Alla kan använda en lösenordhanterare – så här gör du!

Security

Hur kan det här fortfarande vara ett problem?

De flesta människor är medvetna om att deras lösenordssäkerhet är ett problem, eller åtminstone någonting de bör tänka på. En amerikansk undersökning som har fyra år på nacken sa att 73 procent av konsumenterna var medvetna om vikten av att använda starka lösenord. Och det här var innan de massiva läckorna som drabbade Yahoo, LinkedIn och flera andra stora webbtjänster.

Så, om alla vet att det är viktigt. Hur kommer det sig att Mark Zuckerberg har fortsatt använda ”DaDaDa” som sitt lösenord till en massa tjänster? Hur kommer det sig att ”123456” och ”password” fortfarande är de i särklass mest använda lösenorden i de läckor som blivit offentliga? Antagligen beror det på att ”känna till problemet” inte är samma sak som att ”veta vad man ska göra åt problemet”.

Förvirrande säkerhetsråd

En anledning till att det ser ut så här – att vi så krampaktigt håller fast vid våra dåliga lösenord – är att de råd som cirkulerar om hur man skaffar sig ett bättre lösenord är förvirrande, svåra att begripa, svåra att efterleva eller bara helt enkelt fel. Här är några saker som du inte behöver göra (faktiskt inte ens borde göra!) men som ofta ges som ”bra råd” till allmänheten:

  • Tänk ut ett slumpmässigt långt lösenord med blandade tecken, bokstäver, siffror, gemener och versaler för alla enheter och tjänster du använder. Ju längre desto bättre.
  • Ändra dina lösenord ofta!
  • Använd din webbläsare för att komma ihåg dina komplicerade lösenord åt dig.

 

LÖSNINGEN

Men vad ska man egentligen göra? Långa lösenord är de facto bättre än korta och att man inte ska återanvända lösenord på flera platser är också ett bra råd. Lösningen är att lägga ut lösenordshanteringen på någon annan. Människor är synnerligen usla på att komma ihåg saker (åtminstone om man jämför med en dator, och inte en guldfisk) och dessutom väldigt dåliga på att bevara hemligheter.

Att lägga ut ansvaret på en tillförlitlig lösenordshanterare betyder att du lämnar över ansvaret för allt det där som du, i egenskap av människa, inte är särskilt bra lämpad till åt någon annan.

Och faktum är att det ofta är så här artiklar om lösenord slutar, åtminstone nu för tiden: Skaffa en lösenordshanterare!

Det är egentligen synd att de tar slut där, för jag har träffat på många smarta och datorkunniga personer som tagit till sig av det här rådet och installerat en lösenordshanterare. För att sedan aldrig komma igång med att använda den. Dels för att de inte har koll på hur de ska göra, men också för att de inte har koll på vilka vanor de behöver ändra för att få in den i sin vardag.

Den här artikeln är tillägnad dessa personer, och jag har en känsla av att det finns väldigt många av er därute. Jag kommer att använda den lösenordshanterare jag själv använder som exempel – F-Secure KEY.

Att installera den på en enhet är gratis, men det är inte särskilt dyrt att skaffa en licens som täcker in alla dina enheter. Och om din mobiloperatör eller internetleverantör redan är partner med F-Secure så kan du ofta få ett ännu bättre pris.

Tillit: Viktigt

Innan vi börjar så ska vi ta itu med de två kanske viktigaste frågorna:

  1. Varför ska du lita på mina råd, när det gäller dina lösenord – som är nyckeln till hela din digitala existens?
  2. Varför ska du lita på en produkt från F-Secure för att skydda din information, och lita på att den aldrig kommer att exploatera din personliga integritet till förmån för profit?

Dina lösenord kan öppna allt från din inkorg till din internetbank, de kan användas för att utge sig för att vara du i sociala medier och stjäla alla dokument du laddat upp i molnet. De är som en kombination av dina hemnycklar och din plånbok och de skulle du inte bara lämna ut till något okänt företag för att ”de ska vara säkra”.

Så vem är då jag? Jag har jobbat inom IT sedan jag var 15 år gammal och redan då var jag fascinerad av informationssäkerhet och integritetsfrågor. Mitt första lösenord innehöll de första tio siffrorna i Avogrados tal, bland mycket annat. Jag har aldrig återanvänt ett lösenord, jag har aldrig använt ett svagt lösenord. Jag har använt någon form av system för att hantera mina lösenord i snart 25 år.

