Innloggingssikkerhet på nettsiden din: en praktisk grunnpakke for eiere av små nettsteder

Har du en liten nettside, nettbutikk eller blogg, er innloggingen ofte det svakeste punktet. Ikke fordi du gjør noe «feil», men fordi angripere vet at mindre nettsteder sjelden prioriterer pålogging som et eget sikkerhetsprosjekt.

Heldigvis skal det ikke så mye til for å heve nivået betydelig. Her får du en praktisk grunnpakke som hjelper deg å tette de vanligste hullene uten at det blir et fulltidsprosjekt.

Start med å rydde i brukerkontoene

Før du installerer noe som helst, lønner det seg å vite hvem som faktisk har tilgang. Mange nettsteder har gamle kontoer som aldri brukes, eller delte innlogginger som «admin» på tvers av flere personer.

Begynn med en enkel opprydding: gå gjennom alle brukere med utvidede rettigheter, og vurder om de fortsatt trenger tilgang. Slett eller deaktiver kontoer som ikke lenger er i bruk, og sørg for at hver person har sin egen konto.

Gode passord uten å gjøre hverdagen tung

Svake og gjenbrukte passord er fortsatt en av de vanligste årsakene til innbrudd. Utfordringen er at mange blir lei av å lage kompliserte passord de ikke husker, og ender opp med å bruke samme variant flere steder.

Et praktisk kompromiss er å bruke en passordmanager til det meste, og én eller to ekstra gjennomtenkte passfraser du faktisk husker til spesielt viktige kontoer, for eksempel selve innloggingen til nettstedet og e-posten din.

En enkel huskeregel for passord

Et passord blir ofte langt sterkere bare ved å være langt, ikke nødvendigvis uleselig. En setning eller kombinasjon av ord du klarer å huske, er som regel mye bedre enn korte, tilfeldige tegn du skriver ned på en lapp.

Unngå likevel å bruke sitater, sangtekster eller ord som er lette å koble til deg via sosiale medier. Lag heller en litt rar setning du kun bruker ett sted, og ikke resirkuler den på tvers av tjenester.

Begrens hvor mange ganger noen kan gjette

Automatiserte innloggingsforsøk bygger ofte på prøving og feiling. Angripere tester store mengder passord mot den samme brukeren, eller forsøker kjente kombinasjoner som har lekket andre steder.

Et enkelt tiltak er å innføre begrensninger på hvor mange ganger noen kan forsøke å logge inn før de må vente. Dette gjør automatiserte angrep langt mindre attraktive, spesielt hvis du kombinerer det med varsler til deg selv.

Typiske innstillinger som fungerer godt

• Steng for nye forsøk fra samme IP-adresse etter for eksempel 5 mislykkede innlogginger.
• Øk ventetiden mellom hvert nye forsøk, slik at det tar lengre tid å prøve mange passord.
• Logg hvem som blokkeres, slik at du kan oppdage uvanlig aktivitet tidlig.

Skjul unødvendig innloggingsinformasjon

Mange publiseringsløsninger og nettbutikksystemer gir mye gratis informasjon til dem som ser etter: standard-URLer for innlogging, tydelige feilmeldinger og offentlige profiler som viser brukernavn.

Du trenger ikke gjøre det umulig å finne innloggingen, men du kan gjøre det mindre trivielt. Det reduserer støyen, og gjør det enklere å se hvilke forsøk som faktisk er verdt å undersøke nærmere.

Enkle grep som ofte gjør stor forskjell

• Unngå å bruke e-postadressen din som brukernavn til selve nettsiden.
• Vurder å endre innloggingsadresse hvis systemet ditt støtter det, slik at den ikke er helt standard.
• Skru av unødvendige offentlige forfatterprofiler som viser brukernavn hvis de ikke har en tydelig funksjon.

Bruk påloggingsvarsler som tidlig varslingssystem

Det er lett å tenke at man må ha avansert overvåking for å oppdage innbruddsforsøk. For mange mindre nettsteder holder det lenge med noen enkle varsler du faktisk får med deg.

Du kan for eksempel sette opp e-postvarsel ved mislykkede forsøk på kritiske kontoer, eller når noen logger inn fra et nytt land eller en uvanlig IP-adresse. Da har du mulighet til å reagere før noe eskalerer.

Hva gjør du hvis du får et mistenkelig varsel?

• Bytt passord på den berørte kontoen så raskt som mulig.
• Sjekk om det er gjort endringer på siden som du ikke kjenner igjen.
• Gå gjennom sikkerhetsloggene hvis systemet ditt har det, for å se om forsøket var enkelt eller systematisk.
• Vurder om andre kontoer bør få oppdatert passord, spesielt de som deler samme e-postadresse.

Hold fokus på de viktigste kontoene

All innlogging er ikke like kritisk. For en typisk nettsideeier er det særlig tre typer kontoer som fortjener ekstra oppmerksomhet: administratorkontoen til selve nettsiden, kontoen hos webhotell eller serverleverandør, og e-postkontoen du bruker til gjenoppretting.

Hvis noen får kontroll over e-posten din, kan de ofte tilbakestille passord til både nettside og webhotell. Derfor er det lurt å bruke sterkere kontroll og mer gjennomtenkte rutiner nettopp der.

Lag en kort prioriteringsliste

For å unngå at sikkerhetsarbeid blir uoversiktlig, kan du skrive en liten liste over «kontoer jeg må beskytte litt ekstra». Sett opp hvem som har tilgang, hvordan passord lagres, og hvilke ekstra tiltak som er aktivert.

Oppdater listen når du bytter leverandør eller gir nye personer tilgang. På den måten vet du alltid hvor du bør begynne hvis noe ser rart ut, og du slipper å lete i gamle e-poster etter detaljer.

Gjør små justeringer jevnlig i stedet for store skippertak

Innloggingssikkerhet er ikke noe du «blir ferdig» med, men det trenger heller ikke være et stort prosjekt. Det viktigste er at du har et bevisst forhold til hvem som har tilgang, hvordan passord brukes, og hvordan du får beskjed hvis noe skjer.

Hvis du tar deg tid noen få ganger i året til å oppdatere kontoer, gjennomgå brukere og se over påloggingsloggene, ligger du allerede foran svært mange andre små nettsteder. Det gir både bedre kontroll og mindre stress neste gang det skrives om datainnbrudd i nyhetene.