Jeg driver Facebook-siden Ugens Sikkerhedstip, hvor jeg løbende kommer med små tips til IT-sikkerhed og privatliv. For nylig linkede jeg til en kort artikel om passwordmanagers. Derefter skrev en læser, Holm, til mig og tilbød at skrive en bedre og mere detaljeret guide. Det er så optur, når dygtige folk vil bruge tid på at dele sin viden med andre. Without further ado er her Holms fantastiske passwordmanager-introduktion.
INTRO
Der er ret stor chance for du har hørt password-managers omtalt enten i artikler, reklamer eller fra din tech-savy kammerat, som med store armbevægelser har postuleret at: “Password-managers! Det er skide smart!”
Men hvad er en password-manager?
En password-manager (herefter pw-manager) er et stykke software designet til at opbevare, organisere og kryptere dine kodeord til dine forskellige onlinekonti og dele dem sikkert på tværs af dine enheder.
De fleste managers fungerer på samme måde: under installationen opretter du et stærkt såkaldt ‘master password’, som du kan bruge til at dekryptere din managers database. På den måde skal du kun huske ét kodeord i stedet for mange. Efterfølgende kan du indføre alle dine kodeord (eller anden vigtig information) i managerens database, enten manuelt eller automatisk alt afhængig af hvilken type manager man bruger. Ofte indeholder manageren ligeledes en password generator, så man kan genere kodeord. Databasen bliver syncet via en cloud tjeneste, så du kan bruge databasen på tværs af enheder. Dog er der forskel på hvordan managers beskytter og behandler dine kodeord samt hvordan de forskellige udbyderes forretningsmodeller er bygget op.
En web-baseret manager gemmer databasen på cloud server. Fordelen ved en web-baseret manager er, at man kan tilgå den alle steder hvor der er en internetforbindelse.
Andre managers fungerer som browser extensions til Firefox Chrome, Safari o.lign, hvor databasen kan ligge i en cloud eller udelukkende lokalt på maskinen. Fordelen ved en manager, der fungerer som browser extension er, at manageren kan snakke direkte sammen med de sider du besøger, hvorfor det er muligt at manageren automatisk udfylder login-felter.
Andre fungerer udelukkende som en standalone app, hvor databasen som udgangspunkt kun ligger lokalt. Fordelen ved disse er, at man selv kan opsætte en brugerdefineret sync funktion, hvilket giver mere kontrol over hvordan databasen bliver delt med andre enheder.
Nogle managers tilbyder en kombination af de ovenstående.
Nogle managers er open source, andre er ikke. Nogle koster penge, andre gør ikke. Og måske vil den opmærksomme læser på nuværende tidspunkt tænke:
“Er det ikke en dårlig idé at give alle mine kodeord til en 3. parts service?”
Ja og nej.
Vælger man en løsning, som kun kan fungere gennem en 3. parts cloud service, er det selvfølgelig essentielt at man kan stole på udbyderen. De forskellige udbydere slår sig op på, at krypteringen og dekrypteringen af databasen teknisk set udelukkende sker på din enhed (det man kalder client-side de- og encryption), hvorfor master passwordet, samt databasen, kun kan ses i sin krypterede form af udbyderen. Derfor bør databasen være sikker, selv om den ligger på en cloud server hos et firma. Dog har der været eksempler, hvor det er gået galt. Til gengæld gør en cloud-løsning det nemt at bruge en pw-manager og closed source managers, som koster penge, har ofte en del features som gør programmet let at bruge.
Vælger man i stedet en gratis og open source løsning, hvor man selv kan bestemme hvordan, og om, databasen skal ligge i en cloud og deles mellem enheder, får man mere gennemsigtighed og kontrol med hvordan ens kodeord opbevares – dog går man ofte på kompromis med brugervenligheden, og er måske tilbøjelig til at stoppe med at bruge manageren.
At vælge en pw-manager handler ofte om tillid vs. brugervenlighed, og i denne korte gennemgang forsøger jeg at fremlægge et par forskellige managers opbygning, features og anvendelighed, så du kan vælge den der passer til dit behov.
LastPass
URL: https://lastpass.com
Ejes af: LogMeIn, Inc.
LastPass er en pw-manager der fungerer som en extension til web browsere, som standalone desktop app samt mobil app. Browser extension er tilgængelig til IE, Firefox, Safari, Chrome, Opera, Maxthon mfl., og appen findes til macOS, Windows, Linux, iOS, Android og Windows Phone.
LastPass er nem at installere: man downloader den browser extension/mobile app man skal bruge, opretter en konto og går i gang. Man kan tilføje 2-faktor godkendelse til sin profil, så det ikke udelukkende er ens master password man skal bruge for at åbne manageren. Databasen skal synces over LastPass’ cloud service, og der er ikke mulighed for udelukkende at have sin database liggende lokalt. Man kan også vælge at benytte LastPass’ desktop app, som, foruden at mangle et par features, fungerer på nogenlunde samme måde som deres browser extension.
LastPass har en gratis og en premium udgave. Gratis udgaven rummer basale features såsom deling af kodeord mellem alle enheder, en password generator, en form-filler og 2-faktor godkendelse. Med premium udgaven, som koster 2$ om måneden, får man blandt andet bedre support, ‘LastPass for applications’ (en manager som gemmer logins til programmer, dog kun Windows), samt adgang til et 1GB krypteret cloud drev. Desuden kan man opgradere til en business/enterprise service, hvor man kan samle og administrere kodeord på tværs af sin organisation.
Da LastPass kan kommunikere med ens browser via browser extension, kan den med auto-fill funktionen selv udfylde både brugernavn og kodeord på nogle sider. Flere managers har implementeret auto-fill funktioner, dog fungerer den ikke altid i praksis hos LastPass, hvorfor man nogle gange er nødt til manuelt at copy/paste sit brugernavn/kodeord ind.
LastPass benytter AES-256 kryptering, hvilket de fleste andre managers også gør. Den krypterede database ligger på LastPass’ servere, som tillader sync mellem enheder. Dog skal man ikke lade sig snyde når LastPrass skriver: “Data stored in your vault is kept secret, even from LastPass”. Kodeordene er sikre, men de krypterer ikke en betydelig mængde metadata. Blandt andet modtager firmaet informationer om hvilke sider man har i sin database, samt hvornår og hvor ofte man besøger disse – hvilket er et potentielt stort privacy issue.
Samlet set er LastPass en brugervenlig manager. Den er nem at sætte op, virker til stort set alle enheder og fungerer efter hensigten. Dog er der nogle ting på feature- og (især) sikkerhedsfronten man godt kunne tænkte sig var meget bedre og mere fleksible.
Pros:
– Nem at installere og nem at bruge
– Ingen begrænsning på antal enheder man kan tilknytte
– Native mobile app
– 2-faktor godkendelse
– Gratis version med mange features
– Password generator
Cons:
– Closed source
– Metadata er ikke krypteret (LastPass kan se hvilke hjemmesider man har en bruger på, hvor ofte man besøger disse)
– Ingen mulighed for at fravælge cloud sync
Dashlane
URL: https://dashlane.com
Ejet af: Dashlane
Dashlane er en pw-manager som fungerer både som desktop app, browser extension og mobil app. Browser extensionen er tilgængelig til Chrome, Firefox, Safari og IE og applikationen virker til macOS, Windows, iOS samt Android.
Dashlane installeres ved at man downloader desktop udgaven fra deres hjemmeside, installerer den, hvorefter man skal registrere sig som bruger. Herefter downloades de browser extensions som skal bruges. Efterfølgende kan man downloade en mobil app til sin smartphone eller tablet, så man kan synce sine kodeord på tværs af enheder via Dashlanes cloud service. Når man har indtastet sit master password er der ikke mulighed for at resette det hvis man glemmer det, hvilket er en god ting, da det betyder, at den eneste måde at komme ind i databasen på, er ved at kende master passwordet.
Dashlane har en password generator og en god auto-fill funktion, som endda lader dig skifte mange kodeord på én gang på et stort antal sider – hvilket er super smart og sparer én for en masse tid. Den understøtter forskellige former for 2-faktor godkendelse – og hvis man har FreeOTP, Google Authenticator eller lign., virker dette også til mobile enheder. Desuden har Dashlane en funktion kaldet ‘Security Alert’, hvor man får en notifikation hvis nogle af de sider man har en bruger på, er blevet hacket.
Når man bruger Dashlane kan man til enhver tid vælge at stoppe synkronisering med deres cloud server, sådan at ens database udelukkende ligger lokalt. Det gør så, at man ikke kan synce med sine andre enheder.
Dashlane benytter, som mange andre managers, AES-256 kryptering.
Dashlane har både en gratis og en premium udgave. Sidstnævnte koster 3,33$ om måneden. Ved oprettelse har man mulighed for at få 1 måneds premium gratis. I premium udgaven får man adgang til bedre support, mulighed for at se sine password via en web-app, 2-faktor godkendelse og sync mellem uendeligt mange enheder. I gratis udgaven kan man altså ikke synce med andre enheder eller bruge 2-faktor godkendelse. Det er blandt andet cloud servicen man betaler for, hvorfor man i gratis udgaven må nøjes med at have sin database på én enhed. Det er ikke muligt at bruge sin egen cloud tjeneste, da man skal logge ind med en premium account på alle de enheder man benytter.
Dashlane er en brugervenlig pw-manager med mange fede features – især den formidable form-filler som bare virker. Dog er der mange af de essentielle features (såsom sync med andre enheder) som kræver, at man betaler for en premium account.
Pros:
– Nem at installere og nem at bruge
– Mulighed for udelukkende at have databasen lokalt
– 2-faktor godkendelse
– God desktop app
– Native mobile app
– Skift alle kodeord med et klik (på de største sites)
– Sender notifikationer med sikkerheds advarsler
– God form-filling funktion
Cons:
– Closed source
– Mange features kræver premium account:
– Kan kun tilknytte 1 enhed på en gratis account
– 2-faktor godkendelse virker ikke på en gratis account
– Ingen applikation til Linux
1Password
URL: https://1password.com
Ejes af: AgileBits Inc.
1Password fungerer som en desktop app, mobil app samt browser extension. Desktop app findes til macOS og Windows (ingen Linux) og mobile app findes til iOS og Android. Browser extension virker i Firefox, Safari, Chrome og Opera. Desuden kan man tilgå sin database via en web-app.
Manageren er nem at installere og nem at bruge. Man downloader den desktop app, mobil app eller browser extension man skal bruge. Herefter skal man registrere en konto, hvorefter man kan gå i gang med at skabe og organisere sine kodeord og dele dem på tværs af sine enheder.
1Password tilbyder ikke en gratis udgave, dog får man 1 måned prøveperiode når man tilmelder sig. En personal account koster 2,99$ om måneden og en family account koster $4,99 om måneden.
1Password har en password generator, rigtig god form-filling via browser extension, sikkerhedsadvarsler hvis én af de sider man har en bruger på er blevet hacket, samt en smart feature kaldet ‘Travel Mode’, som, når slået til, fjerner alle 1Password databaser fra brugerens enhed.
1Password bruger, som mange andre managers, AES-256 kryptering.
Har man ikke har lyst til at benytte 1Passwords egen cloud service til sync, er det muligt at opsætte enten en WLAN, Dropbox eller iCloud service til sync. Det giver god fleksibilitet, og større kontrol over hvor ens kodeord bliver gemt. Desuden er det muligt udelukkende at have sine kodeord lokalt, hvis man ikke ønsker at databasen skal synces.
1Password er en god pw-manager, som er nem at installere og bruge. Den indeholder gode features (især Travel Mode er ret sejt) og god fleksibilitet i forhold til valg af cloud service og sync. Desværre findes der ikke nogen gratis version.
Pros:
– Nem at installere og nem at bruge
– Mulighed for udelukkende at have databasen lokalt
– Mulighed for at opsætte egen sync service over WLAN, Dropbox, iCloud mfl.
– 2-faktor godkendelse
– Native smartphone app
– Sender notifikationer med sikkerheds advarsler
– Travel Mode som midlertidigt sletter databasen fra enheder
– God form-filling
Cons:
– Closed source
– Gratis kun i en begrænset periode
– Ingen Linux version
– Rimelig pricy
Bitwarden
URL: https://bitwarden.com
Ejes af: 8bit Solutions LLC
Bitwarden er en open source pw-manager med nogenlunde samme funktionaliteter som LastPass og Dashlane (og mere til). Bitwarden fungerer også som en browser extension, og understøtter Chrome, Firefox, Opera, Vivaldi og TOR til både Windows, macOS og Linux. Bitwarden benytter AES-256 kryptering, salted hashing, og PBKDF2 SHA-256. Bitwarden har en gratis, premium og business version. I gratis versionen får man adgang til alle gængse features såsom: sync på uendeligt mange enheder, 2-faktor godkendelse, en password generator, en auto-fill funktion mm. I premium udgaven får man mulighed for yderligere 2-faktor godkendelse via fysiske tokens såsom YubiKey eller FIDO U2F, et 1GB krypteret cloud drev mm. Premium koster 10$ om året.
Bitwarden er nem og hurtig at installere. Man downloader den browser extension/mobil app man skal bruge, opretter en konto og kan strakt gå i gang med at genere, ændre og organisere sin kodeord. Browser extensionen virker som den skal og auto-fill funktionen er god. Databasen synces som udgangspunkt over Bitwardens cloud service. Hvis man vil, kan man tilgå sin database via en web-app.
Hvis man ikke har lyst til at bruge Bitwardens cloud service, er det muligt at opsætte sit eget sync miljø. Bitwarden tilbyder nemlig et ready-to-use Docker image, så man selv (med en anelse teknisk snilde) kan hoste sin egen instans af Bitwarden infrastrukturen. Så er man fri for at bruge deres cloud servere, og kan stadig synce mellem forskellige enheder. Og da alt Bitwarden-software er open source, har man med denne løsning indsigt i hvordan ens kodeord bliver lavet, gemt og delt.
Alt i alt er Bitwarden et glimrende open source alternativ. Den rummer de samme funktioner som andre closed source managers, men har den klare kvalitet i at have en offentlig tilgængelig kildekode og god fleksibilitet.
Pros:
– Open source
– Nem at installere og nem at bruge
– Native mobile apps
– Gratis version med mange features
– Ingen begrænsning på antal enheder man kan tilknytte
– Mulighed for at opsætte egen sync-service
– 2-faktor godkendelse
Cons:
– Ingen desktop app
KeePassXC
URL: https://keepassxc.org
Ejes af: Ingen (bliver udviklet af et lille team, men alle kan i princippet være med til at bidrage til udviklingen)
KeePassXC (og resten af KeePass “serien”) er pw-manageren til de som ønsker fuld kontrol, ikke vil gå på kompromis med sikkerheden og som måske ikke stoler helt på firmaerne og cloud-
løsningerne bag de store pw-managers. EFF anbefaler den og den er pre-installeret i det privacy-orienterede operativsystem TAILS.
KeePassXC er et community fork af KeePassX. KeePassX er en videreudvikling af KeePass. KeePassXC er derfor en 3. generations udvikling af en solid pw-manager, og denne version udmærker sig ved at blive jævnligt opdateret samt at den virker til både Windows, macOS og Linux.
Til forskel for de øvrige pw-managers, kommer KeePassXC ikke med browser extensions eller mobile apps, men udelukkende som en dekstop app. Det kræver ingen registrering – man skal bare downloade programmet og gå igang.
Når man starter manageren, skal man oprette en databasefil, hvorefter man skal lave et master password. Da man ikke har registreret nogen konto, er der ingen mulighed for at resette master passwordet hvis man glemmer det. Man kan også vælge at benytte en key file (en fil man vælger som kan låse databasen op) i stedet, ligesom man kan opsætte challenge response.
KeePassXC har en glimrende password generator, og et fikst mappesystem, hvor man nemt kan arrangere sine forskellige konti. Manageren har også en form-fill funktion, dog er den ikke så smart som de managers, der har funktionen integreret i en browser extension. Til gengæld kan den let tilpasses, så form-fillingen, med lidt arbejde, virker til stort set alle sites.
KeePassXC tilbyder ingen cloud service, så hvis man vil synce med sine andre enheder, må man være en anelse kreativ. Heldigvis findes der et par open source apps til både iOS og Android, som kan arbejde sammen med KeePassXC. Til iOS findes MiniKeePass og til Android kan man bruge KeePassDroid.
Selve sync funktionen kan man sætte op via sin favorit cloud tjeneste. Man kan bruge Dropbox, Syncthing eller noget helt tredje. Man kan også bare eksportere sin database og sende den via mail til sig selv, åbne på den på sin telefon og importere den i sin app.
Et setup med eksempelvis KeePassXC på desktop, KeePassDroid på telefonen og Syncthing som sync tjeneste, giver dig en gratis og ren open source-løsning, hvor man er fri for at have sine kodeord liggende hos en 3. part cloud service, ligesom du er fri for at din database er tilgængelig via en web-app.
Alt i alt er KeePassXC en robust og ikke mindst sikker måde at opbevare sine kodeord på. Omend er KeePassX ikke en ‘out-of-the-box’-løsning og ikke så feature-fyldt, som eks. 1Password og Bitwarden, hvorfor et godt setup kræver en lille smule mere arbejde end de øvrige. Dog bliver man belønnet ved at have fuld kontrol over ens kodeord, uden at skulle benytte en browser extension eller en predefineret cloud service.
Pros:
– Open Source
– Gratis
– Kræver ingen registrering
– Mulighed for lokal database
– Form-filling med rig mulighed for tilpasning
– Understøtter token (key file) baseret godkendelse
– 2-faktor godkendelse
– Meget fleksibel
– Bestemmer selv hvilken cloud services som bruges til sync
Cons:
– Ingen native apps til smartphone (der findes dog apps udgivet
af andre, som kan bruges)
– Kan være en anelse udfordrende at sætte op til samme
funktionalitet som de andre managers