Sammanfattningsvis, jag gör mycket mer än vad som krävs av någon normal (frisk?) människa. Tidigare har jag bara använt lösenordshanterare som varit frikopplade från nätet, men nyligen tog jag steget över till F-Secure KEY. Jag hade i huvudsak tre skäl till att jag bytte:

Skäl 1: Jag höll mina lösenord offline för att jag aldrig hade sett en lösenordshanterare eller en leverantör av den typen av tjänst som jag kände var tillräckligt trovärdig för att ge dem tillgång till säkerhetskopior, webbläsarbaserad ifyllning av inloggningsinformation eller någon form av synkronisering mellan enheter.

Men när jag studerade F-Secures lösning så upptäckte jag för första gången en produkt som tagit sig an de här frågorna på ett trovärdigt sätt. Till exempel har F-Secure vägrat att implementera en del användarvänliga funktioner som att lagra alla lösenord i en lättåtkomlig webbportal.

Skäl 2: Ett annat skäl är att jag inte känt att jag kunnat lita på att leverantörerna inte byggt in någon form av bakdörr för att komma åt de lagrade lösenorden, och att de inte exploaterat mina data för att tjäna pengar. Den typen av mekanismer går ofta att utnyttja och utgör ofta oacceptabla attackytor – särskilt när det handlar om lösenord, mina kanske viktigaste handlingar.

I F-Secure hittade jag en leverantör som tog de här frågorna på allvar och som skapade ett system som i princip gjort det omöjligt för dem att bygga in en bakdörr eller exploatera mina data.

Skäl 3: Tidigare använde jag ett manuellt system för att hantera mina lösenord. Det krävde en avsevärd insats och med F-Secure KEY behöver jag inte ta hand om säkerhetskopior själv och jag har fått ett bättre skydd mot tillfälliga minnesförluster. Den dagliga användningen av lösenord har helt enkelt blivit oerhört mycket enklare.

Något som INTE varit ett skäl till mitt byte är att jag numera jobbar på F-Secure som säkerhetskonsult. Varför är det inte ett skäl? För att jag helt enkelt aldrig skulle lämna ut min privata information till en leverantör och en produkt jag inte litade på till hundra procent. Min personliga säkerhet och min privata integritet är helt enkelt oerhört mycket viktigare än att visa lojalitet till en arbetsgivare genom att använda eller rekommendera deras produkt.

Och även om du nöjer dig med att använda gratisversionen av KEY, som fungerar på en enhet, så är det inte så att den är gratis av samma anledning som många andra tjänster på internet är gratis: att du betalar med din information och integritet. F-Secure KEY är gratis för att F-Secure tycker att det är ett viktigt område, att man helt enkelt bidrar med något positivt till samhället. Dessutom är vi övertygade om att du kommer att tycka så mycket om KEY att du tar steget över och blir en betalande användare för att kunna använda tjänsten på alla dina enheter.

 

Första installationen (Windows)

Det var en lång inledning, jag vet. Men nu är den över och vi kan börja titta på hur du går tillväga för att börja förbättra och skydda dina lösenord med F-Secure KEY.

Installationen fungerar som de flesta andra program, och vi kommer att titta närmare på Windows och Android eftersom det är de populäraste plattformarna. Men KEY fungerar såklart på Iphone/Ipad och Apple Mac också.

Börja med att gå in på F-Secures hemsida, ladda ner KEY och kör installationsprogrammet:

När du laddat ner programmet och kört programmet bör det se ut ungefär såhär:

Klicka på ”Create Master Password” för att skapa ett av få lösenord som du kommer att behöva hålla i huvudet från och med nu. De enda lösenord jag själv har utanför KEY är de som dekrypterar min PC, det som låser upp min dator och det som låser upp min Iphone. Resten lagras i lösenordshanteraren och jag behöver varken känna till dem eller komma ihåg dem.

Det är totalt fyra lösenord, och det är mycket lättare att komma ihåg! Men det är viktigt att inte använda något av dem någon annanstans, inte på internet och inte i någon annan applikation – och inget av dem delar jag någonsin med mig av till någon annan människa.

Här matar du in ditt viktigaste lösenord, två gånger för att säkerställa att det är rätt:

Hur gör man då för att välja ”master password”? Du kommer inte att komma ihåg ett långt, slumpmässigt lösenord fullt av siffror, gemener och versaler och specialtecken. Och det behöver du inte göra. Det är bara tokfransar som jag som gör det. J

Den enklaste säkra metoden är att skapa en lösenordsfras som du kan komma ihåg, men som inte går att koppla samman med dig som individ. Ju fånigare desto bättre – eftersom det kommer att fastna i ditt minne utan alltför mycket ansträngning. Ett klassiskt exempel i det här sammanhanget kommer från XKCD: ”CorrectHorseBatteryStaple”. (använd inte just det, det finns i lösenordsdatabaser världen över, använd metoden för att hitta på något eget!).

Sedan är KEY redo för användning:

Oroa dig inte för att glömma bort ditt lösenord: QR-kod

Vi börjar med några enkla saker som du antagligen bara kommer att behöva göra en enda gång – gör dem direkt så kan du glömma bort att du gjort dem sedan.

Den första uppgiften är att skaffa ett sätt att få tillbaka åtkomsten till KEY om du glömmer bort ditt lösenord. Det första sättet är att skapa en QR-kod som du kan skriva ut och förvara på ett säkert ställe.

Gå till ”Settings” och välj ”Create recovery code”:

Spara filen och skriv ut den:

Spara inte filen på den enhet som du har installerat KEY på. Antingen så skriver du ut en kopia och förvarar på en säker plats, eller så sparar du själva filen på en annan enhet som du litar på – kanske hos en familjemedlem som bor någon annanstans.

QR-koden ger dig bara tillgång till ditt konto från en enhet som du redan har använt ditt KEY-konto på, och bara efter att du låst upp enheten. För du använder väl ett lösenord för att låsa dina enheter? J

 

Särkehetskopior: viktigt!

Nu ska vi förbättra skyddet och samtidigt göra ditt liv lite, lite enklare. Vad händer om din dator försvinner, om den blir stulen, slutar fungera eller brinner upp? Samma sak som skulle hända idag när du inte använder någon lösenordshanterare: dina lösenord och konton försvinner för alltid. Och det är ju inte bra.

Lösningen är enkel: Installera F-Secure KEY på fler enheter och synkronisera alla lösenord till dem. Ju fler enheter desto bättre och helst ska det vara på så många enheter att de inte alltid befinner sig på en och samma plats. Det är med andra ord precis som med vilken säkerhetskopia som helst.

För att komma åt den här funktionen så behöver du aktivera premiumversionen av KEY, som gör det möjligt att ta säkerhetskopior av dina uppgifter och synkronisera till andra enheter. Gå till ”Subscription” och välj hur du vill uppgradera:

”Choose a provider” gör att du kan se om din operatör/leverantör har ett avtal med F-Secure och om du kan få rabatt den vägen. Om inte så kan du köpa en licens direkt från F-Secure med ”Buy a subscription”. Om du redan har köpt en licens, eller fått en kupong som present så kan du knappa in dem via ”Have a voucher?”.

Installera och synkronisera en andra enhet (Android)

Nu när du blivit premiumanvändare (grattis!), så är det dags att installera och synkronisera till din Android-enhet. KEY finns i Google Play Store, sök bara efter ”fsecure key” och installera:

Öppna KEY på enheten och hoppa förbi hjälpavsnittet fram till inloggningssidan:

Att komma igång med en andra enhet är ännu enklare än att installera på den första. Klicka på ”Connect devices” för att anslut din Android-enhet med PC:n du precis kom igång med:

Koden du behöver hämtar du på den enhet du installerat KEY på sedan tidigare (en Windows-PC i det här fallet) – gå till ”Connect devices” och mata in koden som står mitt i fönstret på din Android-enhet och klicka på ”Connect”:

För att slutföra sammankopplingen så måste du mata in ditt ”master password”. Sedan är allt synkroniserat och klart.

Observera att KEY kommer att låsa dina lösenord automatiskt efter fem minuters inaktivitet. Du behöver helt enkelt mata in ditt ”master password” för att komma åt dem. Du kan ställa in KEY att vänta längre än så – upp till en vecka – men jag rekommenderar att du håller dig till fem minuter: du vill inte att någon som lyckas komma in på din enhet även lyckas komma åt alla dina lösenord. Jag är till exempel rätt säker på att det händer att du glömmer att låsa skärmen på din jobbdator när du går iväg och hämtar kaffe. Eller tänk på vad som skulle hända om din telefon blev stulen med skärmen av upplåst.

LOGIN: Lägg till KEY i din webbläsare

Ett sista steg innan det är dags att börja mata in lösenord är att lägga in ett tilläggsprogram i din webbläsare som gör det snabbt och enkelt (OCH SÄKERT) att fylla i lösenord. Det här är valfritt, men det gör det betydligt smidigare att använda KEY. Sett till säkerheten så har det både fördelar och nackdelar, och det är något som jag alltid undvikit med andra lösenordshanterare.

Men efter att jag undersökt hur F-Secure lagt in den här funktionaliteten så har jag valt att lita på den för mina privata lösenord också. Du kan fortfarande använda KEY utan att installera ett tilläggsprogram i din webbläsare, på samma sätt som jag gjorde förut – att använda en tillfällig kopiera och klistra in för hand.

Gå till ”Settings”, markera de två rutorna där det står ”Autofill”. Du kommer sedan att se knappar för att installera tilläggsprogrammet – klicka på knappen för din webbläsare och den kommer att startas och gå till en sida för nedladdning av KEY. Installationen skiljer sig inte från andra insticksprogram:

När installationen är klar så behöver du auktorisera tilläggsprogrammet – klicka på KEY-ikonen i högst upp till höger i ditt webbläsarfönster och klistra in auktoriseringskoden som finns längst ner på ”Settings”-sidan i KEY:

Nu är allt klart. Dags att mata in dina lösenord!

Lägga till ett existerande lösenord: Gmail

Förhoppningsvis så har du inte ett och samma lösenord på alla tjänster (mycket dålig idé!), men om du hade haft det så hade den här delen av processen gått mycket snabbare. Första steget i att börja använda en lösenordshanterare är att fylla i dina befintliga lösenord. Gå till ”Passwords” och lägg till ditt första konto – i det här fallet ett Gmail-konto – genom att klicka på den stora plus-knappen:

Det är en god idé att ge kontot en bra titel, det kommer att underlätta betänkligt när du har dussintals, rentav hundratals, lösenord att hålla koll på. Du bör också fylla i en loginsida för tjänsten, så att tilläggsprogrammet för webbläsaren automatiskt kan plocka fram rätt lösenord åt dig när du besöker den sajten.

Det här ger ytterligare en fördel eftersom det skyddar dig mot de flesta försök till nätfiske. KEY kommer inte att föreslå ditt Gmail-lösenord på en falsk login-sida – även om du klickade in på sidan av misstag.

”Save”. Och grattis. Du har lagt till ditt första lösenord. Det var väl inte så svårt?

Nu är det bara att fortsätta och lägga in alla lösenord du vill ha i lösenordshanteraren. Och när du är klar kan du ta bort alla papper och digitala dokument du använt för att lagra dem. Och om du använt den inbyggda lösenordsfunktionen i webbläsaren kan du rensa bort dem därifrån också.

Att logga in

Nu när du har några lösenord är det dags att testa att logga in på ett av dina konton. Gå till sidan för att logga in (till exempel Gmail), precis som du brukar och du kommer att se KEY:s magiska blå knapp i fältet där man fyller i inloggningsuppgifter:

Om du ser en liten orange prick i det blåa så betyder det att KEY är låst. Då är det bara att starta KEY och logga in med ditt ”master password” och gå tillbaka till Gmail. Den orangea varningen är borta:

Klicka på knappen och du kommer att få upp de inloggningsuppgifter som finns lagrade i KEY för den aktuella sajten. Klicka på det konto du vill logga in med och KEY kommer att fylla i uppgifterna och logga in åt dig:

Om du inte installerade ett tilläggsprogram i din webbläsare, eller om du befinner dig på en sajt där KEY inte kan hämta rätt lösenord automatiskt så kan du enkelt kopiera lösenordet från KEY. Sök bara upp kontot, öppna det och klicka på ”Copy”:

Sen är det bara att klistra in det i Gmail och logga in precis som vanligt:

Oavsett vilken metod du föredrar så är processen busenkel. Och från och med nu kommer du aldrig mer att behöva lägga energi på att komma ihåg det här lösenordet.

Att skapa ett nytt konto

Men om du går in på en ny sajt eller börjar använda en ny tjänst och skapar ett konto för första gången? Som exempel skapar vi ett konto på Kickstarter. Processen är i princip den samma som när du la in dina existerande lösenord – lägg till ett nytt ”Password” i KEY och fyll i all information förutom lösenordet:

När du är redo, klicka på tärningen bredvid lösenordet, det aktiverar den inbyggda lösenordsgeneratorn i KEY – du behöver nämligen inte komma på dina egna lösenord längre, det gör KEY åt dig. Jag väljer alltid att använda ett så längt lösenord som möjligt, för att det aldrig kan skada. När du är redo, klicka på ”Use” och lösenordsfältet fylls automatiskt i:

Spara lösenordet och klicka på ”Copy”, precis som tidigare och gå till Kickstarter-sajten och klistra in lösenordet. Det är allt som krävs:

Gör de varje gång du skapar ett nytt konto. Dina lösenord kommer alltid att vara unika, starka och redo att användas utan att du behöver ägna en tanke åt att komma ihåg något av det.

Att ändra ett lösenord

Nu när du är en ninja på att hantera dina befintliga lösenord, så är det dags att börja fundera på hur du kan förbättra dina befintliga lösenord – särskilt viktigt om du använt samma lösenord på flera platser. Börja med dina viktigaste konton och gå igenom den ett efter ett:

  • Gmail och andra e-posttjänster: eftersom många tjänster och appar använder e-postadressen för återställning av lösenord kan ditt e-postkonto användas för att komma åt de flesta av dina tjänster.
  • Amazon och andra e-handels och banktjänster: Den som kommer in här kan få tillgång till dina kortuppgifter och beställa saker i ditt namn.
  • Icloud och andra backuptjänster i molnet: Den som kommer in här får tillgång till samtliga filer som du laddat upp till molnet – hela ditt digitala liv!
  • Facebook, Instagram och andra sociala tjänster: Här finns drivor och åter drivor av privat information och låter den som kommer in där utge sig för att vara du inför dina vänner och familj. Dessutom använder många Facebook och Twitter för att logga in på andra tjänster och appar.
  • Andra konton

Tanken är att antingen skapa ett separat konto i KEY för var och en av tjänsterna (om du använt samma lösenord på flera tjänster), eller att byta varje lösenord till något starkare (om du använt unika lösenord, men kört generiska och svaga varianter som DaDaDa och 123456).

Att ändra lösenord skiljer sig åt mellan olika tjänster, men du kan i regel hitta det i dina konto- eller säkerhetsinställningar. Vanligtvis blir du ombedd att mata in ditt befintliga lösenord när du ska byta – och det vet du ju redan hur du ska göra! Här är hela processen för Gmail:

Välj ”Copy” för att hämta ditt befintliga lösenord från KEY och när den ber dig mata in ditt nya lösenord två gånger.

Och ditt nya lösenord är såklart det som du låter KEY generera åt dig. Du vet redan hur du skapar ett nytt konto i KEY, och hur du skapar ett lösenord – det här ungefär samma process! Hitta kontot, klicka på ”Edit”:

Nu gör samma sak för att skapa ett nytt lösenord, spara det nya och klicka ”Copy”. Det är enkelt!

Är vi färdiga? Inte riktigt! Vi har bara ändrat lösenordet i KEY, vi måste ändra på Gmail också:

Nu var vi färdiga! Grattis, nu är du inte bara en ninja på det här med lösenordshantering  – du har också unika och starka lösenord till samtliga konton.

Här är de vanor som du just lärt dig och kommer att göra till en del av din vardag:

  • Varje gång du loggar in på en tjänst, på din dator eller från en mobil enhet, så kommer du att använda lösenordshanteraren.
  • Du kommer att ha lösenordshanteraren låst när du inte använder den och använda ditt ”master password” för att låsa upp den.
  • Varje gång du registrerar dig för en ny tjänst kommer du att använda din lösenordshanterare.
  • Varje gång du hör talas om en ny stor läcka av lösenord så kommer du att bara ändra lösenord för den enda tjänsten och fortsätta med ditt liv som om ingenting har hänt.
  • Varje gång du skaffar en ny dator, mobil, eller surfplatta så kommer du att installera och synkronisera KEY för att få enkel tillgång till samtliga lösenord (och för att få ytterligare en säkerhetskopia av dina lösenord)!
  • Du kommer bara att mata in ditt ”master password” i KEY – aldrig på någon hemsida och aldrig i någon annan applikation.
  • Om någon av dina enheter blir stulen, slutar fungera eller på något sätt blir förstörd så kommer du snabbt och enkelt att installera och synkronisera KEY till en ny enhet. Om detta händer så skulle jag också ändra ”master password” i KEY. Bara för att vara på den säkra sidan.

Så enkelt var det. Det här är vad säkerhetsexperter menar när de ger sitt absolut bästa råd för bättre lösenord och säger ”använd en lösenordshanterare”!

//Fennel Aurora, @FennelAurora på Twitter

 

Betygsätt den här artikeln

0 röster

0 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: