Hantera dina lösenord på ett säkert sätt
De flesta jag känner har samma lösenord överallt och byter det nästa aldrig. För det mesta är inte lösenorden speciellt avancerade och ofta för korta. Personligen har jag blivit mer försiktig och noggrann ju mer man läser om sidor som hackas eller domäner som blir stulna.
Fram till för några veckor sedan har jag haft ett system där jag använt ett speciellt lösenord som följer alla konstens regler om att vara svårhackat. Detta lösenord har jag enbart använt på Google. Sedan har jag haft ett annat lösenord som som är nästan lika avancerat och som jag använt på ett par andra högprioriterande tjänster. Till sist har jag två tre lösenord som jag använder lite här och var och de slänger jag ganska friskt omkring mig och är inte så noga med.
Men som vi alla vet är aldrig en kedja starkare än dess svagaste länk. Du kan ha ett 20 tecken långt lösenord bestående av siffror, special-tecken och bokstäver men ser någon det nedskrivet någonstans så hjälper det dig inte. Jag har på senaste tiden gjort en liten ”säkerhets-audit” på mig själv och kommit fram till några saker.
- Jag har haft lösenord nedskrivna och spridda på diverse ställen, mest digitalt vilket nästan är värst.
- Jag har haft vissa känsliga ”områden”. På engelska brukar man säga ”Surface of attack” eller nåt i den stilen och såna ska man förstås ha så få som möjligt, helst bara en.
- Jag har haft samma lösenord på för många ställen.
- Jag har haft för korta lösenord.
Men nu har jag börjat använda KeePass och har förhoppningsvis en säker lösning som borde kunna skydda mig från det mesta. Man tappar kanske lite flexibilitet men fördelarna är trots allt fler med tanke på vilken katastrof det kan bli när man som jag har det mesta av ”sitt liv” online.
Komma igång med KeePass
KeePass är ett gratis open source program som kan hantera lösenord. Jag hade alla mina lösenord i Firefox tidigare och KeePass är en rejäl förbättring från det. När du kör igång programmet första gången blir du ombedd att skapa en databas med tillhörande lösenord. Dina lösenord kommer ligga i denna databas och skyddas av lösenordet du angav. Tappar du bort detta lösenord är du mer eller mindre körd (vilket är positivt), och det är förstås lättare att hålla ordning på ett lösenord än hundra andra. Jag rekommenderar att sätta detta lösenord med uppåt 12 bokstäver, siffror och ”specialtecken”. Alltså något i stil med aHc/d%tB9Ha.Cf, ett bra tips är att skriva ner lösenordet på en lapp som du har i plånboken. Skriv inte vad det är till. Fördelen med att ha det i plånboken är att du måste skriva det manuellt varje gång och efter någon vecka så kan du det förmodligen utantill.
Som jag skrev tidigare så hade jag alla mina lösenord i Firefox och som tur är så kan man importera lösenorden direkt ifrån Firefox till KeePass. Det kräver dock lite pillande och det är lite lustigt att dom inte gjort detta till en integrerad del av programmet. I vilket fall som helst så använde jag en plugin som kallas ClockWork Firefox to KeePass converter, det finns ganska bra instruktioner på sidan kring hur man gör. Jag hade dock problem att få det att fungera med version 2 av KeePass men den är bara en beta så jag laddade hem den stabila versionen 1.4 istället och där funkade det utmärkt. Fråga gärna i kommentarerna om du har några problem. Efter att jag fått KeePass att fungera och sett att alla lösenord fanns där så raderade jag alla mina lösenord i Firefox.
Viktigt! Glöm inte att ta bort filen med dina lösenord från Firefox som ”Firefox to KeePass converter” genererar efter att du importerat dina lösenord till KeePass.
Fixa automatiskt inloggning i Firefox och andra program med KeePass
Okej, nu har du alla dina lösenord krypterade med 256 bitars kryptering (jättesäkert betyder det) och du har ett väldigt krångligt lösenord som skyddar dem. Hur använder du dem då?
KeePass har en funktion som de kallar för Auto-Type. Det innebär att om du går till någon sida med inloggning, markerar användarnamn rutan och trycker Ctrl-Alt-A (går givetvis byta) så fyller KeePass i formuläret åt dig och trycker på submit. Detta fungerar alltså helt utan browser plugin och det fungerar i alla program. Alltså du kan använda det i vilken webbläsare du vill men även till andra typer av inloggningar. Nackdelen med denna flexibilitet är att det är lite krångligt att få det att fungera tillfredsställande utan lite manuellt pillande ibland. Det fungerar nämligen så att KeePass känner av vad titeln på ”det aktiva fönstret är” och väljer ut rätt lösenord baserat på de. Det förklaras lättast med en bild.
Som ni ser så där på ”Auto-Type-Window” så står det *www.whoa.nu* där och det står samma sak i titeln. Anledningen till att adressen står i titeln är för att jag har installerat en plugin som heter Hostname in title bar och som enbart gör vad den heter. Det är ett smidigt sätt att få ett unikt namn på alla webbsidor man går till. Som tur är så fixar Firefox importen mycket av detta automatiskt. Men på vissa sidor så kan man behöva gå in och småjustera lite för att det ska fungera smärtfritt. Detta fungerar som jag skrev även med inloggningar i andra typer av program. Nedan ser ni en bild där jag ställt in ”När jag trycker Ctrl-Alt-A och står i en ruta som heter Digsby Login så skriv Användarnamnet – tryck tab – skriv lösenordet – tryck enter”. Ni hänger med? Man behöver inte skriva detta själv utan du kan enkelt välja bland aktiva fönster och KeePass generare instruktionrna åt dig.
Hur jag använder KeePass
Jag beslutade mig för att börja använda KeePass på alla sidor och tjänster där känslan är ”Det vore inte så bra om nån kom åt mitt konto här”. På många sidor bryr jag mig inte så mycket och där kör jag på mitt gamla hederliga användarnamn och lösenord och låter Firfox komma ihåg det. Men på känsliga sidor som Evernote, Google, Whoa, Myndigheter, Webbhotell och dylikt så använder jag lösenordet i KeePass och Auto Type funktionaliteten. När Firefox frågar om jag vill spara lösenordet väljer jag bara ”Aldrig för denna sida”.
Man ska aldrig överdriva sitt säkerhetstänk så det hindrar dig för mycket i produktiviteten. Windows UAC (User Account Control), alltså den där irriterande popupen som dyker upp hela tiden i Windows Vista, har lärt oss detta. Alltså att gör man något ”för säkert” så orkar man till sist inte och det slutar med att man antingen blir väldigt oproduktiv eller att man får ett mindre säkert system genom att inte ta varningar och sådant på allvar eller stänger av det helt.
Som jag nämnt tidigare så lagras alla dina lösenord i en krypterad databas, jag har lagt denna databas i min Dropbox mapp och det innebär att jag har tillgång till den överallt. Så om man är någonstans och desperat måste ha tag i ett lösenord så går det lösa. Och som sagt om man har mer än en dator så har man sina lösenord på samma ställe.
Nackdelar
Vad jag vet finns det ännu inget sätt att använda sin KeePass databas på t.ex sin iPhone. Dock verkar det finnas ett lovande projekt på gång som heter iKeepass och som kanske kan lösa detta. Har inte läst på så noga om implementationen och jag vet inte ens om det är möjligt att göra något i stil med ”Auto Type” funktionen på en iPhone men det vore ju trevligt.
En annan nackdel är ju som sagt också att det är lite av en tröskel att gå ifrån det väldigt smidiga men väldigt osäkra systemet i Firefox till KeePass. Men som sagt var. Vill man vara säker så blir det ju alltid lite krångligare.
Alternativ till KeePass
Innan jag valde KeePass så prövade jag RoboForm vilket jag verkligen inte gillade. Det buggade med Firefox och det kändes oprofessionellt rent generellt med ett fult gränssnitt och man fick spyware vibbar på det, vilket det inte är ska påpekas. Men designen gav det intrycket. Men det finns andra som gillar det så jag ville nämna det.
För Mac är programmet 1password helt dominant som jag har förstått det. Markus har lovat att skriva ett längre inlägg om det snart.
Andra tips för att hantera lösenord
- Om du inte orkar med KeePass så sätt i alla fall ett ”Master” lösenord i Firefox. Du hittar det under fliken Säkerhet bland inställningarna. Detta gör att om din dator skulle bli stulen eller liknande så kan folk i alla fall inte komma åt dina lösenord i Firefox.
- Som jag skrev tidigare, har du svårt att komma ihåg ett lösenord. Skriv det på en lapp i plånboken utan att associera det med något. Efter ett tag kan du det i huvudet och kan riva sönder lappen.
- Ju längre lösenord desto säkrare. Som jag har förstått det så är hejjagheterolaochjagborigöteborghejdå ett säkrare lösenord än ”sd%Y/a”. Rätta mig gärna om jag har fel.
Länkar: KeePass, ClockWork Firefox to KeePass converter, Hostname in title bar
Mer hos Ohsohightech
- Säkerhet och Lösenordshantering av Ola, tisdag, 15 januari 2008
- Sxipper ordnar bättre lösenordhantering i Firefox av Ola, tisdag, 05 maj 2009
- Lösenordshantering i alla webbläsare inklusive Chrome, Safari, iPhone och IE av Ola, onsdag, 05 augusti 2009
- Tvinga firefox att komma ihåg lösenord av Ola, fredag, 16 maj 2008
- Spotify varnar för stulna lösenord av Ola, onsdag, 04 mars 2009
Jag använder programmet Handy Safe (http://se-p990-software.epocware.com/Handy_Safe.html) som är en mobilklient med möjlighet att synka med desktopklienten. Det har inte samma användarvänliga day-to-day användande KeePass verkar ha. Men det fungerar som lagring för uppgifter som kan vara bra att ha med sig hela tiden.
Ola: Sista påståendet om längden på lösenord stämmer inte iallfall inte om man räknar med tankesättet att det är en ”dator” som knäcker lösenordet. Ju mer varierat desto bättre.
Prova själv på:
http://www.passwordmeter.com/
Personligen så har jag gjort ett system som gör att jag endast behöver komma ihåg 2 bokstäver (första och sista bokstaven på sidan, i detta fall OH) och sen en kombination med versaler och siffror som sammanlagt blir 12 tecken. Så på det sättet får man olika lösenord på alla sidor samt det är lätt att komma ihåg. Sen så när det blir hackat så ser det väldigt konstigt ut så det är inte det lättaste att lista ut att de två bokstäverna i mitten styr allt annat.
Förutom nu när du sagt det här ;)
Men det var ett bra tips. Ska nog fundera lite på något sånt.
Bra tips!
Det viktigaste är att man har något system för att hantera lösenord. Själv kör jag SuperGenPass (http://supergenpass.com/), vilket helt enkelt är ett bookmarklet som på ett smart vis kombinerar ens huvudlösenord med namnet på domänen man besöker, för att till slut komma fram till en hash av valfri längd.
Jag har alltså ingen aning om vilka lösenord jag använder, men jag vet a) att de extremt säkra mot både dictionary- och brute force-attacker, samt b) att inget lösenord förekommer på mer än ett ställe. Jag hostar JS-filen själv, för att vara säker på att inget fuffens föresegår.
En enkel, men säker lösning, som funkar där Javascript gör.
HÄR https://addons.mozilla.org/en-US/firefox/addon/9231 finns en bra addon för keepass.
Fredrik: Men du måste knappa in ditt master password varje gång du ska använda bookmarkleten (jobbigt ord hehe) då? Om du nu inte sparar lösenorden i FF men där tappar man ju lite säkerhet igen? Förklara lite mer :)
Stefan: Har du kanske rätt i men jag vet ifan alltså, sen är nog å andra sidan ”bruteforce” attacker extremt ovanliga mot enskilda vanliga användare? Känns som det finns enklare sätt att hacka folk på nåt sätt. Är väl framförallt siteägare som har ett ansvar och det är ju jag så ;)
Colin: Jag nämner den i artiklen :)
@Ola: När man genererar bookmarkleten (hmm…) så kan man välja att baka in ens master password, så att man aldrig behöver skriva in det. Men det valde inte jag, så jag måste mycket riktigt skriva in mitt lösenord varje gång. …Om jag inte hade sparat lösenorden i Firefox. ;-)
Risken för en lokal attack som lyckas stjäla lösenord från Firefox känns ganska liten. Är man orolig för det kan man ju förse Firefox med ett eget lösenord, som då krävs för att komma åt de sparade. För även Firefox lagrar lösenorden krypterade (vet ej vilken algoritm som används). Ett elakt program skulle lika gärna kunna utformas för att sno lösenord från KeePass (eller vilket program som helst).
Ovanstående gäller dock min stationära burk. Mina laptops har inga sparade lösenord (det är mitt mål iaf), eftersom stöldrisken där är betydligt högre.
(För att klargöra: Den JS-fil jag nämnde i förra inlägget behövs egentligen varken för Firefox eller övriga webbläsare som inte är IE – eftersom hela scriptet lagras som bokmärke. Jag sparade filen eftersom jag inte vill vara beroende av supergenpass.com för att skapa nya bookmarklets.)
Fredrik: Okej, det blir ju lite krångligare som sagt att man måste skriva i sitt lösenord varje gång då :) Och det blir ju förstås osäkrare om du bakar in ditt lösenord i filen för får någon tag i den filen då så är man ju rökt. Men som sagt var .. risken är ju större att nån hackar en site du besöker och då har dom ju inte dina lösenord så det är ju rätt safe.
Nackdelen med att ha ett masterpassword i Firefox är ju att man måste knappa in det varje gång man startar FF medans om man använder t.ex KeePass så behöver du bara skriva i det när datorn startar .. sen har man ju iofs .. ”glömma laptopen på kaffe risken” .. jaja
Man kan aldrig bli helt safe och både din lösning och en lösning med typ KeePas (eller som som Onormal kör) är ju fan så mycket säkrare än att ha ”banan” som lösenord överallt :)
Jag kör stenhårt med KeePass och som mobilt alternativ så har jag KeePass for J2ME, http://keepassserver.info/ på min mobil (som INTE är en iphone).
Den kan bara visa dina lösenord, men det är väldigt skönt att veta att jag alltid har alla lösenord med mig. Jag har även portkoder och annat i KeePass som jag inte måste ha en dator för att använda…
Jag använder inte firefox-pluginet ”Hostname in title bar” trots sin fördel så gör den att mina auto-type inte fungerar i andra webläsare. Jag kör nämligen KeePass på ett USB-minne som jag stoppar in i den dator jag f.n. sitter framför.
Opaoc: Nice!
As kul med så mycket kommentarer. Posten är riktigt bra nu :) Måste kolla upp det här med KeePass och iPhone lite mer :)
Jag har kört med denna typen av lösning ett tag.
Jag har dock problem med att få auto-type att fungera bra. Vissa sidor fungerar och vissa gör det inte. Jag skulle bli skitglad om du skulle kunna skriva en liten guide för hur man gör en auto-type inloggning till t.ex. facebook.
Tack på förhand och för trevlig läsning!
brytarn:
För mig funkar det bra. Ett tips är som sagt att kolla denna plugin.
https://addons.mozilla.org/en-US/firefox/addon/9231
Då får du sidans domännamn i adressfältet, då kan du lägga.
Auto-Type: {USERNAME}{TAB}{PASSWORD}{ENTER}
Auto-Type-Window:*facebook.com*
Där i inställningarna i KeePass. Borde funka, funkar för mig :)
man behöver inte lägga
Auto-Type: {USERNAME}{TAB}{PASSWORD}{ENTER}
Auto-Type-Window:*facebook.com*
varje gång det funkar utan den ochså..
och föratt det ska vara ännu säkrare jag tycker man ska göra som det står här
http://lifehacker.com/5063176/how-to-use-dropbox-as-the-ultimate-password-syncer
föratt tänk om det inte går att starta datorn imorgon när du trycker på start knappen då är alla dina lösenord är borta :)
Colin: Visst ja, tyckte jag läste nånstans att username tab password tab enter är standard och det är bara om man ska frångå det man behöver peta in det.
Men det där Auto-Type-Window:*facebook.com* behöver man väl?
Och Dropbox skrev jag i artikeln att jag la min passwordfil i. Men tack för tipset ändå :)
Det viktigaste är att skriva titel rätt jag använder ‘Hostname in Title bar’ så exp: Titel:facebook.com så skriver jag då hittar keepass lösenordet..
Nu fick jag det att funka! Jag hade ”Hostname in titlebar” sedan tidigare men hade skrivit fel i Title-fältet. När jag skrev sv-se.facebook.com i ”Title:” så fungera det.
Jag trodde att Title var titeln för själva nyckeln och att man sedan kunde använda Auto-Type-Window för att definiera vilket fönstret var.
Nu fungerar det med fälten Title, username och password ifyllda.
Tack för hjälpen!
Jag har inte brytt mig så mkt om lösenord innan, men jag inser nu att jag borde skärpa mig.
Det är äppledata som gäller, och jag snubblade nyss över ett program som onekligen gav mig ett gott första intryck. Det heter Wallet och kommer från Acrylic Software. Tydligen synkar det på ett enkelt sätt med andra datorer och iPhones. Det har en ”autofill”-funktion, som visserligen bara fungerar med Safari, och det kostar 20 dollar. Telefonversionen kostar 4 dollar.
Kolla på:
http://www.acrylicapps.com/wallet/
Jag har använt KeepassX (Keepass för mac) men har inte varit nöjd med integrationen med firefox och nu i veckan bytte jag till Lastpass, vilket har funkat perfekt.
Säkerheten kan kanske diskuteras eftersom lösenorden sparas på nätet men då bara i krypterad fårm så klart. De sparar inte ens lösenordet, av säkerhetsskäl.
Kolla in: http://lifehacker.com/5041463/lastpass-saves-and-syncs-passwords-between-all-your-browsers