I mandags modtog jeg en e-mail fra Spotify om, at nogen i Brasilien havde logget ind på min konto.

Jeg tjekkede. Sikkert nok:En fremmed brugte min Spotify til at lytte til Michael Jackson. Jeg fortalte Spotify at "logge mig ud overalt" - men jeg ændrede ikke min adgangskode.

Onsdag skete det igen. Klokken 02.00 fik jeg endnu en e-mail fra Spotify. Denne gang lyttede min luskede brasilianske ven til Prince. Og de kunne tilsyneladende lide udseendet af en af mine playlister ("Funk Is Its Own Reward"), fordi de også havde lyttet til det.

Jeg loggede ud igen overalt, og dette gang jeg ændrede min adgangskode. Og jeg lavede en beslutning.

Ser du, jeg har gjort et dårligt stykke arbejde med at implementere moderne online sikkerhedsforanstaltninger. Ja, jeg har låst mine kritiske finansielle konti med tofaktorautentificering osv., men for det meste er jeg sjusket, når det kommer til cybersikkerhed.

For eksempel genbruger jeg adgangskoder. Jeg bruger stadig adgangskoder fra tredive år siden til situationer med lav sikkerhed (såsom tilmelding til en vinklub eller et forretningsloyalitetsprogram). Og selvom jeg er begyndt at skabe stærke (men dog nemme at huske) adgangskoder til vigtigere konti, følger disse adgangskoder alle et mønster, og de er ikke tilfældige. Det værste af alt er, at jeg vedligeholder et 20 år gammelt almindeligt tekstdokument, hvori jeg gemmer alt af mine følsomme personlige oplysninger.

Det her er dumt. Dum dum dum dum dum.

Jeg ved, det er dumt, men jeg har aldrig gidet at lave ændringer - indtil nu. Nu, af forskellige årsager, føler jeg, at det er på tide for mig at gøre mit digitale liv lidt mere sikkert. Jeg brugte flere timer i weekenden på at låse tingene ned. Sådan gør du.

En kort guide til cybersikkerhed

Tilfældigvis, selv samme dag, som min Spotify-konto blev brugt til at streame Princes største hits i Brasilien, postede en Reddit-bruger ved navn /u/ACheetoBandito en guide til cybersikkerhed i /r/fatFIRE. Hvor praktisk!

"Cybersikkerhed er en kritisk komponent i økonomisk sikkerhed, men diskuteres sjældent i privatøkonomiske kredse," skrev /u/ACheetoBandito. "Bemærk, at cybersikkerhedsudøvere er uenige om bedste praksis for personlig cybersikkerhed. Dette er mit perspektiv, da jeg har en vis ekspertise på området.”

Jeg vil ikke gengive hele indlægget her - du bør helt klart læse det, hvis dette emne er vigtigt for dig - men jeg vil opregn punktopsummeringen sammen med nogle af mine egne tanker. Vores ven med orange fingre anbefaler, at alle, der bekymrer sig om cybersikkerhed, tager følgende trin:

1. Få mindst to hardwarebaserede sikkerhedsnøgler. Min ven Robert Farrington (fra The College Investor) bruger YubiKey. Google tilbyder sin Titan-sikkerhedsnøgle. (Jeg bestilte YubiKey 5c nano på grund af dens minimale formfaktor.)
2. Opret en hemmelig privat e-mail-konto. Din private e-mail-adresse bør ikke linkes i nogen vej til din offentlige e-mail, og adressen bør ikke gives til nogen. (Jeg har allerede mange offentlige e-mail-konti, men jeg havde ikke en privat adresse. Det har jeg nu.)
3. Slå avanceret beskyttelse til for både dine offentlige og private Gmail-konti. Avanceret beskyttelse er en gratis sikkerhedstilføjelse fra Google. Link dette til de sikkerhedsnøgler, du anskaffede i trin et. (Jeg har ikke konfigureret dette, fordi mine sikkerhedsnøgler først ankommer i eftermiddag.)
4. Konfigurer en adgangskodeadministrator. Hvilken password manager du vælger er op til dig. Nøglen er at vælge en, som du vil bruge . Det er bedst, hvis denne app understøtter dine nye sikkerhedsnøgler til godkendelse. (Jeg vil dække et par muligheder i næste afsnit af denne artikel.)
5. Generer nye adgangskoder til alle konti. Opret manuelt mindeværdige adgangskoder til dine e-mailadresser, dine computere (og mobile enheder) og til selve adgangskodehåndteringen. Alle andre adgangskoder bør være stærke adgangskoder, der er genereret tilfældigt af adgangskodeadministratoren.
6. Knyt kritiske konti til din nye private e-mailadresse. Dette vil omfatte finansielle konti, såsom dine banker, mæglervirksomheder og kreditkort. Men det kan også omfatte andre konti. (Jeg bruger for eksempel min private e-mailadresse til kernetjenester relateret til denne hjemmeside.)
7. Slå ekstra sikkerhedsforanstaltninger til for alle konti. Tilgængelige funktioner vil variere fra udbyder til udbyder, men generelt set bør du være i stand til at aktivere tofaktorautentificering (med sikkerhedsnøglerne, når det er muligt) og login-advarsler.
8. Slå tekst-/e-mail-advarsler til for finansielle konti. Du vil måske også slå advarsler til for ændringer i din kreditvurdering og/eller kreditrapport.
9. Aktiver sikkerhedsforanstaltninger på dine mobile enheder. Din telefon bør være låst med en stærk autorisationsforanstaltning. Og hver af dine individuelle økonomiske apps bør låses med en adgangskode og andre mulige sikkerhedsforanstaltninger.

/u/ACheetoBandito anbefaler nogle yderligere, valgfrie sikkerhedsforanstaltninger. (Og hele den Reddit-diskussionstråd er fyldt med gode sikkerhedstip.)

Det kan være en god idé at indefryse din kredit (selvom, hvis du gør det, skal du huske, at du lejlighedsvis skal ophæve -Frys din kredit for at foretage finansielle transaktioner). Nogle mennesker vil gerne kryptere deres telefoner og harddiske. Og hvis du er meget bekymret for sikkerheden, kan du købe en billig Chromebook og bruge denne som den eneste enhed, som du udfører finansielle transaktioner på. (Tro det eller ej, jeg tager dette sidste valgfrie trin. Det giver mening for mig – og det kan være en chance for mig at bevæge mig ud over Quicken.)

Udforske de bedste adgangskodeadministratorer

Okay, fantastisk! Jeg har bestilt en ny $150 Chromebook og to hardwarebaserede sikkerhedsnøgler. Jeg har oprettet en helt ny, tophemmelig e-mailadresse, som jeg forbinder til enhver konto, der har brug for ekstra sikkerhed. Men jeg har stadig ikke taget fat på det svageste punkt i processen:mit tekstdokument fyldt med adgangskoder.

En del af problemet er selvtilfredshed. Mit system er enkelt, og jeg kan lide det. Men en anden del af problemet er analyselammelse. Der er masse af adgangskodeadministratorer derude, og jeg aner ikke, hvordan jeg kan skelne mellem dem, for at finde ud af, hvilken der er den rigtige for mig og mine behov.

For at få hjælp bad jeg mine Facebook-venner om at liste de bedste adgangskodeadministratorer. Jeg downloadede og installerede hvert af deres forslag, og derefter noterede jeg nogle indledende indtryk.

• LastPass:16 stemmer (2 fra teknologinørder) — LastPass var langt den mest populære adgangskodeadministrator blandt mine Facebook-venner. Folk elsker det. Jeg installerede det og kiggede rundt, og det ser ud til... okay. Interfacet er lidt klodset, og funktionssættet virker passende (men ikke robust). Appen bruger den letforståelige "hvælving"-metafor, som jeg godt kan lide. LastPass er gratis (med premium-muligheder tilgængelige for ekstra omkostninger).
• 1Password:7 stemmer (4 fra teknologinørder) — Denne app har lignende funktioner som Bitwarden eller LastPass. Interfacet er fint nok, og det ser ud til at give sikkerhedsadvarsler. 1 adgangskode koster 36 USD/år.
• Bitwarden:4 stemmer (2 fra tekniknørder) — Bitwarden har en enkel, letforståelig grænseflade. Den bruger den samme "hvælving"-metafor, som produkter som LastPass og 1Password bruger. Det er en stærk kandidat til at blive det værktøj, jeg bruger. Bitwarden er gratis. For 10 USD om året kan du tilføje premium sikkerhedsfunktioner.
• KeePass:2 stemmer — KeePass er en gratis Open Source-adgangskodemanager. Der er KeePass-installationer tilgængelige for alle større computer- og mobiloperativsystemer. Hvis du er en Linux-nød (eller en Open Source-advokat), kan dette være et godt valg. Jeg kan ikke lide dens begrænsede funktionalitet og dens forfærdelige grænseflade. KeePass er gratis.
• Dashlane:2 stemmer — Af alle de adgangskodeadministratorer, jeg kiggede på, har Dashlane den bedste grænseflade og de fleste funktioner. Ligesom mange af disse værktøjer bruger den "hvælving"-metaforen, men den giver dig mulighed for at gemme flere ting i denne boks, end andre værktøjer gør. (Du kan gemme ID-oplysninger - f.eks. kørekort, pas -. Der er også et sted at opbevare kvitteringer.) Dashlane har en gratis grundlæggende mulighed men de fleste vil have præmiemuligheden på $60 om året. (Der er også en $120/år mulighed, der inkluderer kreditovervågning og ID-tyveriforsikring.)
• Slør:1 stemme — Sløring er anderledes end de fleste adgangskodeadministratorer. Det forsøger bogstaveligt talt at sløre din online identitet. Det forhindrer webbrowsere i at spore dig, maskerer e-mail-adresser og kreditkort og telefonnumre og (eller selvfølgelig) administrerer adgangskoder. Jeg vil have nogle funktioner, som Blur ikke har - og jeg vil ikke have nogle af de funktioner, den gør har. Sløring koster minimum 39 USD/år men den pris kan blive meget højere.
• Apple-nøglering:1 stemme — Nøglering har været Apples indbyggede adgangskodeadministrator siden 1999. Som sådan er den frit tilgængelig på Apple-enheder. De fleste Mac- og iOS-folk bruger nøglering uden selv at være klar over det. Det er ikke rigtig robust nok til at gøre andet end at gemme adgangskoder, så jeg overvejede det ikke seriøst. Nøglering er gratis og kommer installeret på Apple-produkter.

Lad mig være klar:Jeg lavede kun en overfladisk undersøgelse af disse adgangskodeadministratorer. Jeg dykkede ikke dybt. Hvis jeg prøvede at sammenligne hver funktion i hver adgangskodeadministrator, ville jeg aldrig vælge. Jeg ville blive låst fast i analyselammelse igen. Så jeg gav hver enkelt en hurtig gang og tog en beslutning baseret på mavefornemmelse og intuition.

Af disse værktøjer skilte to sig ud:Bitwarden og Dashlane. Begge har gode grænseflader og masser af funktioner. Begge værktøjer tilbyder gratis versioner, men jeg vil gerne opgradere til en betalt premium-plan for at få adgang til tofaktorautentificering (ved hjælp af mine nye hardwaresikkerhedsnøgler) og sikkerhedsovervågning. Det er her Bitwarden har en stor fordel. Det er kun $10 om året. For at få de samme funktioner koster Dashlane 60 USD/år.

Men her er sagen.

Jeg begyndte faktisk at bruge begge disse værktøjer på samme tid, indtastning af min hjemmesides adgangskoder én efter én. Jeg stoppede efter at have indtastet ti steder i hver. Det var klart, at jeg i høj grad foretrak at bruge Dashlane frem for Bitwarden. Det virker bare på en måde, der giver mening for mig. (Din oplevelse kan være anderledes.) Så i et stykke tid i det mindste jeg vil bruge Dashlane som min adgangskodeadministrator.

Problemet med adgangskoder

Mit primære motiv for at bruge en password manager er at få mine følsomme oplysninger ud af et almindeligt tekstdokument og til noget mere sikkert. Men jeg har et sekundært motiv:Jeg vil forbedre styrken af mine adgangskoder.

Da jeg begyndte at bruge internettet - tilbage i 1980'erne, før fremkomsten af World Wide Web - sparede jeg ikke en tanke om adgangskodestyrke. Den første adgangskode, jeg oprettede (i 1989) var simpelthen navnet på min ven, som lod mig bruge sin computer til at få adgang til de lokale Bulletin Board-systemer. Jeg brugte den adgangskode i år på alt fra e-mailkonti til banksider. Jeg betragter det stadig som min "lav sikkerhed" adgangskode til ting, der ikke er kritiske.

Jeg har måske otte eller ti adgangskoder som dette:korte, enkle adgangskoder, som jeg har brugt dusinvis af steder. I de sidste fem år har jeg forsøgt at flytte til unikke adgangskoder for hvert websted, adgangskoder, der følger et mønster. Selvom disse er en forbedring, er de stadig ikke gode. Som jeg siger, følger de et mønster. Og selvom de indeholder bogstaver, tal og symboler, er de alle relativt korte.

Som du måske forventer, har min sjuskede adgangskodeprotokol skabt noget af et sikkerhedsmareridt. Her er et skærmbillede fra Google Password Checkup-værktøjet til en af mine konti.

Jeg får lignende resultater for alle af mine Google-konti. Yikes.

Derudover er der problemet med kontodeling.

Kim og jeg deler en Netflix-konto. Og en Amazon-konto. Og en Hulu-konto. Og en iTunes-konto. Faktisk deler vi sandsynligvis tyve eller tredive konti. Hun og jeg bruger den samme adgangskode, der er nem at huske, til alle disse logins. Selvom ingen af disse konti er superfølsomme, er det stadig en dårlig idé, hvad vi laver.

Så jeg vil begynde at bevæge mig mod mere sikre adgangskoder – selv for de konti, jeg deler med Kim.

Den gode nyhed er, at de fleste adgangskodeadministratorer - inklusive Dashlane - automatisk vil generere randomiserede adgangskoder til dig. Eller jeg kunne prøve noget, der ligner den idé, der er foreslået i denne XKCD-tegneserie:

Problemet er selvfølgelig, at hvert sted har forskellige krav til adgangskoder. Nogle kræver tal. Nogle kræver symboler. Nogle siger nej symboler. Og så videre. Jeg kender ikke nogen websteder, der ville lade mig bruge fire tilfældige almindelige ord til en adgangskode!

Indtil videre vil jeg tage en trestrenget tilgang:

• Jeg vil manuelt oprette lange (men mindeværdige) adgangskoder til mine mest kritiske konti. Dette er XKCD-metoden.
• For de konti, jeg deler med Kim – Netflix osv. – vil jeg oprette nye, mindeværdige adgangskoder, der følger et mønster.
• For alt andet lader jeg min adgangskodeadministrator generere tilfældige adgangskoder.

Dette virker som en god balance mellem brugervenlighed og sikkerhed. Hver adgangskode vil være anderledes. Kun dem, jeg deler med Kim, vil være korte; alle andre bliver lange. Og de fleste af mine nye adgangskoder vil være tilfældige sludder.

Sidste tanker om cybersikkerhed

I denne korte video fra Tech Insider deler en tidligere sikkerhedsekspert fra National Security Agency sine fem bedste tips til at beskytte dig selv online.

Du vil bemærke, at disse ligner Reddit cybersikkerhedsguiden, jeg postede tidligere i denne artikel. Her er de trin, han siger, du skal tage for at beskytte dig selv:

• Aktiver to-faktor-godkendelse, når det er muligt.
• Brug ikke den samme adgangskode overalt.
• Hold dit operativsystem (og software) opdateret.
• Vær forsigtig med, hvad du poster på sociale medier.
• Gør det ikke dele personlige oplysninger, medmindre du er sikker du har at gøre med en betroet virksomhed eller person.

Jeg vil ikke lade som om, at de skridt, jeg tager, vil beskytte mig fuldstændigt. Men mit nye system er bestemt en opgradering fra det, jeg har gjort i de sidste 20+ år - hvilket var, som jeg har nævnt, dumt dumt dumt.

Og jeg må indrømme:Jeg kan lide ideen om at begrænse mit online økonomiske liv til én computer - den nye $150 Chromebook. Jeg er ikke sikker på, om dette rent faktisk kan lade sig gøre, men jeg har tænkt mig at give det en chance. Hvis dette virker, så kan jeg se, om jeg kan finde et pengestyringsværktøj, som jeg kan lide til maskinen. Så kan jeg måske endelig lade Quicken 2007 til Mac ligge!

Hvad er jeg gået glip af? Hvilke trin har dig taget for at beskytte dine onlinekonti? Hvilken synes du er den bedste password manager? Hvordan opretter du mindeværdige, sikre adgangskoder? Hvordan håndterer du delte konti? Hjælp andre GRS-læsere - og mig! — udvikle bedre onlinesikkerhedspraksis.