Ämnesområden

Använd starka, unika lösenord och undvik nätfiske (phising)

Informationssökning Kontinuerlig förbättring Behov

Allt oftare nås vi av att företag och organisationer drabbats av IT-attacker. Vilket innebär stulen information, skadad utrustning, kundbortfall och andra negativa konsekvenser. Här tips för att förbättra din och ditt företags IT-säkerhet inom två grundläggande områden du kan påverka redan idag: lösenordshantering och skydd mot phising

Vilket är världens vanligaste lösenord?

Ett grundläggande område inom IT-säkerhet är de lösenord du använder för att skydda din information i olika tjänster och applikationer. Lösenordet verifierar och identifierar dig som användare och genom lösenordet skyddas ditt konto och dess information från obehöriga.

Då lösenordet är vägen in till olika tjänster och applikationer både privat och på arbetet är de värda att skydda!

Säkerhetsföretaget NordPass listar varje år en sammanställning över världens vanligaste lösenord där det både i Sverige och globalt är lösenordet ”123456” som ligger i topp. Ett lösenord som det tar en hacker mindre än en sekund att klura ut....

Trots senaste tidens uppmärksamhet kring IT-säkerhet och hackade lösenord är säkerhetstänket över lösenord på den svenska topp 10-listan häpnadsväckande låg.

Skapa unika lösenord

På Darknet finns idag databaser med användarkonton och lösenord som går att köpa. Inloggningsuppgifter som kommer från olika tjänster och applikationer som antingen råkat läcka aktuella uppgifter eller som helt enkelt blivit hackade.

Du kan kontrollera om dina uppgifter blivit läckta via till exempel gratistjänsten ”Have I been pwned” som använder flera databaser där läckta uppgifter är samlade.
Du hittar webbplatsen Have I Been Pwned här.

Ofta är inloggningsuppgifterna i en läckt databas:

Din e-postadress som användarnamn
 Ett lösenord

Nu inser du snabbt vad som händer om du använder samma användarnamn och lösenord till alla dina tjänster och applikationer. En angripare kan enkelt ta sig från ditt hackade konto vidare till din e-post, olika e-handelstjänster, sociala nätverk och andra tjänster / applikationer du använder.

På till exempel Linkedin står det var du jobbar och har du samma lösenord på ditt arbete som hemma är risken stor att angriparen försöker få åtkomst till företagets olika IT-system genom dig.

Tips kring unika lösenord:

Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Ett unikt lösenord som du bara använder till ditt e-postkonto.
Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Ett unikt grundlösenord med variationer, för varje viktig tjänst och applikation du använder. 
Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Ett unikt lösenord för alla oviktiga tjänster och applikationer

Med ovanstående tips kan du enkelt hålla isär dina olika konton och du minskar då risken att någon av misstag testar din e-post och ditt lösenord på en tjänst.

Tips för att enkelt skapa starka, unika lösenord

Det finns mycket att göra för att öka både din personliga och ditt företags IT-säkerhet enkelt med unika, starka lösenord. Här några råd och tips hur du enkelt kan skapa starka, unika lösenord för inloggning på dina olika tjänster och applikationer.

Tips 1: Minst 12 tecken i lösenord

Det är främst längden på ditt lösenord som bidrar till ökad IT-säkerhet. Om du dessutom varierar tecknen genom att använda små/stora bokstäver, siffror och specialtecken skapar du ett ännu säkrare lösenord och minskar därmed risken att någon obehörig ska knäcka ditt lösenord.

Tips 2: Använd inte lösenord som kan kopplas till dig

Använd inte lösenord som innehåller vanligt förekommande ord eller uppgifter som kan kopplas till dig som person som till exempel ”adress”, ”fotboll” eller ”djurnamn”.

Tips 3: Använd unika lösenord

Genom att använda unika lösenord för varje tjänst, webblats eller applikation du använder, säkerställer du att ett dataintrång inte drabbar dina andra konton och tjänster. Eftersom din e-postadress ofta är navet för mångas digitala arbete, är det viktigt att lägga extra energi på att skapa ett starka, unika lösenord för din e-post och olika mejlkonton.

