycklar.
Anser du att mjuka ID-lösningar (likt bankid/fil) är tillräckligt säkert för privatpersoner eller bör man skaffa sig en hård lösning (kort). Kan du förklara skillnaden?
Inom säkerhet pratar vi om CIA, dvs Confidentiallity, Integrity och Availability. På svenska är det sekretess, riktighet och tillgänglighet. En mjukt certifikat är enklare att hantera än ett hårt så man får göra en avvägning vilket som är bäst för en. Då får man titta på sådant som om jag alltid göra mina bankärende hemma eller om jag ofta är på språng, kan någon stjäla mi
Jo, alla datorer går att hacka, Linus, Windows, Mac...Möjligtvis inte AS/400.
...min mobiltelefon etc.
Hårt ID innebär att certifikatsfilen finns på ett smart kort, liknande ditt bankkort, där det finns en krets, eller på en USB-enhet eller liknande der det ligger skyddat.
Mjukt certifikat ligger som en fil på datorn eller telefonen. I och med att de enheterna är mer osäkra och filen eventuellt kan stjälas är de att betrakta som något mer osäkra.
Vad anser du om swish? Jag gillar inte att man tvingas ge ut sitt telefonnummer, vissa kan ju ha hemligt eller dolt nummer och inte vilja ge ut det. Använder du det själv?
Jag gillar Swish som betlaningslösning. Jag använder aldrig monopolpengar utan använder bara riktiga pengar jag har på mitt kort. ;-)
Om man har hemligt nummer fungerar det så klart inte men då har vi som tur är monopolpengar kvar för dem som inte kan eller vill använda Swish. Att kunna göra betalningar och ta emot pengar är viktigt för att kunna leva i samhället men vi måste också skydda oss från övergrepp. har man hemligt nummer är det av en anledning.
Det finns andra sätt att skicka pengar också.
Dock har jag ett speciellt transkationskonto för Swish där jag bara har några hundra lappar på i händelse av att jag förlorar mitt swishkonto och telefon.
De attacker som riktar sig mot privatpersoner är ju i största allmänhet scriptkidies som laddat ner lite script/program från nätet och försöker utnyttja hål i personens dator. Om alla verkligen tog sig tiden att uppdatera sin OS och sina antivirus och slutade klicka på allt dom ser så hade problemen varit obefintliga.
Och alla sina applikationer också inte att förglömma.Sedan skall vi ju inte glömma alla dem som är rena bedragare som blir vän ,ed en på FB eller LinkedIN i syfte att försöka komma åt konton.
Jag jobbar också med Social Engineering, dvs jag lurar mig in på företag och organisationer och då behöver jag inte hacka mig in. :-)
Varför använder vi personnummer överallt, i stället för unika nummer. T.ex om banken och jag hade all trafik med ett unikt nummer, skulle ingen kunna hacka mitt konto, om dom inte hade det numret. Hur gör man i övriga EU.
Problemet är OM de har numret. Då blir det väldigt stökigt. Där sätter du fingret på problemet ned kryptering, dvs utbyte av nycklar.
Däremot är det här med personnummer faktiskt väldigt bra. Just tack vare att det är så öppet är det också väldigt lätt att verifiera. Det är inte personnumret i sig som är problemet utan mekansimerna vi använder för att presentera det och verifiera det.
Ta tex ditt körkort. Jag kan skriva ut en bra kopia av det i en bra skrivare, gå till posten en stressig torsdag kväll och hoppas att de missar att det är falskt. Det är inte själva personnummret som är problemet utan hur vi kontrollerar det.
Du säger att du föredrar elektroniska överföringar framför kontanter. Besväras du inte över de uppenbara möjligheterna att spåra sådana transaktioner, av såväl banker och myndigheter som någon illasint som lyckas komma över historiken?
Det finns alltid problem med allt men i motsats till många av mina kollegor i branchen har jag inte utvecklat någon paranoid livsstil. Jag är mycket medveten om problematiken kring att det går att spåra mina vanor om man kommer över historiken. Och det är inte så svårt så länge kreditkortsbolagen envisas med att skicka pappersräkningar till mig.
Myndigheterna är jag inte så bekymrad för just nu. I händelse av ett mer illasinnat styre gör jag sanolikt en annan bedömning men eftersom sådan historik är dagsfärsk så betyder det inte så mycket om de känner mina vanor förr om jag är medveten om att jag måste ändra dem för att fly landet.
Hackers drivs mycket mer av pengar och är måttligt intresserade av jag jag gjort. Det skulle vara eventuella stalkers i så fall. :-)
Hej Jesper!
Tycker du att det är rimligt att ställa krav på internetleverantörer att hjälpa samhällsviktiga institutioner att skydda sig mot DDOS och intrång? Vems uppgift är det att ställa dessa krav? Kunderna eller staten?
Tycker du att det är rimligt att ställa krav på internetleverantörer att hjälpa samhällsviktiga institutioner att skydda sig mot DDOS och intrång? Vems uppgift är det att ställa dessa krav? Kunderna eller staten?
Eftersom internetleverantörer är privata företag så skall DDOS finnas med i upphandlingen av internetkapacitet och kravställare skall vara den aktuella myndigheten. Jag anser att det är de olika myndigheterna som skall ställa dessa krav på sin internetleverantör och också vara villiga att betala för dem.
Sedan kan medborgarna ställa krav på staten att tjänsterna skall vara tillgängliga.
Sedan är det så att många gånger är DDOS vandalism med vattenfärg. Dvs sidan ligger nere just nu men ngn timme senare är den uppe igen. Det blir mycket liv i media men i realiteten är det ingenting. Det är jämförbart med att bilen går söner. Det blir lite stökigt just då men den är snabbt fixad igen.
Något mer stökigt om man håller ett event just nu och det blir DDOSat men då får man ha mer skydd helt enkelt.
När det gäller samhällsviktiga insitutioner så anser jag att de skall skyddas men de tjänsterna som är viktiga går sällan på internet.
Bästa slyddet - ha ett bankkort utan kredit.
Titta på dina avtal med banken någongång så kanske du omvärdera det. :-)
Kreditkortsbolagen har mycket bättre transaktionsskydd i realtid och är också mycket snabbare att ersätta dig för felaktiga transaktioner. Bankerna vanliga konton är mycket långsammare och trögare.
Men det är klart, det finns fördelar och nackdelar med allt. Man måste bara väga dem mot varandra.
Jag har långa unika automatgenererade lösenord på alla siter MEN jag använder en lösenordshanterade (Lastpass) där databasen är tillgänglig online. Är detta att rekommendera? Jag har dock inte min primära email inlagd där samt att jag kör 2-faktor på alla molnsiter och socialasiter inkls lösenordshanteraren.
Exemplariskt! Ja, det är definitivt att rekommendera. Utmaningen för dig ligger i password resetfunktionen för Lastpass, dvs kan jag utnyttja den för at tkomma åt hela ditt liv. Jag har inte tittat på den specifikt så jag kan inte säga exakt hur bra den är. Att du kör 2-faktor är bra. Tänk bara på att kolla så att din mobil är säker. Bla Android har haft stora utmaningar att hålla enheten säker och har vari
Är det smart att lagra ens lösenord i ett valv eller liknande? Tänkte på 1Password mm
Se mitt svar nedan också. Man bör tänka till lite när det gäller lösenord. Det är inte bara frågan om att ha långa lösenord, man bör också rotera dem. problemet ligger i om man har många lösenord för då är de svåra att komma ihåg. Då kan typ 1Password fungera bra. Då jag använder många olika enheter blir det inte helt klockrent för mig så jag använder en serie lö
...lösenord. Oftast med någon form av förändring av lösenordet. Om jag kan använder jag 2-faktorinloggning.
Så det korta svaret är: Om du har ett bra skydd på 1Password, gärna 2-faktorsinloggning samt loggar in från samma enhet hela tiden så är det smart.
Nu stänger vi chatten. Tack till alla er som ställt frågor om IT-säkerhet.
Vad tycker du att vi på SVT Nyheter Dalarna borde uppmärksamma när det gäller IT-säkerhet framöver? Maila gärna till dalarna@svt.se
För fler nyheter följ oss gärna i sociala medier - svt nyheter dalarna
Vad tycker du att vi på SVT Nyheter Dalarna borde uppmärksamma när det gäller IT-säkerhet framöver? Maila gärna till dalarna@svt.se
För fler nyheter följ oss gärna i sociala medier - svt nyheter dalarna
Tack alla för frågorna! Ha en fortsatt bra dag!