Under de senaste månaderna har ett flertal svenska stora sajter hackats och användarinformation har spridits på nätet. Tittar man närmare på de användarnamn och lösenord som användarna haft så finner man att de flesta använder lösenord som är alldeles för enkla. De går att gissa eller enkelt prova sig fram till.
När användaren dessutom har samma lösenord på flera sajter så kan den som lyckats ta reda på lösenorden logga in som samma person på alla dessa sajter. Folk har fått sina profiler och CV ändrade på sajter som Facebook, Myspace och LinkedIn. Deras kreditkort har blivit debiterade på postordersajter som de haft konton hos, men varorna har levererats till någon annan.
Skydda dig som användare
Du som är användare på en sajt där du registrerar dig med ett användarnamn och lösenord kan egentligen bara göra två saker för att skydda dig.
- Använd alltid bra, slumpmässiga lösenord. Stora och små bokstäver, siffror och något specialtecken ska ingå.
- Använd aldrig samma lösenord på flera sajter.
Du kan aldrig vara säker på att den sajt du registrerar dig hos skyddar din information tillräckligt bra, oavsett om du i övrigt litar på företaget som ligger bakom sajten.
Om du tycker det blir krångligt att hantera många lösenord, använd något hjälpmedel för det. Själv är jag omåttligt förtjust i ett program som heter Roboform. Det håller reda på dina inloggningsuppgifter för varje sajt och gör så att du med ett enda musklick kan gå till en sajt och bli inloggad direkt.
Programmet kostar några dollar men med dagens dollarkurs är det nästan gratis. Du kan ladda ned en 30-dagars trial-version, Roboform Trial, eller besök deras sajt för att läsa mer, Roboform.com.
Roboform fungerar i både Internet Explorer och Firefox samtidigt och innehåller mängder med bra funktioner som saknas i webbläsarnas inbyggda hantering av lösenord.
Skydda dina användare
Om du är utvecklare, tänk aldrig ”men informationen som finns här har inget värde, den behöver inte skyddas”. Det är inte upp till dig att ta det beslutet, det är dina användares information och det ÄR ditt ansvar att skydda den.
Lagra aldrig lösenord i klartext. Lagra dem envägskrypterade, om du använder en standard-hash så måste du se till att du lägger till ett unikt salt för varje lösenord.
Se till att din kod inte är öppen för sql injection eller cross site scripting.
Mer om SQL injection och cross site scripting senare.