Lösenordshanterare

Vi har redan missat årets ”internationella lösenordsdag” men det är fortfarande Maj och på grund av en nyhet att en sida sprider ”dåliga” versioner av en mjukvara jag använt kändes det som en bra dag att lyfta detta.

Det är svårt att komma ihåg lösenord och om du väljer ett lösenord som är lätt att komma ihåg, ja då är det troligtvis lätt att gissa. Med alla stulna databaser packade med lösenord som cirkulerar öppet på internet finns det goda chanser att just ditt superhemliga och starka lösenord redan flyter omkring någon stans. Det finns en tillförlitlig tjänst där du kan kontrollera om din epost finns med i någon läckt/stulen databas, Have I Been Pwned och du kan dessutom söka på ditt lösenord för att se om det redan cirkulerar. Detta är ett bra första steg för att kontrollera om det lösenord du tänker välja eller använder redan cirkulerar på internet. Men detta är inte en garanti, ny mjukvara som används för att ”knäcka” lösenord är så pass smart att den kan undersöka mindre varianter så om du har haft ett konto/lösenord som cirkulerar på internet och har bytt ut en bokstav mot en siffra, lagt till något tecken på slutet eller något liknande, ja då är detta lösenord i princip värdelöst även om du ”bytt ut” det.

Så för att göra det svårare att ta över konton är ett första bra steg att ha ett unikt lösenord för varje konto och varje lösenord måste vara starkt. På detta sätt när någon databas för någon sida blir stulen och ditt lösenord börjar cirkulera på internet är alla andra konton relativt säkra och du behöver bara komma ihåg att byt ett lösenord. Men att komma ihåg alla dessa lösenord är i princip omöjligt med alla sidor du måste ha ett konto på. Så vad gör man, skaffa en lösenordshanterare. En krypterad databas som är skyddad med ett lösenord, bio-ID (fingeravtryck eller ansikte) eller säkerhetsnyckel som hjälper dig generera och lagra unika och starka lösenord för varje separat konto så att du inte behöver komma ihåg dem. När det är dags att logga in på en sida låser du upp din databas, hämtar ditt lösenord och loggar in. Detta är inte helt utan problem så klart eftersom att samla alla sina lösenord på en plats har sina egna risker, läst därför klart hela denna diskussion innan du tar beslutet att skaffa en lösenordshanterare.

Det finns oändliga alternativ men jag har valt att presentera tre som jag vid något tillfälle testat och som fungerar bra.

KeePass

KeePass är en lösenordsnaterare som är gratis med öppen källkod. Du laddar ned eller hittar en källa för att ladda ned en lämplig klient för ditt operativsystem via keepass.info. Ladda inte ned från keepass.com då denna sida har blivit påkommen med att sprida skadlig programvara. Detta är en (om inte den variant du väljer erbjuder det som en separat tjänst) en offline lokal lagring av dina lösenord. Detta är något jag uppskattar på ett sätt eftersom det då enbart är min dator/telefon som måste bli attackerad/stulen för att komma åt min databas. Det har dock sina nackdelar eftersom det betyder att jag själv har ansvaret för att ha en backup och uppdatera databasen på mina olika enheter och att den inte blir skadad eller att jag råkar kopiera över en version som inte skall ersättas o.s.v. Utav de versioner som erbjuds har jag testat KeePassX, MacPass och KeePass2Android och de fungerar på sina respektive plattformer (macOS och Android).

LastPass

LastPass är en ”online” version av en lösenordshanterare. Lösenord är krypterade på din enhet och skall endast lagras krypterade på servern. De har klienter för de flesta olika plattformar och även i form av browser plugins om det inte finns ett program direkt för ditt operativsystem. Detta innebär att även om någon skulle stjäla din databas kan de inte se dina lösenord, bara den krypterade versionen. Att databasen lagras online betyder att om din dator/telefon går sönder/blir stulen eller du skaffar flera datorer eller något annat så kan du installera och logga in på deras klienter på en ny enhet och få åtkomst till alla dina lösenord. Detta är självklart både en fantastisk service och samtidigt en potentiell säkerhetsbrist. Detta är dock en väldigt lättanvänd och beprövad lösning med många hjälpsamma funktioner som att generera lösenord åt dig, låsa upp databasen med fingeravtryck och fylla i fällt på hemsidor med användarnamn och lösenord utan att du behöver kopiera och klistra in själv. Detta är ett mycket ENKELT och bra alternativ för den som inte är tekniskt lagd och gillar att kämpa med att lösa mindre tekniska problem. Det finns både en gradis version samt familje eller pro/företags tjänster som kostar pengar och tillåter att dela lösenord med olika andra användare av LastPass.

1password

1password som tjänst fungerar på samma sätt som LastPass. Det finns skillnader så klart, som jag inte tänker gå in på här, gör en sökning och jämför själv. Jag har prövat denna tjänst en gång i tiden när jag använde iOS men har inte någon nyare erfarenhet. Det faktum att deras hemsida i skrivande stund inte laddar i FireFox med en varning för en osäker anslutning gör kanske inte att förtroendet för tjänsten direkt skjuter i höjden heller, men det skall vara en användbar och tillförlitlig tjänst som rekommenderas varmt utav professionella användare.

I slutänden, att använda någon av ovanstående lösning är bättre än att använda ett lösenord till allt. Kom bara ihåg, när du sparar alla dina lösenord på ett och samma ställer, hur säker och krypterad den databasen än är, se till att ditt huvudlösenord är riktigt, riktigt starkt! Använt ett långt lösenord, gärna många olika ord och använd siffror, tecken och stora samt små bokstäver. Det finns tjänster som kan generera lösenord åt dig, som t.ex. via GRC där du kan skaffa ett starkt lösenord vilket du använder när du skapar ditt konto/databas och skriver ned på ett papper och förvarar på ett säkert ställe samt en kopia som du förvarar på ett annat ställe eller i säkert förvar hos en person du litar på. När allt finns på ett ställe måste det stället vara extra säkert. Kom också ihåg att många ställen använder din epost för att kunna återställa ett förlorat lösenord, det är därför extra viktigt att det epost konto du använder för att skapa konton är riktigt säkert så att ingen kan använda ditt epost konto för att få ditt lösenord utan större ansträngning.

Detta är ett bra första steg, nästa steg är att aktivera andra autentiserings lösningar, så att man inte bara behöver ett lösenord utan ytterligare en sak för att logga in. Detta gör att man har ytterligare en buffert om någon får tag på ens uppgifter eftersom de samtidigt måste ha tag på din ”andra faktor” för att kunna logga in. Detta blir dock ett senare inlägg.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *