Flere og flere apps bliver beskyttet med passwords for at sikre følsomme data, eller fordi man kan tilgå samme data på flere enheder - og man slipper ikke ind, før passwordet er tastet. Nogle apps husker ens password fra gang til gang, men hvis man har genstartet sin enhed, vil appen gerne have koden igen.
For at være den gode bruger, som sikrer sine data, har jeg igennem en årrække brugt LastPass. Det er en god solid password-manager, der virker på alle mine enheder, også min pc. Jeg går op i, at alle mine services har hvert sit komplekse og hemmelige password, og jeg vil sikre mig imod key-loggers i et vist omfang. Key-loggeren vil kunne hapse mit master-password, men jeg håber på at kunne slippe uden om denne form for angreb på min sikkerhed.
Behovet for en password-manager opstod, efter at jeg som mange andre blev doven og anvendte samme password på alle de services, jeg bruger. Samtidig kunne jeg stadig hyppigere læse om, at services blev hacket og password-databaserne plyndret og forsøgt brugt til at skaffe data fra andre services. Så nu skulle jeg ændre min sikkerhedsstrategi.
Fordelen ved at bruge en password-manager ligger nemlig i, at man har et komplekst og langt password, som de forskellige sikkerhedseksperter anbefaler, og at man derefter lader password-manageren generere komplekse passwords for en. Nogle kan endda gøre det automatisk samt opdatere passwords efter en rum tid, så man ikke skal huske at skifte dem selv.
LastPass
Password-manageren er meget rost blandt sikkerhedsfolk. Navnlig hackergruppen Hak5 snakker meget positivt om produktet, så for mig var det klart det naturlige valg. Produktet udmærker sig ved, at man lokalt på pc'en har sine passwords i en krypteret boks, som bliver gemt på en LastPass-server - hvilket gør det meget nemt at få kopieret sin password-boks ind på andre enheder. Rent teknisk bliver de krypterede passwords hentet ned, når man har logget på/åbnet med sit master-password via en sikker forbindelse til LastPass.
Ulempen ved LastPass er, at den som alle andre apps på ens smart-device ikke altid kører i baggrunden - eller at den skal startes via browseren eksempelvis, når man bliver mødt med en login-skærm. Det irriterer mig, at jeg skal ud af browseren, åbne password-manager for derefter at returnere til browseren igen. Det virker kluntet.
LastPass har dog fået implementeret fingerscan, så man kan logge på LastPass med fingeraftrykslæseren på mobilen. Så slipper man for at låse databoksen op via kode-indtastning. Men implementeringen er ikke særligt god. Alle password-managere er implementeret på hver deres måde, derfor er der ikke nødvendigvis en særligt god understøttelse af de apps, man bruger. Det virker ofte meget klodset at logge på - og nogle gange virker det slet ikke.
Som sendt fra himlen
Google har erkendt problemerne med password-managere under Android og arbejder derfor på biblioteket YOLO (You Only Login Once), hvor tanken er, at man afgiver dit master-password, og så vil alle passwords være tilgængelige.
Sikkerhedsfirmaet DashLane og Google arbejder sammen om at lave API'er, som udgør YOLO. Det er open source, så alle kan være med til at vurdere sikkerheden ved at inspicere kildekoden. Hvis man har lyst, vil man endog også kunne skrive kode, der kan bruges til API'et, som flere af de udbredte password-managere på markedet vil implementere løbende.
Målet er, at hvis en app understøtter YOLO, så vil ens password-manager og den app, man vil bruge, kunne snakke sammen i baggrunden (måske med en pop-up, der fortæller, hvad der er ved at ske), og så vil autorisationen ske, uden at man selv skal angive brugernavn og password.
Brugeren vil i sidste ende kun skulle huske et password eller afgive et fingeraftryk på sin device - hvorefter password-manageren tager over, hver gang en app beder om brugernavn og password. Dette vil i første omgang virke på alle Google-devices - hvor brugeren kan logge på sin foretrukne password-manager på en ny device og have adgang til alle passwords med det samme.
Det er min klare anbefaling at overveje at anvende en password-manager og selvfølgelig holde øje med eventuelle nyeheder, om at en given service er blevet hacket, For selvom der er kode på ens datalager, så er man aldrig 100 procent sikker. Som folk siger: Hvis noget er på nettet, så er det 'hackable'. Derfor er det også en god idé at skifte master-password en gang imellem - og ALDRIG bruge sit master-password til nogen services.