Säkerhet vid inloggning

Okategoriserade

Med senaste versionen av FireFox ges en tydlig varning när man loggar in på webbplatser som inte använder https. Varningen anger att inloggningen inte är säker och att data kan äventyras.

Varningen kan se ut så här:

inloggning_varning

Detta betyder nu inte att det blivit mer osäkert än tidigare eller att man aldrig skall logga in när denna varning visas. Saker och ting är precis som förut – bara att man tydligare informeras om risken.

I sak skall man inte logga in i system utan kryptering via publika surfpunkter som skickar data genom luften i klartext och i nätverk där man inte vet vilka andra som kan tänkas avlyssna trafiken. Gör man det riskerar användarnamn och lösenord komma på avvägar och den behörighet man har i det systemet kan missbrukas.

Surfar man via en uppkoppling där man vet att ingen (mja, mer än FRA eller så som knappast är ute efter Ditt lösenord) så kan man logga in ändå. Det gäller exempelvis hemma vid datorn ansluten via ADSL eller fiber. Även trådlösa nät med bra kryptering (WPA2 och sånt) och mobila uppkopplingar skall vara säkra eller iallafall svåra att avlyssna. Ser Du däremot varningen vid inloggning på banken eller motsvarande – fortsätt inte!

Handlar det om ”mindre livsavgörande” webbplatser så kan Du fortsätta logga in trots varningen – om Din uppkoppling är rimligt säker (hemma och via mobilen, men inte på flygplatsen, ett skolnät, ett stort företag eller liknande).

Skälet att Mozilla som står bakom FireFox lagt till varningen är att man vill tvinga fram ett minskat risktagande på nätet. Webbläsaren Chrome från Google har också en varning, men inte lika tydlig just vid inloggningsrutan utan ”bara” vid webbplatsens adress (”Säkert” resp. ”Inte säkert”). Ser man det lite amerikanskt vill de väl skydda sig mot stämningar för att inte ha informerat kunder och användare om riskerna. Nåja.

Det rätta är dels att tjänster övergår till krypterad anslutning, vilket fler och fler gör. Google, FaceBook och YouTube kör sedan länge nästan allt via https. Det borde fler göra, men att installera https med ett certifikat från en betrodd utgivare för varje webbadress kräver en del tekniska insatser och kostnader. Därför är det viktigt även fortsättningsvis att Du som användare är medveten om riskerna och inte loggar in med användarnamn och lösenord i klartext över en uppkoppling där Du inte vet om någon avlyssnar.

Det finns mycket mer att läsa om
+ VPN (krypterad tunnel över publika nät)
+ https (http med kryptering)
+ kryptering i WiFi-nät
på nätet och i datapressen.

Kan tillägga att även WordPress inloggning till denna webbplats ger samma varning. För att slippa kostnaden för ett certifikat från betrodd utgivare kan man för en mindre tjänst som denna med få och kända användare istället installera ett egenskapat certifikat som ger kryptering, men inte att en tredje part (utgivaren av certifikatet) garanterar att man kommit till rätt webbplats. Detta är gratis, ger kryptering, men kräver att varje användare manuellt accepterar det egenskapade certifikatet. Eller så kör man enbart över krypterad WiFi eller  mobildata – men helst trådbunden ADSL eller fiber.

Visst är det intressant med datasäkerhet? Tack om Du läste ända hit 🙂