Generell säkerhet på olika webbsidor:
-------------------------------------
Jag skulle faktiskt rekommendera att köra 2FA på de flesta webbsidor där det går.
Då använder man en app, pryl eller liknande som genererar engångskoder (tidsbaserade, ny kod var 30:e sekund) och denna kod används sedan för att logga in.
Det gör att man kan ha ett enklare lösenord till t.ex. Facebook och Gmail för då måste man ändå ha engångskoden.
Det baserar sig på standarden TOTP, så det är jättelätt att byggna egna program, lösningar, hårdvara och sådant för att använda TOTP om man inte vill använda något "färdigt".
Finns även programmerbar hårdvara att köpa, exempelvis ett TOTP-kort:
https://www.protectimus.com/slim-mini/ och YubiKey, en USB-nyckel som sätts i USB-porten (
http://www.yubico.com ), om man nu inte vill använda en app, eller om man har problem med detta.
Finns säkert program för Handy och liknande som kan generera dessa koder också.
Brandvägg och antivirus:
------------------------
Framför allt så rekommenderar jag hårdvarubrandväggar. Exempelvis kan man ersätta routern med en PC med två nätverkskort (alternativt ett nätverkskort + managerbar VLAN-switch) mellan WAN och sedan LAN. Ha en switch för att hantera ev LAN, och en AP för det trådlösa (de flesta routrar går att ställa i AP-läge).
Som programvara på denna PC rekommenderar jag antingen pfSense eller OPNsense. Båda är samma grund och botten, men OPNsense är mindre buggigt och mer stabilt.
På klientdatorn, som antivirus och brandvägg, rekommenderar jag Microsoft Defender resp Microsoft Firewall. De duger väldigt bra som skydd, speciellt med integrationen i Micrsoft Edge och Microsoft Office.
Har du något annat Windows än Windows 10: Kasta ut genom fönstret.
Phishing:
---------
Många tycker att man ska kasta bort alla mejl som frågar efter ens lösenord eller liknande som phishing. Men inte det är helt rätt - ibland kan ju faktiskt företagen behöva göra någon reset eller återställning, speciellt efter de blivit hackade.
Ett mejls äkthet går faktiskt att verifiera. I gmail är det väldigt enkelt:
Om du ser texten som står vid den Röda pilen, OCH/ELLER den texten som står vid den gröna pilen, OCH/ELLER ringen med en bock ("Verifierad E-postadress") då är mejlet äkta. Det räcker med att en av dessa säkerhetskontroller passerar för att mejlet ska anses vara äkta.
Förutsatt att du känner igen domänen (Dvs om mejlet utger sig för att vara från ICA-banken så ska det stå icabanken.se där)
Dessa är 3 olika säkerhetskontroller som görs.
Den gröna ringen med en bock, baserar sig på något som heter S/MIME som grundar sig i användandet av certifikat för att signera meddelanden.
Texten "Skickat av:" baserar sig på en kontroll av avsändarens IP-adress mot ett TXT-record som finns i DNS-servern hos domänägaren. Om domänägaren säger att en IP-adress får skicka, så blir de godkända i kontrollen.
Texten "Signerat av:" baserar sig också på en kontroll mot DNS, men denna gången är det via en publik nyckel som publiceras i ett TXT-record i DNS. När man skickar mejlet så läggs en signatur in i headern (DKIM) som gör att mottagarservern kan validera mejlet som äkta.
Har du hotmail eller liknande så är det mer komplicerat - då får man högerklicka, välja "Visa Original" och sedan gräva i meddelandets headers för att hitta vad hotmail anser om mejlets signaturer.
Samma i andra mejlklienter, då får man högerklicka på mejlet, "Visa egenskaper" och titta på meddelandehuvudet.
Var vaksam dock på att vissa illvilliga kan sätta in falska headers. Gmail och hotmail kan se vilka headers som är falska, men övriga E-postleverantörer har inte koll på detta. Därför, om du ser 2 exakt likadana headers gällande samma signaturmetod (t.ex. SPF eller DKIM), men den ena säger "fail" och den andra säger "pass", då bör du ta det som en "fail".
Behärskar man detta på rätt sätt, så blir det ett mycket effektivt motmedel mot phishing, samtidigt som att riktiga (äkta) mejl där ett företag ber om att du ska besöka en webbplats och skriva in ditt lösenord - då inte faller bort som "phishing".