password-losenord

Lösenordshanterare är räddaren i nöden

Jag får ofta frågan hur en stackars människa ska kunna hålla reda på alla lösenord när de dessutom måste vara unika, långa och komplexa. Svaret är som regel: Gör det inte. Använd en lösenordshanterare istället.

Av någon anledning har lösenord kommit att bli något jag ägnar mycket tid åt. Behovet av lösenord var från början begränsat, det behövdes ett lösenord för att aktivera användarens konto, men där stannade det. Sedan kom internet, och efter det kom webben. Efter webben kom utvecklingen av en uppsjö tjänster och appar och nu är situationen en annan. Det är relativt säkert att påstå att lösenord är ett centralt fenomen i vår internetvardag. De allra flesta har tiotals lösenord att hålla reda på, men många har långt fler. Personligen har jag 189 poster i min databas. Vilket påminner mig om att det förmodligen är dags att städa. Det borde säkert fler göra idag, den 4 maj, när det är Världslösenordsdagen.

Det finns många bra verktyg där användare lokalt både kan generera och lagra lösenord för olika tjänster. Alla fungerar på ungefär samma sätt. Allt användaren behöver göra själv är att skapa och komma ihåg ett unikt och säkert huvudlösenord för att låsa upp och komma åt databasen med länkar till konton, användaridentiteter, lösenord, pinkoder och annat som man behöver komma ihåg.

Men vilken är bäst? Där är det mycket en fråga om tycke och smak. Prova dig fram. Läs recensioner. Det finns sådana som är gratis, och sådana som har en licenskostnad. Fundera på vad det är du vill skydda och hur viktigt det är att kunna komma åt saker från olika enheter.

Man behöver också fråga sig hur man använder dem bäst. Offline eller online? Ska man lägga alla lösenord i lösenordshanteraren? För vem är de till; stora företag, småföretag, privatpersoner?

Det är stora och viktiga frågor som förtjänar ett genomtänkt och utförligt svar, särskilt idag på Världslösenordsdagen.

Ska jag använda en lösenordshanterare?

Svaret på den frågan blir ett otvetydigt och rungande Ja! Lösenordshanterare är bra. De ger många fördelar i en värld där det finns alltför många lösenord att hålla reda på. De underlättar att hålla reda på just unika, långa och komplexa lösenord för alla sajter och tjänster utan att du behöver belasta minnet med dem. De har oftast också verktyg för att generera nya lösenord med en slumpmässighet som du på egen hand aldrig kommer i närheten av och du kan enkelt klistra in dem på rätt ställe, utan att ens behöva fundera över hur de ser ut i detalj. Bara att de är unika, långa och komplexa. Du kan dessutom få lösenordshanteraren att synka dina lösenord mellan alla dina enheter så att du har dem med dig var du än behöver dem, på datorn, plattan eller telefonen.

Allt det är fördelar som minskar användarnas problem med att ha högre säkerhet och samtidigt göra det enklare och mer bekvämt. För det vet vi ju, om en användare upplever att säkerhet är jobbigt, komplicerat och inte tillför något som användaren uppfattar som positivt så gör denne något annat i stället för att komma runt problemet. Med ett lägre skydd som resultat.

Är allt frid och fröjd med en lösenordshanterare?

Lösenordshanterare är bra, men de har också sina svagheter. Vi kan ju börja med huvudlösenordet. Ett av våra stora problem med lösenord är att vi glömmer dem. Glömmer du huvudlösenordet till din lösenordshanterare är du rökt. Det finns ingen alternativ väg in. Och du måste gå in på vartenda konto och tjänst du har för att återställa lösenord. Det kan verkligen bli smärtsamt. Ser man det från den ljusa sidan kan det förstås bli en nyttig rensning av sådant som du inte använder längre.

En del lösenordshanterare har fått utstå attacker och det kommer med sannolikhet att hända igen. Rent krasst är de ju rätt attraktiva mål eftersom en lyckad attack ger tillgång till alla lösenord på en gång, rakt av. Jag skulle personligen inte lägga lösenordet till min dator eller mejl där. Inte heller koden till mitt mobila bank-id. Se där, redan tre lösenord som jag ändå måste ha i huvudet eller hantera på något annat säkert sätt.

Själv föredrar jag en fristående lösenordshanterare framför en som är integrerad med webbläsaren. I mitt tycke gör den ett bättre jobb, framför allt när man har olika plattformar på olika enheter. Och det känns som om jag har bättre kontroll, med mindre automatik som “bara händer”. Det kräver förstås att du är den enda som kan ditt huvudlösenord och att det är omöjligt att gissa för någon annan. Men på en krypterad hårddisk så är skyddet förhållandevis gott.

Finns det ingen enklare väg ur lösenordseländet?

