Dansk Magisterforening

Netcompany123! Sådan får du et bedre kodeord end hacket IT-gigant

Hvis du genbruger din kode til flere forskellige digitale indgange, så er det måske på tide at lave om på nogle af dem. Bare så du ikke bliver et alt for let hacker-offer. © Imago/Ritzau Scanpix

Guide Af Serge Savin
Del artikel:

Akademikerbladet giver dig fem gode råd til, hvordan du undgår at begå samme fejl som milliardvirksomheden Netcompany.

I fredags kom det frem, at Netcompany er blevet hacket. Og at de stjålne filer var godt i gang med at blive delt på internettet.  

Tirsdag blev en 34-årig mand så sigtet for hackerangrebet mod IT-giganten, der leverer infrastruktur til blandt andet Borger.dk, Aula og MitID.

”Det er utvivlsomt det mest alvorlige læk, jeg nogensinde har været vidne til. Angriberne har haft adgang til nøglerne til hele kongeriget,” vurderede cybersikkerheds-specialisten David Clayton i en artikel hos IT-mediet Version2.

Af de lækkede filer har det flere steder fremgået, at kodeordet ”Netcompany123” er blevet brugt på ikke-aktive systemer. Virksomheden har forklaret det simple og forholdsvis gennemskuelige kodeord med, at det er en såkaldt “password-skabelon”, som skal erstattes af kodeord med højere sikkerhed.

I første omgang skrev Version2, at hackere kunne bruge koden til at logge på Virk.dk – de har dog sidenhen bragt en berigtigelse om, at det var en anden kode fra lækket, der gav ikke adgang til virk.dk.

Netcompany har ligeledes over for Ekstra Bladet bestridt, at ”Netcompany123” giver adgang til Virk.dk og forklaret, at der er tale om en ”urelateret gmail-konto, der alene har været brugt til udviklingsformål”.

Sikkert er det dog, at der er tale om et kodeord med åbenlyse mangler, når det gælder om at finde på koder, der er svære at gætte.

Men hvordan gør du så det?

Det kommer der her en håndfuld gode råd til. De tager alle udgangspunkt i anbefalinger fra Digitaliseringsstyrelsen og Center for Cybersikkerhed.

Rod er godt, når det kommer til dit kodeord

1. Gør det uforudsigeligt 

Når vi gerne vil gøre vores koder lette at huske, kan vi falde for fristelsen med at knytte den til noget personligt. Men pas på med at bruge personlige informationer som fødselsdage, navne på familiemedlemmer, kæledyr eller endda din arbejdsplads, for de oplysninger er også ofte let tilgængelige for digitale svindlere og hackere.  

Et stærkt kodeord skal være noget usædvanligt. Noget, der ikke lige falder en i tankerne, og som er svært for andre at gætte. Den test består ’Netcompany123’ ikke, da koden bruger virksomhedens navn, der må siges at være en offentligt tilgængelig information.  

2. Lang og rodet kode 

Rod er godt, når det kommer til dit kodeord. Det gøres let ved at blande små og store bogstaver, tal, og helst også specialtegn. En simpel måde at øge antallet af mulige kombinationer på, som gør arbejdet sværere for potentielle hackere. ’Netcompany123’ bruger både bogstaver og tal, men for at gøre det endnu stærkere, kunne man tilføje specialtegn. 

En anden måde at gøre koden kompleks på er at gøre den lang. Her lever ’Netcompany123’ bedre op til forventningerne med 13 tegn, om end vi nærmer os grænsen.

36 procent af danskerne genbruger ofte eller i nogen grad koder til forskellige digitale tjenester

3. Genbrug passer bedre til klimakamp end kodeord 

Genbrug er ikke kun stort, når der gælder klimakampen. En undersøgelse fra 2022 viser, at 36 procent ofte eller i nogen grad genbruger koder til forskellige digitale tjenester. Netcompany, der brugte ’Netcompany123’ på tværs af flere systemer, står altså ikke alene med den udfordring.  

Forestil dig, at et kompromitteret kodeord ikke bare giver adgang til din email, men også til dine sociale medier, bankkonti, og endda dit officielle MitID. Så hellere, at hackerne kun får adgang til et lille hjørne af dit digitale liv.

4. Hold koden for dig selv (og din passwordmanager) 

Lad os være ærlige: Det er lettere at råbe koden på tværs af kontoret end at rejse sig op, gå hen og stå akavet ved kollegaens hæve-sænke-bord, mens man taster løs.  

Men når du deler din kode med andre, åbner muligheden for uautoriseret adgang og handlinger, der kan ske i dit navn. Personen, du stoler på i dag, er måske ikke en, du stoler på i morgen, ligesom du risikerer, at de bliver lemfældige med dine oplysninger.  

Ved løbende at opdatere dine kodeord, begrænser du risikoen, hvis det kommer i hænderne på det forkerte

At holde koden for sig selv betyder også, at du heller ikke bør skrive den ned på papir eller gemme den i usikre filer på din computer. Det virker praktisk, men det er samtidig enormt sårbart.  

En langt mere sikker løsning er at bruge en passwordmanager – et program, der krypterer dine kodeord og opbevarer dem sikkert, så du nemt kan holde styr på dem, uden risiko for at de falder i de forkerte hænder.  

Samtidig kan de fleste passwordmanagers lave stærke og komplekse kodeord for dig, så du får lettere ved at følge gode kodeordsvaner.  

Med andre ord: Hold din kode for dig selv, og lad en passwordmanager gøre arbejdet for dig. 

5. Skift ofte kode og brug to-trins-login 

Det at skifte dine kodeord regelmæssigt er som at skifte låsen på din hoveddør; det forhindrer uønskede gæster i at have permanent adgang til dit hjem. Ved løbende at opdatere dine kodeord, begrænser du risikoen, hvis det kommer i hænderne på det forkerte. Af samme grund er det vigtigt at reagere hurtigt og ændre dit kodeord, når du har været udsat for et sikkerhedsbrud.  

Samtidig er det altid en god idé med et såkaldt to-trins-login, der også er kendt som to-faktor autentificering. Ofte benytter modellen - foruden en kode - at du skal indtaste ekstra information, du får tilsendt til din telefon eller mail. Det er som at have både en nøgle og en alarmkode for at komme ind i dit hus. Selv hvis en hacker får fat i dit kodeord, så blokerer to-trins-login dem fra at få fuld adgang, da de mangler den anden nødvendige faktor.

Artiklen er torsdag eftermiddag blevet opdateret med informationen om, at Netcompany bestrider, at man har kunnet få adgang til Virk.dk med det pågældende password, og endnu en gang tirsdag den 5. marts med informationen om, at Version2 har bragt en berigtigelse om, hvorvidt ”Netcompany123” gav adgang til virk.dk. Efter henvendelse fra Netcompany har Akademikerbladet den 6. marts præciseret yderligere, at koden er blevet brugt på ikke-aktive systemer.

}