Reglulega koma fram á sjónarsviðið nýjungar sem efla öryggi fólks á netinu. Hér er fjallað um áhugaverðar, ókeypis lausnir fyrir fyrirtæki og stofnanir sem gera tölvupóstsendingar bæði öruggari og skilvirkari.

23. október 2019

Fyrirmælafölsun, skilaboðasvik, vefveiðar og önnur fjársvik byggð á fölskum tölvupóstum hafa aukist mikið milli ára. Meginvandinn við að verjast fölskum tölvupóstum er að átta sig á hver sendandinn raunverulega er.
Komin er fram á sjónarsviðið ókeypis tækni sem nefnd er DMARC (domain-based message authentication, reporting & conformance). Hún auðveldar viðtakendum tölvupósta að sannreyna hvort sendandinn er sá sem hann segist vera. Þessu má því líkja við nokkurs konar upprunavottun. Ef tölvupósturinn stenst ekki prófið er það stillingaratriði hvort hann fer sjálfkrafa í ruslpóst eða í sjálfvirka eyðingu.

Ráðlegt er að öll fyrirtæki og stofnanir sem á annað borð stjórna eigin póstkerfi innleiði DMARC. Til marks um mikilvægi þess má nefna að bæði bresk og bandarísk stjórnvöld skylda eigin ráðuneyti til að nota DMARC.


Dregur úr áhuga glæpamanna á árás

Í póstkerfi viðtakanda þarf að gera ákveðnar breytingar í DNS-stillingum, þannig að póstþjónninn geti kannað hvort IP-tala sendanda og aðrar mikilvægar upplýsingar séu í samræmi við upplýsingar um eiganda lénsins. Þetta er gert með því að hagnýta allt í senn: SPF-auðkenningu (sender policy framework), DKIM-auðkenningu (domain keys identified mail) og DMARC-lista til að afla upplýsinga um réttmæti sendandans. Á netinu má finna fjölda leiðbeininga fyrir uppsetningu DMARC:

Þessari tækni er ætlað að takmarka möguleika óprúttinna aðila til að villa á sér heimildir við sendingu tölvupósta. Þótt DMARC veiti afar gagnlega vörn gegn vefveiðum og öðrum sviksamlegum tölvupóstum, þá er hún háð því að bæði sendandi og viðtakandi noti tæknina. En jafnvel þótt mótaðilinn noti ekki DMARC veitir tæknin engu að síður margvíslegar aðrar verðmætar upplýsingar, eins og hvort einhver sé að villa á sér heimildir í þínu nafni eða nafni fyrirtækisins þíns. Það sem meira er, svikahrappar sjá hvort fyrirhugað fórnarlamb noti DMARC eða ekki. Tæknin verndar því ekki aðeins einstaklinga og fyrirtæki, heldur letur einnig glæpamenn til árása.

Tvíþætt staðfesting með appi

Þegar netbankar komu fyrst fram á sjónarsviðið árið 1995 þurftu viðskiptavinir aðeins að rita notandanafn og lykilorð. Slíkt fyrirkomulag er nefnt einföld staðfesting eða „eins þáttar auðkenning“ á tæknimáli. Uppúr aldamótum komu auðkennislyklarnir til sögunnar og nefnist það fyrirkomulag tvíþætt staðfesting eða „tveggja þátta auðkenning“. Um árabil voru aðeins plastlyklar í boði, eða þar til auðkenningaröppin komu fram á sjónarsviðið. Öppin framkalla auðkennisnúmer líkt og ef um plastlykil væri að ræða. Þau eru jafn örugg og plastlyklarnir en mun handhægari, enda síminn oftast í seilingarfjarlægð.

Núorðið bjóða sífellt fleiri þjónustuveitendur upp á auðkenningaröpp - og það jafnvel endurgjaldslaust. Til dæmis bjóða bæði Google og Microsoft upp á slík öpp, þannig að bæði notendum tölvupóstforrita á borð við Gmail eða Office365 býðst ókeypis auðkenningarapp. Appið gildir auðvitað líka fyrir aðgengi að fleiri skýjalausnum eins og Google Docs, Office Excel og svo framvegis. Eindregið er mælt með notkun slíkra appa.

Traust tæki

Sumir þjónustuveitendur bjóða notendum að skilgreina hvaða síma og hvaða tölvur heimilt er að nota við innskráningu. Fyrirkomulagið nefnist traust tæki (trusted device). Hjá einstaklingi geta þetta til dæmis verið tiltekinn sími, ákveðin spjaldtölva, fartölva og borðtölva. Sé innskráning reynd frá öðru tæki en þessum fjórum, er frekari auðkenningar krafist eða innskráningu einfaldlega hafnað.

Eindregið er mælt með því að tilgreinina traust tæki þar sem það býðst. Slíkar varnarstillingar auka öryggi notandans, auka þægindi við notkun, draga úr líkum á fjársvikum og annarri misnotkun – og eru oftast ókeypis. Í Landsbankaappinu og í netbanka Landsbankans eru traust tæki sjálfkrafa skilgreind með margþættri mynsturgreiningu á umhverfisaðstæðum notandans (viðbótum, stýrikerfi, tímasetningu, staðsetningu og mörgu fleiru). Hinn svokallaði „öryggisheimur“, þ.e. fyrirtæki sem á einhvern átt koma að tölvuöryggi, hefur verið gagnrýndur fyrir að tefla fram lausnum sem eru ekki sérlega notendavænar. DMARC, tveggja þátta auðkenningu, traustum tækjum og mynsturgreiningum er einmitt ætlað að setja þægindi notandans í öndvegi.