Tips 4: Använd tvåfaktorautentisering (multifaktorautentisering, 2FA)

Tvåfaktorsautentisering innebär ett extra krav utöver ditt lösenord som visar att du verkligen är du. Tvåfaktorsautentisering innebär att du måste bevisa vem du är med minst två olika bitar av information. Till exempel relaterad till kunskap (lösenord), något du har (telefon eller ID-kort) eller något annat som är unikt för dig (fingeravtryck).

Tvåfaktorsautentisering fungerar som så att när du skrivit in det korrekta lösenordet så skickas en verifikationskod till dig via SMS eller så kan du använda en genererad kod i en app. Efter att du har fyllt i korrekt kod tillåts du logga in på kontot.

Det är inte bara för tjänster och applikationer du använder i ditt arbete som du kan använda tvåfaktorsautentisering. Den är lika relevant för tjänster och applikationer du använder privat som till exempel i sociala medier, privata e-postkonton och e-handelswebbplatser.

Tips 5: Skydda ditt lösenord

Kom ihåg att låsa din bildskärm och logga ur din dator när du inte använder den och dela inte ditt/dina lösenord med andra, till exempel arbetskollegor. 

Tips 6: Gör det lätt att komma ihåg starka, unika lösenord

För att göra det lätt att komma ihåg starka, unika lösenord, kan du skapa lösenord genom att använda associationer:

• orden i en låt (”DancingInTheDark84!”)

• ordföljd som betyder något för dig (”MinaBarnÄlskarJulen!”)

• med lösenordet ”J@gÄlskarLIF1919!” kan man till exempel använda:

”J@gÄlskarLIF1919!brevJobb” för mejlkontot på jobbet
”J@gÄlskarLIF1919!brevduva” för det privata mejlkontot
”J@gÄlskarLIF1919!blå” för Facebook kontot
”J@gÄlskarLIF1919!bild” för Adobe kontot

Tips 7: Appar och tjänster för lösenordshantering

Att skapa starka, unika lösenord är relativt enkelt, men utmaningen är att komma ihåg alla lösenord om du inte använder associationer enligt tipset ovan.

Det finns olika tjänster och applikationer som kan lagra lösenord åt dig på ett säkert sätt. De ger förslag på långa, säkra lösenord och sparar dessa i ett krypterat valv och hjälper dig att komma ihåg lösenorden, när det är dags för användning i aktuell tjänst. Exempel på tjänster/applikationer är till exempel 1Password, LastPass och KeePass.

Skydda dig mot nätfiske (phising)

Nätfiske (phishing) är ett angrepp där syftet är att infektera mottagarens dator eller telefon med skadlig kod eller komma över och stjäla behörigheter till olika IT-system. Eller stjäla pengar eller din identitet genom att få dig att lämna ut personliga uppgifter som kreditkort, bankinformation eller lösenord.

Ett vanligt sätt vid nätfiske är att locka dig som besökare till webbplatser som liknar kända varumärkens webbplatser, genom liknande design och domännamn. Webbplatser som har formulär där du som besökare uppmanas fylla i dina uppgifter som sedan stjäls.

Nätfiske är en av de största säkerhetsriskerna i våra IT-system och IT-miljöer idag och dagligen kommer nyheter om nya attacker:

Ökning av bluff-sms – så undviker du att bli lurad (Mobil)
Kartlägger sina offer i sociala medier – ”mer avancerade attacker” (ComputerSweden)
Microsoft 365-kunder varnas för ny nätfiskekampanj (ComputerSweden)

Så skyddar du dig mot nätfiske

Den svagaste länken inom IT-säkerhet är fortfarande DU! 
Det vill säga den enskilda användaren av olika IT-system och applikationer. Bakgrunden är att all IT- kriminalitet är så bra förklädd att det är lätt hänt att ”klicka” för till exempel ladda ner något intressant som visar sig vara skadligt. 

