Enkelt og sikkert login i apps

Flere og flere apps bliver beskyttet med passwords for at sikre følsomme data, eller fordi man kan tilgå samme data på flere enheder - og man slipper ikke ind, før passwordet er tastet. Nogle apps husker ens password fra gang til gang, men hvis man har genstartet sin enhed, vil appen gerne have koden igen.

For at være den gode bruger, som sikrer sine data, har jeg igennem en årrække brugt LastPass. Det er en god solid password-manager, der virker på alle mine enheder, også min pc. Jeg går op i, at alle mine services har hvert sit komplekse og hemmelige password, og jeg vil sikre mig imod key-loggers i et vist omfang. Key-loggeren vil kunne hapse mit master-password, men jeg håber på at kunne slippe uden om denne form for angreb på min sikkerhed.

Behovet for en password-manager opstod, efter at jeg som mange andre blev doven og anvendte samme password på alle de services, jeg bruger. Samtidig kunne jeg stadig hyppigere læse om, at services blev hacket og password-databaserne plyndret og forsøgt brugt til at skaffe data fra andre services. Så nu skulle jeg ændre min sikkerhedsstrategi.

Fordelen ved at bruge en password-manager ligger nemlig i, at man har et komplekst og langt password, som de forskellige sikkerhedseksperter anbefaler, og at man derefter lader password-manageren generere komplekse passwords for en. Nogle kan endda gøre det automatisk samt opdatere passwords efter en rum tid, så man ikke skal huske at skifte dem selv.

LastPass

Password-manageren er meget rost blandt sikkerhedsfolk. Navnlig hackergruppen Hak5 snakker meget positivt om produktet, så for mig var det klart det naturlige valg. Produktet udmærker sig ved, at man lokalt på pc'en har sine passwords i en krypteret boks, som bliver gemt på en LastPass-server - hvilket gør det meget nemt at få kopieret sin password-boks ind på andre enheder. Rent teknisk bliver de krypterede passwords hentet ned, når man har logget på/åbnet med sit master-password via en sikker forbindelse til LastPass.

Ulempen ved LastPass er, at den som alle andre apps på ens smart-device ikke altid kører i baggrunden - eller at den skal startes via browseren eksempelvis, når man bliver mødt med en login-skærm. Det irriterer mig, at jeg skal ud af browseren, åbne password-manager for derefter at returnere til browseren igen. Det virker kluntet.

LastPass har dog fået implementeret fingerscan, så man kan logge på LastPass med fingeraftrykslæseren på mobilen. Så slipper man for at låse databoksen op via kode-indtastning. Men implementeringen er ikke særligt god. Alle password-managere er implementeret på hver deres måde, derfor er der ikke nødvendigvis en særligt god understøttelse af de apps, man bruger. Det virker ofte meget klodset at logge på - og nogle gange virker det slet ikke.

Som sendt fra himlen

Google har erkendt problemerne med password-managere under Android og arbejder derfor på biblioteket YOLO (You Only Login Once), hvor tanken er, at man afgiver dit master-password, og så vil alle passwords være tilgængelige.

Sikkerhedsfirmaet DashLane og Google arbejder sammen om at lave API'er, som udgør YOLO. Det er open source, så alle kan være med til at vurdere sikkerheden ved at inspicere kildekoden. Hvis man har lyst, vil man endog også kunne skrive kode, der kan bruges til API'et, som flere af de udbredte password-managere på markedet vil implementere løbende.

Målet er, at hvis en app understøtter YOLO, så vil ens password-manager og den app, man vil bruge, kunne snakke sammen i baggrunden (måske med en pop-up, der fortæller, hvad der er ved at ske), og så vil autorisationen ske, uden at man selv skal angive brugernavn og password.

Brugeren vil i sidste ende kun skulle huske et password eller afgive et fingeraftryk på sin device - hvorefter password-manageren tager over, hver gang en app beder om brugernavn og password. Dette vil i første omgang virke på alle Google-devices - hvor brugeren kan logge på sin foretrukne password-manager på en ny device og have adgang til alle passwords med det samme.

Det er min klare anbefaling at overveje at anvende en password-manager og selvfølgelig holde øje med eventuelle nyeheder, om at en given service er blevet hacket, For selvom der er kode på ens datalager, så er man aldrig 100 procent sikker. Som folk siger: Hvis noget er på nettet, så er det 'hackable'. Derfor er det også en god idé at skifte master-password en gang imellem - og ALDRIG bruge sit master-password til nogen services.

 


Læs også...

På få minutter komponerede Ole Tange en PROSA-slagsang med tekst fra ChatGPT, og med musik, sang, beats og kor fra Udio.com. "Det fungerer, det er…

Natasha Friis Saxberg er en af de mest markante stemmer, når det handler om at sætte dagsordener inden for it og tech herhjemme. Hun er direktør for…

Selvom Anna igen og igen fortalte sine ledere, at den kode, hun og kollegerne arbejdede med, ikke var god nok, blev der ikke lyttet – men der blev…

Dagligt hører vi om nye hackerangreb, og frygten for, at store angreb kan lægge vores samfund ned, bliver mere og mere reel. Nye it-sikkerhedsregler…

I år har 5.187 personer søgt ind på en it-uddannelse via kvote 2. Det er 10 pct. flere end i 2023.

Den to-årige overenskomst for ansatte i staten er endelig forhandlet på plads for de enkelte organisationer. For ansatte på PROSAs overenskomst…

33-årige Ahmed Zewain drømte om at blive astronom eller astrofysiker, men i dag laver han AI-algoritmer. Han er god til matematik – ikke sådan…

Det er en leg at kode for Simon Moe Sørensen – men det er ikke nok, at du laver verdens flotteste kode, hvis du gerne vil være en succesfuld data…

Politisk rådgiver og talnørd hos PROSA, Ole Tange, giver her en hurtigt introduktion til kryptering.

Musk sagsøger ChatGPT, Instagram mest downloadede app, Netcompany-sagen ruller videre, flere får terapi af chatbots, Apple får kæmpebøde fra Vestager,…