Det er blitt risikosport å surfe på nettet. Det er ikke uten grunn at Telenor har kommet opp med produktet Sikker ID (til kr 49,-/mnd) til hjelp mot svindel og identitetstyveri – 150.000 nordmenn rapporterte i 2017 å ha vært utsatt for identitetstyveri. ID-tyveri har ofte utgangspunkt i sosial manipulasjon eller nettfisking hvor brukernavn og passord til private kontoer kommer på avvei.

Passord

Aftenposten med flere medier slo i oktober opp artikler med overskrifter som «1,4 milliarder passord på avveie«, og selv om det viste seg å være gammelt nytt understreker det dessverre Aftenpostens overskrift på saken: «bytt passord som du bytter underbukser».

Vi kan heldigvis gjennom relativt enkle grep sikre kontoene våre, Nasjonal sikkerhetsmyndighet gir eksempelvis følgende tips:

  • Bruk to-faktor autentisering der det tilbys
  • Bruk unike passord
  • Bruk passordhåndteringsprogrammer (-privat kan du også lage en passordliste med penn og papir, men beskytt dokumentet som et verdipapir)
  • Alltid bytt standardpassord på produktene du kjøper

Veldig mange av de store og seriøse aktørene på markedet tilbyder to-faktor autentisering og sikring av kontoene dine, vi kan nevne Google, Amazon, Apple, Dropbox, Twitter, JottaCloud, PayPal med mange flere.

Det finnes mange gode passordhvelv der ute, personlig har jeg god erfaring med Apples egen iCloud-nøkkelring, men også Agile Bits 1Password dersom du jobber på flere plattformer.

HTTPS over alt

Vi beveger oss over i anelse mer teknisk terreng, men det er ikke så nøye om alt av forkortelser gir mening eller ei. I tillegg til å ha gode og sterke passord og være påpasselig med hvilke lenker vi trykker på i e-poster og hva slags informasjon vi gir til personer eller nettsteder vi er usikre på, er det å sørge for at nettstedene vi besøker er sikre og at trafikken er kryptert. Dette er det samme som bankene våre har fortalt oss med tanke på bruk av nettbanken i flere år nå. Fram til nå har de fleste nettleserne gitt en klar visuell indikasjon på bruk av https:// på ett nettsted i form av et hengelåssymbol i adresselinja, men det siste halvåret har det vært noe kontrovers og noe tvil om hvilken retning Google ville velge å gå. Foreløpig er hengelåsen til stede i nettlesere som Safari, Google Chrome og Mozilla Firefox (og sikkert flere).

Vil du sikre deg at HTTPS er i bruk finnes det en utvidelse til flere kjente nettlesere kalt HTTPS Everywhere som tar seg av det. Her må også nevnes at https:// kan være i bruk også på falske nettsteder, for mer om det se NorSIS og Buypass adressere bruken av sertifikater.

DNS over HTTPS (DoH)

Jeg har kanskje mistet noen lesere når vi nå har kommet til DoH, men dette er prinsipielt så viktig at jeg kanskje skulle innledet med det. På den annen side virker det ikke som dette er full godt avklart eller beskrevet hvordan dette er implementert hos de store internettilbyderne, om i det hele tatt?

Det virker som Telia og Telenor begge har DNSSEC implementert på linje med 97 av de 347 toppdomeneregistrarene Norid har oversikt over. I tillegg har Telenor lansert en tjeneste de kaller Nettvern for privatpersoner og Secure DNS for bedriftskunder som filtrerer vekk kjente, skadelige nettsteder. Dette virker unektelig å være gode tiltak. Det virker likevel å være rom for å stille spørsmål ved i hvilken grad navneoppslagene anonymiseres, krypteres og i hvilken grad de forblir private.

Vi er ikke alle Telenor-kunder, og selv om vi hadde vært det kunne det være at vi likevel kunne ha et ønske om enten å ikke legge igjen hele nettloggen vår hos Telenor (Telia, Ice eller andre) og da er det friskt å se at både Google med sin DNS 8.8.8.8 og Cloudflare med sin tjener 1.1.1.1 tilbyr DNS over HTTPS. Nå er det ikke nødvendigvis uproblematisk å stole på kommersielle aktører i andre land sin interesse i å beskytte ditt og mitt privatliv heller, men det virker som de prøver og det skal de ha for.

Google ser ut til å mene at DoH er i bruk bare en DNS med DoH brukes, om den spørres etter av ruteren, operativsystemet eller nettleseren, men for de som ikke vil tukle med ruteroppsettet eller innstillingene i operativsystemet kan DoH aktiveres i nettleseren Firefox.

Avslutningsvis

Mange av oss bruker dingser som er koblet opp til internett så og si hele dagen. Det er blitt en del av rutina og hverdagen både på jobb og privat. For de av som attpåtil er en del på farten vil jeg påstå det er must at hele kjeden, fra navneoppslag i DNS til surfing og inntasting av passord på nettsteder er kryptert. Dernest bør vi åpenbart passe på passorda våre – samt passe på at de er unike og sterke. Rett og slett utvise sunt nettvett.

Senere en gang vil jeg ta en titt på bruken av informasjonskapsler og hvordan disse benyttes til å kartlegge og spore aktivitetene våre på tvers av nettsteder, samt ta en aldri så liten titt på hvor mange oppkoblinger datamaskinen og nettleseren gjør uten at vi er klar over det.

Trygg surfing da!