Of algengt er að netnotendur fari þægindaleiðina og noti sömu lykilorðin á fleiri en einum stað. Ráðlegast er að velja sértækt lykilorð fyrir hverja síðu. Sömuleiðis ætti ekkert fyrirtæki sem býr yfir persónuupplýsingum um fólk að geyma lykilorð óbrengluð.
Þetta segir Ásgeir Ásgeirsson, sem er sérfræðingur í tækni og öryggismálum hjá sprotafyrirtækinu Meniga. Mikilvægt sé að bæði almenningur og fyrirtæki dragi lærdóm af Vodafone-málinu, þar sem viðkvæmum persónugreinanlegum upplýsingum um þúsundir manna var lekið á netið eftir árás hakkara.
Í ljósi þess hve umfangsmikill upplýsingalekinn var hjá Vodafone var ákveðið að bregðast við hjá Meniga með því að loka fyrir innskráningu með netfangi og lykilorði. Um 30.000 lykilorð fólks að innra svæði Vodafone voru birt á netinu og Ásgeir bendir á að líklegt megi telja að einhverjir noti sömu lykilorðin víðar, þótt það sé alls ekki ráðlegt.
„Um leið og við heyrðum af þessu ákváðum við að loka vefnum okkar á meðan við mætum stöðuna því við hugsuðum með okkur að ef einhver notar sama lykilorð og á Vodafone vefinn, þá gæti einhver illa þekkjandi prófað að nota það til að komast inn á Meniga.“
Ásgeir segir að niðurstaðan verði líklega sú að láta alla notendur Meniga velja sér nýtt lykilorð, til vonar og vara. „Þetta var einfaldlega það stór leki hjá Vodafone að við teljum okkur þurfa að taka ábyrgt á þessu. Í okkar kerfum eru viðkvæm fjármálagögn og jafnvel þótt þetta skapi smá óþægindi fyrir notendur þá er það öruggasta leiðin. Það að velja nýtt lykilorð er léttvægt miðað við það ef fjárhagsleg gögn leka út.“
Aðspurður segist Ásgeir telja of algengt að fólk noti sömu lykilorðin víða. Þetta sé alls ekki ráðlegt út frá netöryggi. Sömuleiðis sé mikilvægt að velja sterkt lykilorð, sem erfitt sé að brjóta.
Ásgeir segir að þar gildi sú meginregla að því lengri sem lykilorð eru, því betra. „Það er vert að hafa í huga einhverja almenna minnisreglu, einfalda leið til að hjálpa sér að velja sértækt lykilorð fyrir hverja síðu. Til dæmis væri hægt að nota fyrsta stafinn í slóð síðunnar og búa eitthvað til út frá því. Menn verða að nota hugmyndaflugið til að finna lykilorð sem er auðvelt að muna en erfitt fyrir utanaðkomandi að apa eftir.“
Til dæmis getur verið sterkt að skrifa einhverja stutta sögu, svo úr verði langt og erfitt lykilorð. „Því fleiri stafi sem þú notar í lykilorðið, því erfiðara er að finna út úr því,“ segir Ásgeir.
Allur gangur er á því hvort fyrirtæki dulkóði lykilorð sem notendur velja sér eða ekki. Ásgeir segir að það ætti að vera regla hjá öllum fyrirtækjum að geyma lykilorð aldei óbrengluð.
„Það er nokkuð sem við höfum aldrei gert hjá Meniga. Við geymum ekki lykilorð heldur vinnum þau í gegnum gagnagrunni þannig að við getum sjálf ekki með neinu móti fundið út hvert lykilorðið er. Þetta er algjört lykilatriði sem öll fyrirtæki ættu að gera.“
Hluti af þjónustu Meniga er að halda utan um heimilisbókhald fólks og senda reglulega tölvupósta með upplýsingum um fjármál. Ásgeir segir skipta miklu máli hvernig svo viðkvæmar upplýsingar eru geymdar.
„Okkar stefna er að komast af með að geyma eins litlar persónugreinanlegar upplýsingar og hægt er. Við þurfum að geyma tölvupóstföng en við geymum ekki kennitölur, bankanúmer eða neitt slíkt.
Segja má að mikill kúltúr sé í netheimum fyrir árásum á fyrirtæki og stofnanir. Oft eru þær af pólitískum toga en stundum velja hakkarar sér skotmörk til þess að sýna að það sé hægt að vinna á þeim skaða.
Ásgeir segist aðspurður telja að flest fyrirtæki á Íslandi taki netöryggismál mjög alvarlega en mannleg mistök geti þó orðið. Mikilvægt sé að einhver starfsmaður hafi öryggismálin á sinni könnu og hafi góða yfirsýn yfir þau.