Onlinesikkerhed: beskyt dine data, konti og forbindelser

Hvorfor onlinesikkerhed angår alle

De fleste af os lever en stor del af vores liv på nettet. Vi betaler regninger i netbanken, gemmer billeder i skyen, taler med familie via beskedtjenester og logger ind på snesevis af tjenester med en konto, der ofte er knyttet til den samme e-mailadresse. Hver af disse handlinger hviler på en forudsætning om, at vores oplysninger forbliver private, at vores konti kun kan bruges af os selv, og at den tjeneste, vi tror, vi taler med, faktisk er den rigtige. Onlinesikkerhed handler om at gøre den forudsætning holdbar.

Denne sektion samler de emner, der i praksis betyder mest for almindelige brugere og for de virksomheder, der opbevarer deres data. Vi ser på, hvordan datalæk opstår, hvordan adgangskoder bør beskyttes, hvordan krypterede forbindelser fungerer, og hvordan svindlere narrer folk gennem phishing. Målet er ikke at gøre dig til sikkerhedsekspert, men at give dig en præcis forståelse af, hvad der foregår, og hvilke konkrete vaner der reelt flytter noget.

Hvad onlinesikkerhed dækker

Sikkerhed online er ikke ét enkelt produkt, man køber, men summen af mange små valg. Det er nyttigt at dele området op i nogle gennemgående temaer.

Fortrolighed betyder, at oplysninger kun er tilgængelige for dem, der har ret til at se dem. Når du sender en besked eller indtaster et kortnummer, skal indholdet være skjult for andre på vejen. Kryptering er det vigtigste værktøj her.

Integritet betyder, at data ikke ændres undervejs uden at det opdages. Hvis du henter en softwareopdatering, vil du gerne være sikker på, at filen er nøjagtig den, udvikleren udgav, og ikke en manipuleret version.

Tilgængelighed betyder, at systemer og data faktisk er der, når man har brug for dem. Et angreb, der lægger en tjeneste ned, rammer tilgængeligheden, selv om ingen data bliver stjålet.

Autenticitet betyder, at man kan stole på, hvem man taler med. Er hjemmesiden ægte? Er afsenderen af e-mailen den, vedkommende udgiver sig for at være? Mange angreb går netop efter at bryde denne tillid.

De fire temaer hænger sammen. Et lækket kodeord (fortrolighed) kan føre til en kapret konto, som angriberen så bruger til at sende falske beskeder i dit navn (autenticitet). Derfor giver det god mening at se sikkerhed som et hele frem for som isolerede problemer.

De største risici i hverdagen

For den enkelte bruger kommer langt de fleste problemer fra et lille antal velkendte kilder. Det er værd at kende dem, fordi indsatsen så kan rettes mod det, der faktisk sker, frem for mod sjældne og dramatiske scenarier.

En meget almindelig kilde er genbrugte adgangskoder. Når en tjeneste bliver kompromitteret, og kodeordene lækker, prøver angribere de samme kombinationer af e-mail og kodeord på alle mulige andre tjenester. Bruger du det samme kodeord flere steder, kan ét enkelt læk give adgang til mange konti på én gang.

En anden er phishing, hvor svindlere narrer folk til selv at udlevere deres oplysninger. En e-mail, der ligner en besked fra banken eller en pakkeudbyder, fører til en falsk side, hvor du indtaster dit kodeord direkte i hænderne på angriberen. Her er det ikke teknikken, der svigter, men tilliden, der bliver misbrugt.

En tredje er datalæk hos virksomheder, hvor store mængder kundeoplysninger slipper ud, fordi et system var fejlkonfigureret, ikke opdateret eller blev brudt af angribere. Som bruger har man begrænset kontrol over dette, men man kan begrænse skaden ved ikke at genbruge kodeord og ved at slå ekstra login-beskyttelse til.

En fjerde er usikre forbindelser, hvor data sendes ukrypteret eller via en upålidelig mellemstation. Her er det krypteringen i HTTPS og TLS, der gør forskellen, og det er værd at forstå, hvad den beskytter, og hvad den ikke gør.

Hvad du finder i denne sektion

De følgende artikler går i dybden med hvert sit emne og kan læses uafhængigt af hinanden.

• Datalæk: sådan sker de, og sådan beskytter du dig forklarer, hvordan store læk opstår, hvilke oplysninger der typisk slipper ud, hvad konsekvenserne kan være, og hvad du selv kan gøre for at begrænse skaden.
• Kodeordssikkerhed gennemgår, hvad der gør en adgangskode stærk, hvorfor længde betyder mere end indviklede tegn, hvordan tjenester bør opbevare kodeord, og hvorfor en kodeordsmanager og totrinsbekræftelse er blandt de bedste investeringer, du kan gøre.
• HTTPS og TLS beskriver, hvordan en krypteret forbindelse beskytter det, du sender og modtager, hvad hængelåsen i browseren egentlig betyder, hvordan certifikater og certifikatmyndigheder skaber tillid, og hvor grænserne for beskyttelsen går.
• Phishing og social engineering viser, hvordan svindlere manipulerer mennesker frem for maskiner, hvilke tegn man kan kende et forsøg på, og hvad man bør gøre, hvis man kommer til at hoppe på den.

Flere af emnerne hviler på kryptografi, altså den matematik, der gør kryptering og digitale fingeraftryk mulige. Vil du forstå, hvad der foregår under overfladen, når en forbindelse sikres eller et kodeord opbevares forsvarligt, kan du læse mere i afsnittet om kryptografi.

Sikkerhed som vane, ikke som engangsindsats

En fælles tråd løber gennem alle artiklerne: sikkerhed er sjældent et spørgsmål om ét perfekt valg, men om en række fornuftige vaner, der tilsammen gør dig til et svært mål. Ingen enkelt foranstaltning gør dig usårlig, og det er heller ikke målet. Pointen er at hæve barren nok til, at de fleste angreb glider af, og at skaden bliver begrænset, hvis noget alligevel går galt.

De vigtigste vaner kan opsummeres kort. Brug et unikt og langt kodeord til hver tjeneste, og lad en kodeordsmanager huske dem. Slå totrinsbekræftelse til, særligt på din e-mail og din bank. Vær skeptisk over for uventede beskeder, der haster og beder om følsomme oplysninger. Hold dine enheder og programmer opdateret. Og vær opmærksom på, om forbindelsen er krypteret, før du indtaster noget følsomt. Resten af denne sektion udfolder hver af disse vaner, så du forstår ikke bare hvad du bør gøre, men hvorfor det virker.