Hoppa yfir valmynd

Öryggi á samfélagsmiðlum

30. ágú. 2021

Samfélagsmiðlar eru ekki bara afþreying og miðill fyrir umræður, fyrir suma er þetta atvinnutæki og missir aðgangs eða annar öryggisbrestur hefur beinar afleiðingar á tekjur. Margvíslegar stofnanir nýta sömuleiðis slíka miðla til að koma tilkynningum á framfæri sem geta átt brýnt erindi til almennings. Ákveðnir þjóðfélagshópar, sérstaklega af yngri kynslóðinni, gætu því misst af mikilvægum tilkynningum ef stofnanir missa getuna til að miðla upplýsingum á þeim vettvangi. Ef óprúttnir aðilar komast yfir aðgang stofnana eða einstaklinga er einnig komin fram sú áhætta að miðlarnir séu nýttir til að koma meðal annars á framfæri falsfréttum og rangfærslum. Tilgangurinn getur þá verið af misvísandi toga, t.d. til að græða peninga, svindl eða hafa áhrif á pólítískar skoðanir og skapa ósætti. 

Fyrir einstaklinga er mikilvægt að fara yfir öryggisstillingar á hverjum miðli fyrir sig ásamt tengdum aðgöngum og farið er yfir það helsta sem þarf að huga að neðar í greininni. Stofnanir og fyrirtæki sem treysta á miðlun upplýsinga með aðstoð samfélagsmiðla ættu jafnframt að setja notkun á samfélagsmiðlum í áhættumat og rýna þá ógnir eins og innbrot og missi aðgangs. Aðilar sem nýta miðlana fyrir upplýsingagjöf sem á brýnt erindi til almennings, t.d. vegna almannavarna, ættu að huga að öðrum leiðum til að koma skilaboðum á framfæri ef samfélagsmiðlar eru ekki aðgengilegir. 

Öryggisverklag á samfélagsmiðlum

Almenna reglan fyrir öryggi á samfélagsmiðlum er að nota sterk lykilorð, margþátta auðkenningu og virkja tilkynningar um tilraunir til innskráninga. 
Til viðbótar er hægt í sumum tilvikum að virkja trausta tengiliði til að vera staðfestingaraðilar ef þess þarf og stofnanir geta skráð sig sem þekkta aðila (e. confirmed identity) sem hefur gildi varðandi trúverðugleika upplýsinga. Einnig þarf að huga að því að tryggja öryggi netfanga sem eru tengd við aðgang að samfélagsmiðlum en öryggisbrestur tengdur netföngum getur samhliða leitt af sér innbrot á samfélagsmiðla og innskráningar í aðrar þjónustur. 

Lykilorð

Þegar rætt er um öryggisverklag er ekki hægt að sleppa því að fara yfir hlutverk lykilorða í sterku öryggisverklagi. Sterkt lykilorð getur komið í veg fyrir marga öryggisbresti en þó ekki alla. Ef lykilorð lekur hjá viðkomandi þjónustuaðila eða hjá þjónustuaðila þar sem lykilorðið er eins eða álíka þá er lykilorðið orðið brestur sem þarf að verja með öðrum leiðum þar til breytt hefur verið um lykilorð. Einfaldar reglur varðandi lykilorð eru: 

  • Haltu lykilorðum leyndum og ekki deila með öðrum
  • Blandaðu saman hástöfum, lágstöfum, táknum og tölustöfum
  • Notaðu löng lykilorð, lengra en 14 stafir bætir öryggi lykilorðs verulega
  • Ekki samnýta sama lykilorð á fleiri en einum stað
  • Notaðu lykilorðabanka (e. password manager)
  • Hugleiddu að nota lykilsetningu í stað lykilorðs

Sjá góðar reglur á ENISA [1] og á netöryggi.is [2] ásamt NIST [3]

Nútíminn krefst þess að notendur þurfi að halda utan um lykilorð á mörgum stöðum og það getur verið flókið eða jafnvel ógerningur að halda utan um það án aðstoðar. Þá koma lykilorðabankar sterkir inn og gera notendum kleyft að halda utan um löng og flókin lykilorð án þess að leggja þau á minnið. Einnig er auðveldara fyrir notendur að búa til lykilsetningar, t.d. samsetningu þriggja óskyldra orða, heldur en styttri flókin lykilorð.

Markmiðið með lykilsetningum er að einfaldara er að muna þær heldur en lykilorð og fá samt fram það langa runu að ekki er auðvelt að brjóta þau. Þar með má ekki nota bara stutt orð eins og "eglaia" samanber "ég lá í á" heldur lengri runur eins og "silungurflygurlodidsvar" samanber "silungur flýgur loðið svar". Betra er að nota lykilsetningar og nýta sér lykilorðabanka heldur en að búa til einföld og óörugg lykilorð eða skrá þau hjá sér með óöruggum hætti. Ágætis grein um lykilorðabanka er á vefsíðu New York Magazine, sjá [5] og einnig góð framsetning með myndum á [6]

Reglulega koma fram upplýsingar um að öryggisbrestir verða hjá ýmsum þjónustuaðilum. Þetta getur og leiðir til þess að lykilorð leka og verða þekkt árásaraðilum, jafnvel með tengingu við netfang og aðrar upplýsingar einstaklinga. Hægt er að skoða hvort lykilorð tengt ákveðnu netfangi hafi lekið á vefsíðu have i been pwned (sjá [7]) og einnig er hægt að skrá sig fyrir tilkynningum þegar vart verður við nýja leka (sjá [8]). Margir lykilorðabankar bjóða upp á það sem aukaþjónustu að vakta slíka leka byggt á skráðum netföngum. Gott er að nýta sér þessa þjónustu til að auka öryggi. 

Margþátta auðkenning

Til viðbótar við sterk lykilorð þá er orðin góð venja að nota margþátta auðkenningu (e. multifactor authentication), oft vísað til sem MFA eða 2FA. Notendur setja þá upp app á símanum sínum sem sýnir tímabundinn kóða til viðbótar við lykilorð við innskráningu. Þetta bætir öryggi við innskráningu verulega og getur komið í veg fyrir mörg innbrot. 

Í gegnum tíðina hefur notkun sms smáskilaboða verið notuð sem örugg aðferð til að deila slíkum tímabundnum kóða, slíkt þykir ekki vera örugg aðferð í dag og því mælt með öppum á símum frekar en notkun sms smáskilaboða. Flestir þjónustuaðilar hafa fært sig yfir á þá aðferð og hætt notkun sms smáskilaboða. Sjá frekar í grein á KrebsOnSecurity [9]

Slík öpp eru t.d. Google Authenticator og Microsoft Authenticator. 

Stillingar og yfirferð

Góður vani er að fara reglulega yfir öryggisstillingar og meta hvort eitthvað hafi breyst sem þarf að meta betur. 

Hjá Facebook [10] er hægt t.d. að skoða hver hefur skráð sig inn, setja upp margþátta auðkenningu, virkja tilkynningar um áður óþekktar innskráningar, velja trausta tengiliði til að aðstoða ef þinn eiginn aðgangur læsist og fleira. Ágætis leiðbeiningar eru til hjá Facebook um öryggi innskráninga, sjá [11], og hvað eigi að gera þegar vandamál koma upp, sjá [12]. Loks er hægt að senda Facebook upplýsingar (sjá [13]) svo þeir geti staðfest hver viðkomandi er. Viðkomandi þarf að vera innskráður þegar slíkar upplýsingar eru sendar. 

Hjá Twitter [14] er hægt að stilla margþátta auðkenningu, skoða innskráningar og meðal annars staðfesta hver maður er (sjá [15]). Twitter heldur úti góðum hjálparsíðum (sjá [16]) þar sem er farið yfir hvernig er hægt að verja sig og fá hjálp vegna læstra aðganga, aðganga sem hefur verið brotist inn í og svo framvegis. 

Hjá Instagram [17] er boðið upp á margþátta auðkenningu og að fara yfir innskráningar [18] og hjálparsíður [19] auk þess sem Instagram býður upp á að staðfesta hver maður er (e. Verified Badge) [20]

Hjá öllum þessum aðilum er boðið upp á aukna þjónustu gegn gjaldi ætlað fyrirtækjum en aðgengilegt einstaklingum sömuleiðis. Slík þjónusta getur hjálpað verulega til þegar þarf aðstoð vegna innbrota eða þegar reikningar eru ekki aðgengilegir af öðrum ástæðum. 

Ekki er hægt að fara yfir öll öryggisatriði tengd samfélagsmiðlum í einni grein, mikilvægt er að haga sér skynsamlega, endurskoða stillingar reglulega og fara strax í umbætur þegar ástæða er til. 

Loks má minna á heilræði Fjölmiðlanefndar þegar valsað er um samfélagsmiðlana um hvernig megi þekkja rangfærslur og falsfréttir [21]

 

Tilvísanir: 

[1] https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/authentication-methods 
[2] https://netoryggi.is/ 
[3] https://pages.nist.gov/800-63-3/sp800-63b.html#-511-memorized-secrets 
[4] https://www.zdnet.com/article/fbi-recommends-passphrases-over-password-complexity/ 
[5] https://nymag.com/strategist/article/best-password-manager.html 
[6] https://xkcd.com/936/ 
[7] https://haveibeenpwned.com/ 
[8] https://haveibeenpwned.com/NotifyMe 
[9] https://krebsonsecurity.com/2021/03/can-we-stop-pretending-sms-is-secure-now/ 
[10] https://www.facebook.com/settings?tab=security 
[11] www.facebook.com/help/235353253505947/?helpref=uf_share 
[12] https://www.facebook.com/hacked 
[13] https://www.facebook.com/help/contact/295038365360854 
[14] https://twitter.com/settings/security 
[15] https://twitter.com/settings/account/request_verification 
[16] https://help.twitter.com/en 
[17] https://www.instagram.com/accounts/privacy_and_security/ 
[18] https://www.instagram.com/session/login_activity/ 
[19] https://www.instagram.com/accounts/data_controls_support/ 
[20] https://help.instagram.com/854227311295302 
[21] https://fjolmidlanefnd.is/stoppa-hugsa-athuga/