Ikke bytt passord ennå

Her er alt du trenger å vite om Heartbleed-feilen – og hvordan du redder passordene dine.

For to dager siden ble det oppdaget en alvorlig feil i det som kanskje er nettets største sikkerhetsmekanisme: OpenSSL. Denne sørger for at alle data du sender fra deg til nettsider blir behandlet trygt, slikt at ingen kan snappe dem opp underveis. 

Bruddet omtales som nettets største sikkerhetsfeil noensinne, og kan ha rammet så mange som to tredjedeler av verdens nettjenester.

Sikkerhetshullet som ble oppdaget gjør det mulig for hackere å fange opp informasjonen du sender fra deg: Passord, bruknavn, personopplysninger og kredittkortnummer. Sikkerhetshullet har eksistert i to år, men det er først nå det har blitt oppdaget.

I går kveld rykket norske myndigheter ut og anbefalte alle tjenestetilbydere om å be brukerne sine endre passord, så snart de selv hadde tettet sikkerhetshullet på sine servere. Her er det viktig å merke seg én ting: De sier ikke at du skal oppdatere alle passordene dine med en gang. Du må vente til tjenestetilbyderen, være seg Facebook, Twitter eller favoritt-nettbutikken, først har oppdatert sine servere.

På disse sidene bør du bytte passord nå med én gang: Disse sidene er trygge, og du trenger ikke bytte passord: Ukjent status – vent med å opppdatere passordet ditt her!
  • Dropbox
  • Facebook
  • Flickr
  • Google / Gmail / YouTube / Play
  • LastPass
  • Mediehuset Tek (Hardware, Gamer, Teknofil, etc)
  • Norwegian
  • Tumblr
  • Telenor
  • Yahoo / Yahoo Mail
  • VG
  • Altinn
  • Amazon
  • DNB
  • eBay
  • Elkjøp
  • Jottacloud
  • Komplett
  • LinkedIn
  • Microsoft / Hotmail / Outlook
  • Nordea
  • NSB
  • PayPal
  • Skandiabanken
  • Sparebank 1
  • Nordea
  • Twitter
  • Apple
  • Evernote
  • Netflix

Savner du en nettside i listen? Via denne søkemotoren kan du selv sjekke om en nettjeneste har oppdatert serversystemet sitt.

Lei av å skifte passord?
Dette trikset tar 5 minutter – og du trenger aldri å huske et passord igjen »

Tro det eller ei:
Sikre passord er de letteste å huske »

Spørsmål og svar

Er passordene mine stjålet?

Det er det ingen som vet. Problemet med sikkerhetsfeilen er at ingen med sikkerhet kan si om et nettsted har blitt utnyttet av hackere, eller om dine personopplysninger har kommet på avveie. Det vil heller ikke være mulig å spore opp eventuelle bakmenn. Omfanget av probelmet er imidlertid årsaken til at norske myndigheter nå anbefaler passordbytte. 

Hva gjør jeg når jeg har samme passord flere steder?

Selv om en tjeneste du bruker ikke har blitt påvirket av sikkerhetsfeilen, bør du tenke deg om. Om du bruker det samme passordet på en annen tjeneste som har blitt rammet, må du bytte passordet også på tjenester om ikke er rammet. 

Må jeg oppdatere alle passord med en eneste gang?

Nei. Tjenesten du skal oppdatere passordet hos må ha oppdatert sine servere først. Har de ikke det, hjelper det lite å bytte passord. 

Hva er OpenSSL?

OpenSSL er en krypteringsteknologi som brukes på nettet for å beskytte informasjonen som sendes rundt. Når du besøker en sikker nettside som bruker slik teknologi vil du se at nettadressen starter med https://, altså med en s. I tillegg vil mange nettlesere legge inn et eget symbol i adressefeltet som forteller at koblingen er sikker.

Akkurat hva er sikkerhetshullet?

SSL-standarden inkluderer en funksjon, Heartbeat, som lar en tjener sende en forespørsel til en annen tjener, for å sjekke at den er på nett. Sikkerhetshullet som er oppdaget utnytter denne funksjonen, ved å sende en falsk «heartbeat»-melding som lurer tjeneren i den andre enden til å slippe sensitiv informasjon lagret i minnet.

Hvorfor har ikke feilen blitt oppdaget tidligere?

OpenSSL er gitt ut med åpen kildekode. Det betyr at selve kildekoden er tilgjengelig for alle, at hvem som helst kan videreutvikle, tilpasse og gjøre andre endringer i teknologien. Akkurat dette gjør teknologien veldig sikker: Det er trolig flere titalls tusen utviklere verden rundt som jobber med OpenSSL i forskjellige varianter, noe som sørger for at sikkerhetshull normalt blir oppdaget uhyre raskt.

Alle programmer har feil, og de oppdages hele tiden, men når en feil oppdages i OpenSSL blir den normalt tettet ekstra raskt. Det ble den også denne gangen: Bare timer etter at feilen ble kjent, var en fiks på plass.

Sikkerhetsfeilen som nå er kjent hører til skjeldenheten. Disse vil alltid dukke opp, men OpenSSL har vært regnet som en av de sikreste av alle som driver på nett. Nettopp derfor har omfanget av problemet blitt såpass stort nå som hullet er offentlig kjent.

Hvordan utnyttes sikkerhetshullet?

Sårbarheten gjør at hvem som helst kan gå inn og lese av små biter i minnet til systemer som skulle vært beskyttet av OpenSSL, og dermed i verste fall hente ut den private krypteringsnøkkelen.

Med den private nøkkelen i hende kan noen med uedle hensikter for eksempel sette opp falske sider – for eksempel en falsk versjon av nettbanken din mellom deg og den faktiske nettbanken. Det krever imidlertid at personen med uedle hensikter har høy kompetanse.

Når du da besøker det du tror er din nettbank, men som er en falsk versjon, snapper Hackerne opp din personlige informasjon.

Hva skal til for at bakmennene blir tatt?

Det er komplisert å utnytte denne sikkerhetsfeilen til å sette opp falske nettsider, og for at en hacker skal kunne ha gjort det må han eller henne ha hatt tilgang til infrastrukturen mellom deg og tjenesten, noe veldig få har. Bruker du en tjeneste som har to steg i verifiseringen, slik nettbanken din har med både passord og kodebrikke, og som Google og Facebook tilbyr med både passord og SMS-kode, er du også langt tryggere.

Sikkerhetshullet har også kun vært offentlig kjent i to dager. Selv om det har eksistert i to år, er det mest kritisk å bytte passord på de tjenestene du har brukt de siste to dagene.

Vi oppdaterer denne saken fortløpende utover dagen. Kom gjerne med dine tips i forumtråden under.

Ikke bare PC-en din er utsatt:
Nå kan de hacke bilen også »

Kommentarer (44)

Norges beste mobilabonnement

Januar 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen