Fagblogg | Netsecurity

Hacklore: Cybersikkerhetens moderne folketro

Skrevet av John-André Bjørkhaug | 10. mars 2026 09:00:28 Z

Innen cybersikkerhet finnes det et fenomen vi sjelden snakker om, men som nesten alle har møtt. Det kalles hacklore.

Begrepet kommer fra en kombinasjon av hacking og folklore. Det beskriver sikkerhetsråd som har blitt gjentatt så mange ganger at de oppfattes som sannheter, selv om de ikke nødvendigvis reflekterer hvordan trusselbildet faktisk ser ut i dag.

Prosjektet Hacklore.org har samlet mange slike eksempler og prøver å rydde opp i gamle sikkerhetsmyter. Poenget deres er ikke at rådene alltid er feil, men at mange av dem er overdrevet, utdatert eller rett og slett misforstått.

Mange av disse rådene oppstod for 10–20 år siden. Teknologien var annerledes. Nettverkene var annerledes. Angrepene var annerledes. Likevel lever rådene videre i sikkerhetskurs, interne IT-retningslinjer, medieartikler, onboarding-presentasjoner og LinkedIn-poster med "advarsler".

Resultatet er at vi ofte bruker mye tid på scenarier som nesten aldri skjer, mens de vanligste angrepene får mindre oppmerksomhet.

 

 

Klassiske eksempler på hacklore

De fleste har hørt disse rådene:

  • Ikke bruk offentlig WiFi fordi hackere kan stjele passordene dine
    (telefonileverandører har brukt dette som argument for at folk skal kjøpe og bruke mer mobildata) Dette var en mer reell risiko tidligere. I dag bruker nesten alle tjenester HTTPS, og nettlesere og apper varsler hvis noe ikke stemmer. Risikoen finnes fortsatt, men er langt mindre enn mange tror.
  • Ikke lad telefonen i en offentlig USB-port fordi en angriper kan stjele alt på telefonen din
    Såkalt juice jacking er teknisk mulig, men svært sjelden i praksis. Moderne telefoner ber også om tillatelse før dataoverføring skjer. Risikoen er derfor lav, men det er fortsatt en enkel forholdsregel å bruke egen lader eller vanlig strømuttak.

  • Slå av Bluetooth når du ikke bruker det
    Bluetooth-sårbarheter har eksistert, men moderne implementasjoner er betydelig sikrere enn før. For de fleste brukere er dette i dag en relativt lav risiko.

  • Du må bytte passord ofte
    Dette er et godt eksempel på et råd som faktisk er blitt forlatt av mange sikkerhetsmyndigheter. Hyppige passordbytter fører ofte til svakere passord og gjenbruk. I dag anbefales heller lange, unike passord og MFA.

 

 

Dette er råd som fortsatt dukker opp i mange sikkerhetsprogrammer. Problemet er ikke at angrepene er umulige. Problemet er at de ofte er lite realistiske i praksis. Det er ofte teoretiske angrep som fungerer hvis "alle planeter står på linje og det er kjøttkaker til middag osv". Det skal veldig mye til for å utnytte dem. Moderne teknologi har endret mye siden disse angrepene var mer realistiske:

  • HTTPS (kryptert trafikk) brukes nesten overalt

  • operativsystemer er sikrere

  • apper kjører i sandbox

  • nettlesere har bedre sikkerhetsmekanismer

Dermed er mange av de klassiske scenariene langt mindre relevante enn de en gang var.

 

 

Hva angripere faktisk gjør

I praksis er de fleste angrep mye enklere. Angripere bruker sjelden kompliserte tekniske metoder hvis de kan oppnå samme resultat på en enklere måte. På oppdrag hos kunder ser vi sjelden avanserte angrep på offentlige nettverk. Det vi derimot ser igjen og igjen er phishing, passordgjenbruk og manglende MFA.

 

Typiske inngangspunkter vi ser igjen og igjen er:

  • phishing

  • stjålne eller gjenbrukte passord

  • manglende MFA

  • sårbar programvare

  • feilkonfigurerte tjenester


For en angriper er det nesten alltid lettere å:

  • sende en troverdig phishing-epost

  • lure noen til å logge inn på en falsk side

  • bruke lekkede passord


enn å gjennomføre avanserte angrep mot tilfeldige brukere på et flyplassnettverk.

 

 

Når sikkerhetsråd blir støt

Et annet problem med hacklore er at det skaper sikkerhetsstøy.

Brukere får ofte lange lister med regler:
  •  ikke bruk dette nettverket
  •  ikke lad telefonen her
  •  ikke klikk der
  •  ikke installer dette

Når listen blir lang nok er det vanskelig å vite hva som faktisk er viktig. Resultatet blir ofte at brukere ignorerer rådene helt.

 

Tiltak som faktisk gir effekt

Hvis målet er å redusere risiko, finnes det noen tiltak som gir mye større effekt enn de fleste andre.

For de fleste brukere er disse blant de viktigste:

  • bruk lange passord og lagre de i en password manager.

  • bruk sterke og unike passord sller passkeys. Lengde er viktogere enn kompleksitet. "Jegerutroliggladikattenemine" er et mye bedre passord enn "kj%#|€12"

  • aktiver MFA der det er mulig

  • hold programvare og apper oppdatert.

  • vær bevisst på phishing, vishing og andre former for "social engineering".


Dette er tiltak som direkte adresserer de vanligste angrepsmetodene. Det er kanskje ikke like dramatisk som historier om hackere på flyplass-WiFi, men det er her de fleste angrep faktisk skjer.

 

 

Litt mindre folklore

Poenget er ikke at gamle sikkerhetsråd alltid er feil. Poenget er at cybersikkerhet endrer seg hele tiden. Råd som var gode for mange år siden er ikke nødvendigvis like relevante i dag.

Kanskje det viktigste spørsmålet vi bør stille oss oftere er:
Hvilke sikkerhetstiltak reduserer faktisk risiko mest akkurat nå?

Kanskje vi burde bruke litt mindre tid på hacklore, og litt mer tid på de angrepene som faktisk skjer.

 
Vis hele posten