In English

Lösenord • Artikel

För- och nackdelar med olika typer av lösenordshanterare

Hanterar du många konton och lösenord använder du förmodligen redan - eller åtminstone har övervägt att använda - en lösenordshanterare. Men vad bör man egentligen tänka på när man väljer lösenordshanterare? Det tittar vi närmare på här.

En lösenordshanterare är ett effektivt verktyg för att öka lösenordssäkerheten. Kortfattat kan verktyget beskrivas som ett digitalt kassavalv, där dina inloggningsuppgifter krypteras och sparas, och dit bara du har nyckeln i form av ett huvudlösenord ingen annan känner till. 

Det finns samtidigt en uppsjö av olika lösenordshanterare, och vi får ofta frågan om vilken man bör välja. Det är alltid svårt att rekommendera en specifik tjänst eller produkt eftersom det sällan finns något rätt eller fel svar, och för att valet i stället bör baseras på användarens specifika krav på såväl funktion som säkerhet. För precis som med det flesta saker finns det både för- och nackdelar med olika lösenordshanterare. I den här artikeln ska vi titta närmare på dessa i fyra olika kategorier; offline, online, hybridlösningar och inbyggda tjänster. 

Offline

En variant av lösenordshanterare är de som installeras lokalt på enheten. Det finns flera fördelar med att använda en sådan lösning; den främsta är att du själv kontrollerar över hur nyckelfilen krypteras och lagras, vilket innebär att du inte behöver anförtro en tredjepartsleverantör med att hantera din data. På så sätt blir den mindre sårbar för potentiella brister hos - eller attacker mot -leverantören och eventuella underleverantörer. Du är heller inte beroende av internet för att kunna använda en lösenordshanterare som inte är uppkopplad till nätet.

Nackdelen – eller snarare utmaningen – med att inte använda en uppkopplad lösenordshanterare är att du som användare själv måste ta egna, helst regelbundna, säkerhetskopior på nyckelfilen. Ur ett användarperspektiv kan det även bli svårare att synka verktyget mellan enheter och tjänster. Flera leverantörer erbjuder dock olika webbläsar-plugins för synkronisering, men det ingår i de flesta fall inte som en standardfunktion. 

Alternativ i kategorin 

En välanvänd lösenordshanterare i kategorin är KeePass. Programmet bygger på öppen källkod, är gratis och erbjuder många bra funktioner, såsom skräddarsydd lösenordsgenerering, multifaktorsautentisering och simulerade tangentbordstryckningar. Fördelen med simulerade tagnentbordstryckningar är att du slipper kopiera och klistra in lösenordet, vilket gör att lösenordet inte hamnar i en buffer och på så sätt inte riskerar att kunna läsas av spionmjukvara. 

Några av de sämre aspekterna med KeePass är att gratisversionen inte har stöd för multifaktorautentisering. Till skillnad från många andra lösenordshanterare genererar den heller inte rapporter om styrkan på dina lösenord eller risken för att drabbas av attacker.

KeePass fungerar bäst på Windows-datorer, men den går även på Linux, Android-, iOS- och macOS-enheter. Den har även en mobilklient som gör att du enkelt kan komma åt ditt lösenordsvalv.

Ytterligare ett alternativ i offline-kategorin, som används av många av våra egna pentestare, är terminalklienten Pass. Verktyget är i grund och botten ett skalskript som använder befintliga verktyg som GnuPG (GPG), tree och Git. Varje lösenord lagras inuti en GPG-krypterad fil vars filnamn är titeln på webbplatsen eller resursen som kräver lösenordet. Dessa krypterade filer kan sedan organiseras i mapphierarkier, kopieras från dator till dator och, i allmänhet, manipuleras med hjälp av vanliga kommandoradsfilhanteringsverktyg. Tjänsten erbjuder med andra ord bra anpassningsmöjligheter och fungerar även bra för gruppkollaborering, och passar bäst för dig som är bekväm med att arbeta i terminal och med tekniker som GPG och Git. 

Online

En annan variant av lösenordshanterare är de molnbaserade tjänsterna. Fördelen med att använda en sådan tjänst är att de ofta fokuserar på användarvänlighet, med goda möjligheter att synka mellan enheter. Dessa har oftast bra stöd för att dela med andra, till exempel inom familjen. Du kommer även åt den överallt så länge du har tillgång till internet.

Ett skäl till att vissa väljer att avstå från molnbaserade lösenordshanterare är att man måste lita på leverantören som hanterar ens data, då det alltid finns en risk för intrång, läckage eller missbruk av data. Historiskt sett har incidenter förekommit hos leverantörer som tillhandahåller uppkopplade lösenordshanterare, nu senast LastPass som för bara några veckor sedan blev hackade. Överlag är det svårt för slutanvändaren att bedöma tjänsten och leverantörens säkerhet, vilket förstås är en stor nackdel. 

Alternativ i kategorin 

Trots tidigare incidenter är LastPass fortfarande ett populärt alternativ för personer som vill ha en molnbaserad lösenordshanterare. Utöver lösenordsgenerator innehåller gratisutgåvan många bra funktioner, såsom automatisk ifyllning, bra delningsmöjligheter mellan användare och rapporter över hur säkert ditt lösenord är. 

En stor nackdel är dock att LastPass synkroniseringsmöjligheter på senare tid har blivit mer begränsade för gratisanvändare, som nu bara kan välja mellan att synkronisera lösenord med stationära enheter (webbläsare, datorer, bärbara datorer) och mobila enheter (telefoner, surfplattor och smartklockor). Detta finns däremot med i premiumversionen, som även erbjuder saker som dark web monitoring och krypterad fillagring. 

En annan välanvänd lösenordsanvändare är 1Password. Verktyget fungerar I princip överallt, inklusive till MacOS, iOS, Android, Windows, Linux och Chrome OS. Programmet har även plugins för flera webbläsare och kan integreras med många mobilappar. 

En trevlig funktion hos 1Password är att den erbjuder security audits som letar efter och notifierar dig om olika säkerhetsrisker, såsom brister hos webbsidor där lösenorden förekommer, svaga lösenord, återanvända lösenord och gamla, inaktuella lösenord som eventuellt behöver bytas ut. Tjänsten har även stöd för multifaktorsautentisering. 

En annan fördelaktig säkerhetsaspekt är att 1Password utnyttjar en lokal krypteringsmetod, vilket innebär att krypteringen sker på din enhet. Ingen data överförs med andra ord till 1Password, som varken lagrar eller har tillgång till den.

Hybrid

Utöver molnbaserade och lokala lösenordshanterare finns även hybridvarianter som både kan agera lokalt och online - fördelen äratt du helt enkelt kan välja. Det finns även en trygghet i sig att plattformen erbjuder lokal hosting, eftersom du fortfarande kan öppna och se dina lösenord även om leverantören lägger ned sin verksamhet, ändrar sin plattform eller tjänsten helt enkelt ligger nere. Du kan också välja att driftsätta lösningen på din egen infrastruktur och inte bara lokalt på datorn. 

Alternativ i kategorin

Bitwarden är en populär och prisvärd lösenordshanterare som bygger på öppen källkod. Den främsta skillnaden mellan Bitwarden och andra lösenordshanterare är att du kan välja att installera och hosta programmet på din egen server istället för företagets egna. På så sätt kan du få full kontroll över hur och var din data lagras.

Utöver möjligheten till egen hosting tillhandahåller Bitwarden även en robust och flexibel lösenordsgenerator som kan skapa både lösenord och lösenfraser av olika längd. Andra bra funktioner är auto-fill, multifaktorsautentisering och synkningsmöjligheter mellan enheter. 

Bitwarden har stöd för Android, iOS, Windows, MacOS och Linux, samt tillägg för alla större webbläsare. 

Inbyggda lösenordshanterare

Allt fler tjänster och produkter erbjuder inbyggda lösenordshanterare till sina användare. Dessa skiljer sig mycket åt, både sett ur ett användar- och säkerhetsperspektiv, och det finns både bra och mindre bra alternativ i kategorin. 

Ett av de bättre är iCloud Keychain, som är iOS inbyggda lösenordshanterare och ett bra och användarväldigt alternativ för någon som använder Apples produkter. Verktyget erbjuder många värdefulla funktioner, såsom upplåsning genom både face-ID eller AppleID och funktioner som autofill och slumpgenererade lösenord. Den klagar även när du använder dåliga eller återanvända lösenord och skickar breach notiser när lösenordshasharna dyker upp i läckta lösenordsdatabaser. Apple Keyring går att synkronisera till både Mac och Windows genom iCloud, men är däremot begränsad till att köras i Safari.

Varför ska man undvika att webbläsarens inbyggda lösenordshanterare?

En vanlig fundering är om det räcker att spara sina lösenord i webbläsaren i stället för att använda en lösenordshanterare. Att använda webbläsarens inbyggda lösenordshanterare är bättre än att inte använda någon alls. Däremot finns det vissa negativa aspekter när det kommer till användarvänlighet och säkerhet. Dels erbjuder webbläsarens lösenordshanterare sämre möjligheter att synka mellan appar och enheter, då funktionen enbart går att använda i just webbläsaren (med undantag för Apples webbläsare Safari som går att synka om du använder Apple Keyring). Överlag saknar webbläsaren många av de värdefulla funktioner en renodlad lösenordshanterare har.

Även ur ett säkerhetsperspektiv är webbläsaren ett sämre val än lösenordshanteraren. Det är till exempel lätt att missa att logga ut från sin webbläsarprofil efter att ha avslutat en webbläsarsession. Det innebär i sin tur att lösenord är dekrypterade och tillgängliga för alla med direkt åtkomst till enheten eller via skadlig programvara som kan logga in med användarens profil.

Saker att alltid tänka på vid val av lösenordshanterare

Stöd för tvåfaktorsautentisering

En viktig sak att tänka på när du väljer lösenordshanterare är att den ska ha stöd för multifaktorsautentisering, som fungerar som ett extra skyddslager och minskar risken för att någon annan loggar in på din tjänst. De flesta leverantörerna erbjuder funktionen, antingen i standarduppsättningen eller som tillägg.

Integrationer med andra tjänster

Vissa lösenordshanterare har stöd för integration till andra tjänster som kan vara värdefulla för din lösenordshygien. En sådan är HaveIbeenPwnd, som verifierar om dina lösenordshashar förekommer i läckta lösenordsdatabaser och notifierar dig om de gör det.

Policys

Ska du använda lösenordshanteraren privat eller i jobbet? Är det det sistnämnda är det en bra idé att undersöka om ditt företag har policys för vilka password managers som får och inte får användas. Det är även en bra idé att inte använda din privata lösenordshanterare i jobbsammanhang och vice versa. 

Kom ihåg tjänstens syfte

Sist men inte minst, kom ihåg vad en lösenordshanterare gör och inte gör. Tjänsten bygger på principen att du använder långa, slumpvalda och unika lösenord, som lösenordshanteraren sedan skyddar, ungefär som ett kassaskåp. Lättgissade eller återanvända lösenord kommer med andra ord inte bli mer säkra för att du använder en lösenordshanterare. Möjligheten att generera långa, slumpvalda lösenord är därför nästan en lika viktig funktion som själva skyddet.