Det finns många sätt och alla är bra, utom de dåliga. Därför brukar jag personligen följa några enkla riktlinjer:

Håll nere antalet lösenord generellt, framför allt de du själv har valt. Bry dig inte om att komma ihåg de lösenord som bara innebär att någon försöker samla e-postadresser. Är du intresserad av en artikel för stunden? Lägg händerna på tangentbordet, skapa ett konto, ladda ner eller läs artikeln och glöm.

Använd flerfaktorsautentisering där det erbjuds och det handlar om viktigare tjänster. Skydda lösenordet till mejl med ditt liv och det bästa lösenord du kan komma på. Det är trots allt dit återställningsmejl för nya lösenord går. Skriv ner det på papper och lås in det. Som backup. Man ska inte underskatta värdet av papper och penna.

Förr eller senare byter du dator, telefon eller platta. Planera för en migrering. Det brukar gå att göra, men kolla för säkerhets skull. Det är förmodligen även det tillfälle då du byter huvudlösenord till lösenordshanteraren. Bara för säkerhets skull.

Och glöm för all del allt trams om svar på frågor som ska få dig att komma ihåg bortglömda lösenord eller hjälpa till att återställa dem. De har använts vid fler än ett tillfälle för att göra intrång i konton.

Slå på kryptering, på telefonen, på datorn, på plattan, överallt där det finns tillgängligt.

Måste alla lösenord vara lika säkra?

Det är alltid nyttigt att göra en riskanalys. Hur viktigt är varje lösenordsförsett konto för dig? Vad är det värsta som kan hända om någon skulle komma över det? Skulle det äventyra hela din tillvaro? Kan någon komma över extremt känslig information om dig som skulle kunna missbrukas? Då skulle jag inte lägga det i en lösenordshanterare. Handlar det om de här tjänsterna vi använder varje dag, då kan det vara bekvämt. Handlar det om de där kontona som man skapar för att ladda ner artiklar, läsa nyheter eller vad det nu kan vara, där det inte finns någon koppling till dina bankkonton eller kreditkort? Då är det fantastiskt och jag tvekar inte en sekund. Du vill inte hamna i situationen där du inte får pengarna tillbaka från banken eller kreditkortsföretaget om du har råkat ut för ett bedrägeri. Tänk igenom fördelar och nackdelar.

För stunden är lösenordshanterare det bästa vi har efter flerfaktorsautentisering. De hjälper till att ha långa, starka och unika lösenord. De kommer aldrig att vara silverkulan som löser alla lösenordsrelaterade problem, men de är ett väl fungerande hjälpmedel. Förhoppningsvis kommer framtiden att bära bättre och mer användarvänliga lösningar med sig.

Etiketter: , , Foto: Password av Thomas Au (CC BY)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Hannes Axelsson 20 oktober 2017, kl 16.33

    Hej! intressant läsning!
    Tycker dock att folk gör krångligare lösenord än vad som behövs och som inte ökar säkerheten! Nyligen gick ju även de som satte standarden med små coh stora bokstäver blandat med tecken och siffror ut med att det var bara något dom hittade på utan något stöd!
    Tycker att denna lilla seriestripp förklarar anledningen på ett mycket simpelt sätt!
    https://xkcd.com/936/

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund Löwinder 21 oktober 2017, kl 11.08

      Hej, tack för din kommentar. Du har helt rätt, och den amerikanska standardiseringsorganisationen NIST har gått ut med nya rekommendationer (som jag för övrigt förespråkat i flera år). Du kan läsa deras riktlinjer här https://pages.nist.gov/800-63-3/sp800-63b.html. Hösten 2016 publicerade vi även en rapport om svenskarnas lösenordsvanor, ”Lösenord för alla”: https://www.iis.se/fakta/losenord-for-alla/

      Svara
  • Sebastian Nielsen 25 oktober 2017, kl 13.40

    Jag brukar istället för lösenordshanterare, ha 3 olika lösenord på webben.

    Ett är ett ”skitlösenord”, använder jag till sajter där man behöver skapa ett konto för att ladda ner någon fil eller liknande. Om det lösenordet kommer ut så kvittar det.

    Ett ”mellanlösenord” som jag använder till olika forum och diskussionssidor. Helt enkelt medelviktiga saker.

    Och sedan ett ”starkt” lösenord som jag har till saker som har med pengar att göra. Typ shoppingsajter m.m. där jag har bankkort/bankkonton och sådant sparat. Även sajter där jag har ett insatt saldo, t.ex. kontantkortssajter m.m. använder jag ett starkt lösenord på.

    På min mejl har jag inget lösenord alls. Det är faktiskt säkrast så. Istället har jag en inställning som säger att man måste vara rätt IP för att få tillgång. Pang bombsäkert, finns inget lösenord att knäcka, har man inte tillgång så kommer man inte få det heller. (Och som bekant går det inte spoofa IP över TCP)

    Svara