Därför är det viktigt att du lär dig att känna igen nätfiskemeddelanden. Här några sätt att identifiera att det handlar om nätfiske:

Brådskande uppmaning

Var misstänksam mot mejl, SMS och chatt meddelanden där du uppmanas klicka på, ringa eller öppna en bifogad fil direkt. Ofta hävdar avsändaren att du måste agera nu för att till exempel undvika en straffavgift, avregistrering eller tullavgift. Att skapa en uppmaning om att det är bråttom är ett vanligt trick i nätfiskeattacker och bedrägerier.
Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Råd: agera inte impulsivt

Stavning och språk

Om du får ett SMS eller mejl som innehåller uppenbara stavfel eller grammatiska fel kan det vara ett bedrägeri. De som skickar dessa bluffmejl skickar ofta 1000-tals mejl samtidigt där mejlen körs genom någon översättningstjänst, vilket leder till att språket blir bristfälligt formulerat.
Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Råd: Läs meddelanden och mejl noga

Svagaste länken inom IT-säkerhet är den enskilda användaren av olika IT-system och applikationer

Länkar och bifogade filer 

Klicka inte på länkar eller bifogade filer om du misstänker att ett SMS eller e-postmeddelande är ett bedrägeriförsök. Håll i stället muspekaren över länken (klicka inte!) för att kontrollera att adressen stämmer överens med länken som skrevs i meddelandet.
Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Råd: klicka inte på länkar / öppna filer utan att kontrollera meddelandet noga

Felaktig e-postdomän

Om du får ett e-postmeddelande som påstås att komma från ett etablerat företag, till exempel Telia, Apple, LinkedIn eller din bank, men mejlet är skickat från en annan e-postdomän som till exempel applesupport.ru är det ett bedrägeri. Se även om det finns felstavningar av det legitima domännamnet som till exempel volv0.com, där det andra o:et i Volvo har ersatts med siffran 0.
Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Råd: ta en ordentlig titt på avsändaradressen

Håll din webbläsare uppdaterad

Bedragare utnyttjar ofta och gärna kända säkerhetsbrister i din webbläsare (Chrome, Safari, Edge, Firefox osv). Därför är det viktigt att dessa hålls uppdaterade. De ska uppdateras så fort du får en notifiering om att nyare versioner finns tillgängliga.
Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Råd: uppdatera din webbläsare kontinuerligt/automatiskt.

Hjälp kring IT-säkerhet – kontakta vår partner Secify

IT-säkerhet handlar om mycket – inte bara att hantera lösenord korrekt och att upplysa företaget alla medarbetare om nätfiske. Ta bara en så enkel och naturlig sak som att er backup hantering fungerar och är testad. 

Vi får allt oftare frågor kring IT-säkerhet med koppling till de olika affärssystem, applikationer och IT-plattformar våra kunder använder. Därför har vi valt att samarbeta med företaget Secify som levererar tjänster och kompetens inom:

Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Informationssäkerhet Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) Cybersäkerhet Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) IT-säkerhet Systemstödsbloggen: en blogg med goda råd, tips, och nyheter kring affärssystem (ERP) IT-juridik

  

Frågor eller mer information: kontakta Nicklas Dahl på Secify när du har frågor, eller vill veta mer om deras specialistområde: IT-säkerhet. 

Du når Nicklas enklast på telefon +46 76 635 38 52 eller e-post nicklas@secify.com

 

Veta mer om IT-säkerhet – ställ din fråga här

Läs mer om hur ett pentest förbättrar er IT-säkerhet, cyberattacker och investeringar i digital säkerhet

Ökade IT-säkerhet med ett pentest (penetrationstest) som dessutom ger förslag på åtgärder för ökad cybersäkerhet    Lär dig grunderna i olika typer av cyberattacker och hur du bäst kan skydda dig redan idag    Idag måste alla företag investera allt mer och oftare i IT-säkerhet för bättre cyberskydd. Investerar ni tillräckligt?

Dela: