Vad är en lösenordshanterare?
en gång i tiden, under de första åren av Internet, kan du ha haft en handfull lösenord för några viktiga webbapplikationer som du använde för att handla, studera, hålla kontakten och få arbete gjort. Idag är sakerna mycket mer komplicerade. En 2017—rapport från LastPass fann i genomsnitt att folk var tvungna att komma ihåg 191 olika lösenord—bara för arbete-för att inte tala om deras personliga lösenord.medan tekniken lovar att göra våra liv enklare, och det gör det i allmänhet, är varje ny webbplats och applikation vi registrerar oss för ett annat lösenord vi måste komma ihåg. För de flesta har det blivit omöjligt att komma ihåg dem alla. Google Online Security Survey 2019 fann att 52 procent av de svarande återanvände samma lösenord för flera (men inte alla) konton. Detta är ett stort nej-nej.
med hjälp av gigantiska listor över stulna lösenord (aka ”dumps”) som köpts av den mörka webben kan cyberbrottslingar brute tvinga sig in på andra webbplatser eller använda gamla lösenord för att utpressa användare i bedrägerier. Detta är dataintrång dominoeffekt. Ett brott leder till en annan och en annan och så vidare.
enligt Verizon Data Breach Investigations report 2019 orsakas 80 procent av dataöverträdelser av komprometterade, svaga och återanvända lösenord.
Så, hur kom vi hit, och vad kan vi göra åt det?
den berömda xkcd web comic” Password Strength ”förklarade det bäst:” genom 20 års ansträngning har vi framgångsrikt utbildat alla att använda lösenord som är svåra för människor att komma ihåg, men lätt för datorer att gissa.”
det är sant. För 20 år sedan uppmanade cybersäkerhetspersonal konsumenterna att inte ändra standardlösenord på IoT-enheter (som din internetrouter) eller använda lätt att gissa lösenord som ”12345” eller ”lösenord”. Ur detta kom det långa och starka lösenordet xkcd pokes kul på: ett vanligt ord med en blandning av stora och små bokstäver, minst ett nummer och en symbol.
När du skapar ett nytt konto kräver webbplatser att vi skapar långa och starka lösenord. Om det misslyckas får vi inte ens göra ett konto. Förutsatt att man kommer förbi kontoskapningsfasen, kommer du snabbt att glömma Enigma-maskinen cypher du just gjort och avgå dig själv med att använda ”Glömt Lösenord?”länk som ditt dagliga Inloggningsalternativ.
lyckligtvis behöver du inte komma ihåg alla dessa lösenord. En lösenordshanterare kan komma ihåg dem åt dig.
Malwarebytes Labs definierar en lösenordshanterare som ” ett program som är utformat för att lagra och hantera online-referenser. Det genererar också lösenord. Vanligtvis lagras dessa lösenord i en krypterad databas och låses bakom ett huvudlösenord.”
När alla dina användarnamn och lösenord har matats in i valvet är ditt huvudlösenord det enda du måste förbinda dig till minnet. Att ange ditt huvudlösenord låser upp ditt lösenordsvalv, och från ditt valv kan du sedan Hämta vilket lösenord du behöver.
vilka är fördelarna med att använda en lösenordshanterare?
du behöver inte memorera alla dina lösenord längre. Du behöver bara komma ihåg huvudlösenordet som låser upp ditt lösenordsvalv. Och om du väljer en molnbaserad lösenordshanterare kan du komma åt ditt lösenordsvalv var som helst, från vilken enhet som helst.
de kan automatiskt generera mycket säkra lösenord för dig. Lösenordshanterare frågar vanligtvis om du vill använda ett automatiskt genererat lösenord när du skapar ett nytt konto med en webbplats eller ett program. Dessa slumpmässiga lösenord är långa, alfanumeriska och i huvudsak omöjliga att gissa.
de kan varna dig för en phishing-webbplats. Här är en snabb glans på phishing-bedrägerier. Skräppostmeddelanden är förfalskade eller förfalskade för att se ut som om de kommer från en legitim avsändare, som en vän, familjemedlem, kollega eller organisation du gör affärer med. Länkar som finns i e-postmeddelandet direkt till liknande falska skadliga webbplatser som är utformade för att skörda inloggningsuppgifter. Om du använder en webbläsarbaserad lösenordshanterare kommer den inte automatiskt att fylla i användarnamnet och lösenordsfälten eftersom den inte känner igen webbplatsen som den som är knuten till lösenordet.
de kan hjälpa dina förmånstagare när du går bort. Detta kallas ett digitalt arv. I händelse av din död kommer din familj eller den du utser för att administrera din egendom att få tillgång till ditt lösenordsvalv.
lösenordshanterare sparar tid. Utöver att bara lagra lösenord för dig, fyller många lösenordshanterare också automatiskt uppgifter för snabbare åtkomst till onlinekonton. Dessutom kan vissa lagra och automatiskt fylla namn, adress, e-post, telefonnummer och kreditkortsinformation. Detta kan vara en enorm tidsbesparing när du till exempel handlar online.
många lösenordshanterare synkroniseras mellan olika operativsystem (operativsystem). Om du är en Windows-användare på jobbet och en Mac-användare hemma, hoppa på din Android måndag till fredag och vänd dig till iOS på helgerna, kan du snabbt komma åt dina lösenord oavsett vilken plattform du är på. Ditto för alla de mest populära webbläsarna; dvs Chrome, Firefox, Edge, Internet Explorer och Safari.
de hjälper till att skydda din identitet. På ett rondell sätt hjälper lösenordshanterare att skydda mot identitetsstöld, och här är varför. Genom att använda ett unikt lösenord för varje webbplats segmenterar du i huvudsak dina data över varje webbplats och applikation du använder. Om en brottsling hackar ett av dina konton kommer de inte nödvändigtvis att kunna komma in i någon av de andra. Det är inte idiotsäkert, men det är ett extra lager av säkerhet som du säkert kommer att uppskatta i efterdyningarna av ett dataintrång.
är lösenordshanterare säkra?
lösenordshanterare har hackats, men deras övergripande rekord när det gäller att säkra användardata är mycket bra.
lösenordshanteraren LastPass drabbades av ett dataintrång 2015. Under överträdelsen gjorde cyberbrottslingar av med användaremail men lyckades inte stjäla några lösenord. Även om de gjorde det, använder de flesta lösenordshanterare, inklusive LastPass, hardcore militärkryptering för att hålla lösenord säkra.
jämför detta med Facebook, Google och Twitter. Alla tre tekniska jättar har medgett att oavsiktligt lagra användarlösenord i vanlig, läsbar text-ingen kryptering att tala om-för några av sina användare, går tillbaka flera år. Och i fallet med Google, hela vägen tillbaka till 2005. Såvitt någon vet, blev inget av lösenorden stulna, även om Google reset påverkade lösenord” av ett överflöd av försiktighet ” omedelbart efter att ha upptäckt sitt misstag.
Senaste nytt om lösenordshanterare
När kan vi bli av med lösenord för gott?
kommer hackare att hacka längre? Inte om vi fortsätter att återanvända lösenord
Varför behöver du inte 27 olika lösenord
vilka typer av lösenordshanterare?
skrivbordsbaserade lösenordshanterare lagrar dina lösenord lokalt på din enhet, som din bärbara dator, i ett krypterat valv. Du kan inte komma åt dessa lösenord från någon annan enhet, och om du förlorar enheten förlorar du alla lösenord som lagras där. Lokalt installerade lösenordshanterare är ett bra alternativ för personer som bara inte vill att deras data lagras i någon annans nätverk. Vissa lokalt installerade lösenordshanterare skapar en balans mellan integritet och bekvämlighet genom att du kan skapa flera lösenordsvalv över dina enheter och synkronisera dem när du ansluter till Internet.
molnbaserade lösenordshanterare lagrar dina krypterade lösenord i tjänsteleverantörens nätverk. Tjänsteleverantören är direkt ansvarig för säkerheten för dina lösenord. Den främsta fördelen med molnbaserade lösenordshanterare, 1Password och LastPass är bra exempel, är att du kan komma åt ditt lösenordsvalv från vilken enhet som helst så länge du har en Internetanslutning. Webbaserade lösenordshanterare kan komma i olika former—oftast som webbläsartillägg, skrivbordsapp eller mobilapp.
enkel inloggning (SSO). Till skillnad från en lösenordshanterare som lagrar unika lösenord för varje applikation du använder, låter SSO dig använda ett lösenord för varje applikation. Tänk på SSO som ditt digitala pass. När du kommer in i ett främmande land, ett pass berättar tjänstemän vid tullen och invandring som ditt land medborgarskap borgar för dig och att du bör tillåtas att komma in med minimalt krångel. På samma sätt behöver du inte verifiera din identitet när du använder SSO för att logga in i ett program. Istället garanterar SSO-leverantören din identitet. Företag gynnar SSO över lösenordshanterare av några skäl. SSO är främst ett säkert och bekvämt sätt för anställda att komma åt de applikationer de behöver för att få sina jobb gjort. SSO: er minskar också den tid det spenderar felsökning och återställning av glömda lösenord.
lösenord bästa praxis
Återanvänd inte lösenord. Även med en lösenordshanterare. Skapa istället unika lösenord för varje webbplats och låt din lösenordshanterare göra vad den är avsedd att göra.
skapa komplexa lösenord. Många lösenordshanterare föreslår automatiskt starka lösenord när du skapar ett konto för en ny webbplats. Om inte, försök att använda en slumpmässig kombination av bokstäver och siffror och växla mellan stora och små bokstäver. Ju mer komplexa och nonsensiska, desto bättre—särskilt eftersom du inte kommer att behöva komma ihåg det. Lösenordshanteraren kommer att göra det. Den viktigaste skillnaden är att skapa ditt huvudlösenord (det som låser upp alla andra lösenord). Den här måste du komma ihåg, så om du inte har ett eidetiskt minne, Försök att tänka på något minnesvärt för dig, men inte lätt spåras tillbaka till din identitet. Lägg sedan till några kepsar, några bokstäver och några snygga tecken, och du har ett välskyddat lösenordsvalv.
använd en lösenfras. När det gäller att skapa ditt huvudlösenord (det som låser upp dina andra lösenord), försök använda en lösenfras; dvs en serie ord som är lätta att komma ihåg, men svåra att gissa. Något bekant med en konstig twist, till exempel: ”bean burrito ice cream split.”Eller bara en massa slumpmässiga saker som en människa lätt kan visualisera, men en dator kan inte: ”fancy rat neon avocado car.”Använd din fantasi! Husdjur, barn eller andra familjenamn eller rader som ”Släpp in mig!”är alldeles för vanligt, och därför lätt för cyberbrottslingar att dechiffrera.
aktivera tvåfaktorsautentisering (2FA) eller multifaktorsautentisering (MFA). Ett av de bästa sätten att säkra alla konton, lösenordshanterare eller inte, är att aktivera MFA. Med en MFA-aktiverad lösenordshanterare måste du verifiera din identitet med två eller flera autentiseringsfaktorer, som inkluderar något du vet, något du äger och något du är. Det du vet är vanligtvis ditt lösenord, men det kan också vara ett PIN-nummer. Något du äger kan vara din mobiltelefon, bankkort eller en säkerhetstoken på ett USB-minne. Slutligen kan något du är verifieras med biometri, såsom ansikts -, röst-eller irisigenkänning och fingeravtrycks-ID. Beteendebiometri, såsom tangenttryckningar, kan också tillämpas.
detta extra säkerhetslager innebär att alla som försöker logga in på ditt konto (inklusive dig själv) måste kontrollera dessa ytterligare autentiseringsfaktorer utanför användarnamn och lösenord. Ett exempel på detta skulle vara: när du har angett ditt huvudlösenord för att komma åt lösenordshanteraren skickas en kod till din mobiltelefon, som du då måste ange innan du öppnar valvet. En sak att tänka på när du använder telefonen som en autentiseringsfaktor—telefonnummer kan kapas.
det kallas SIMjacking (aka SIM-swapping) och det händer när en cyberkriminell, som poserar som du, övertygar din telefonoperatör att omfördela ditt telefonnummer till sin telefon genom att framgångsrikt svara på dina säkerhetsfrågor. En flyktig sociala medier sökning är ofta allt som krävs för skurkar att få fram de svar de behöver. Och när brottslingar har kontroll över din telefon har de allt de behöver för att stjäla din identitet. Följaktligen kan du titta på en mjukvarubaserad autentiserare som Authy eller Google Authenticator istället för kritiska konton.
tänk två gånger om gratis lösenordshanterare. Många av de mest populära gratis lösenordshanterarna arbetar faktiskt under en freemium—affärsmodell, vilket innebär att du måste betala om du vill ha de bästa—ibland viktiga-funktionerna. Behöver du dina lösenord för att synkronisera mellan webbläsare och enheter? Behöver du digitalt arv? Behöver du dela inloggningar med familjen? Behöver du multifaktorautentisering? Gratis lösenordshanterare innehåller vanligtvis inte dessa funktioner. MFA, i synnerhet, är ett måste. I debatten mellan gratis vs. betald, välj en betald lösenordshanterare.
skapa en lösenordshanteringspolicy. Här är ett tips för små och medelstora företag: skapa en lösenordshanteringspolicy och låt anställda veta att det är okej att använda en lösenordshanterare för att säkra sina arbetskonton. Din personal använder redan en hodgepodge av potentiellt osäkra metoder för att försöka hantera sina många lösenord, och de flesta dataintrång börjar med ett svagt eller återanvänt lösenord. En officiell policy för lösenordshanterare är din första försvarslinje mot en cyberattack i ditt nätverk.