Den store guide til VPN

Jeg driver Facebook-siden Ugens Sikkerhedstip, hvor jeg løbende kommer med små tips til IT-sikkerhed og privatlivsbeskyttelse. I september skrev en læser, Holm, en meget brugbar guide til passwordsmanagers, som jeg bragte her på siden. Nu slår Holm til igen, denne gang med en guide til VPN. Tak!

Virtual Private Network
Der findes en del værktøjer som kan beskytte dit online privatliv mod repressive myndigheder og andre ubehagelige snushaner. Et af dem kaldes for Virtual Private Network (VPN).

Men hvad er et VPN, og hvilke ting skal der tages højde for inden man vælger at benytte sådan en service?

Kort fortalt: Et Virtual Private Network (VPN) er en service, hvor man tilgår internettet via en server, som ejes af en VPN-udbyder. Normalt går internettrafikken direkte fra internetudbyderen videre til den webserver man besøger. Ved brug af VPN, bliver din IP-adresse maskeret og trafikken bliver krypteret, hvilket gør det vanskeligt for uvedkommende at følge med i hvad din internetforbindelse bliver brugt til. Hvis man sidder på et usikkert netværk (eksempelvis på en café, et bibliotek eller en lufthavn) kan man ligeledes holde sin internettrafik skjult. Desuden kan den webserver man forbinder til, kun se VPN-servicens IP-adresse og ikke den adresse som trafikken i virkeligheden kommer fra, hvilket blandt andet gør det muligt at tilgå hjemmesider som kun er tilgængelige fra et bestemt land. En VPN-service bliver også kaldt en VPN-tunnel, da man kan forestille sig at internettrafikken løber gennem en sikker krypteret tunnel ud til internettet. Således kan et VPN virke som et værn mod netcensur, FISA, sessionslogning, generel overvågning og andre orwellianske påfund.

En kommerciel VPN-service købes ofte som en abonnementsordning, hvor man mod månedlig eller årlig betaling får adgang til et antal servere, som står i forskellige lande. Der findes også gratis VPN-services – disse er dog berygtet for at tjene penge ved at sælge brugerdata til højestbydende (eller indeholde decideret malware), så dem skal man helst holde sig fra.

Nogle VPN-udbydere tilbyder et stykke software, der skal gøre det nemt at bruge deres service på tværs af enheder. Hvis der ikke medfølger en software, kan man selv konfigurere VPN-forbindelsen på sin enhed. Der vil ofte være en guide til opsætning på VPN-udbyderens hjemmeside.

Der findes et hav af VPN-services på markedet og et korrekt konfigureret VPN kan i det fleste tilfælde være med til at beskytte dit digitale privatliv. Dog er der en række problemer forbundet med VPN-services (og udbydere) som er vigtige at tage højde for inden man kobler sig op. Nogle udråber VPN som et uundværligt værktøj, andre er mere skeptiske. Der er endda folk som mener, at en VPN-service gør mere skade end gavn.

Inden man vælger at investere i en VPN-service er det derfor klogt at sætte sig ind i hvad den kan og ikke kan, hvad den bør kunne – og især – hvem der står bag den. Man bør have en kritisk tilgang og bruge tid på at researche de forskellige muligheder som findes på markedet.

Hvilken VPN-service skal jeg så vælge?
Langt hen af vejen handler det om tillid. Selvom VPN-servicen skjuler internetaktiviteten for den oprindelig internetudbyder, har VPN-udbyderen nu praktisk taget mulighed for at se, logge og manipulere trafikken. På den måde fungerer en VPN-udbyder som en slags sekundær internetudbyder. Derfor er det essentielt at kunne stole på, at den VPN-udbyder man vælger er troværdig, holder et minimum af logs, ikke sælger data til 3. part eller foretager andre ondsindede aktiviteter med internettrafikken. De fleste VPN-services har en såkaldt “no log policy”, men som bruger har man ingen chance for at vide, om de rent faktisk overholder den. Hvis man ikke kan stole på udbyderen bag en VPN-service, er det næsten bedst at lade værre med at bruge den.

En VPN-service kan højne online sikkerhed og privatliv, men den kan aldrig tilbyde anonymitet på højde med eksempelvis Tor-netværket. VPN-udbyderen kender din rigtige IP-adresse, kan se hvilke sider du besøger og gemmer i de fleste tilfælde dine betalingsoplysninger. Af samme årsag bør man undgå VPN-udbydere, som bryster sig med at kunne levere anonymitet gennem deres service – for det er ganske enkelt en løgn.

Når det er sagt, kan en VPN-udbyder gå langt for at minimere mængden af personlige data som indsamles. Eksempelvis ved udelukkende at logge den mængde data det kræves for at servicen kan fungere (og hurtigt slette den igen), ved at brugere ikke skal opgive andre oplysninger end e-mail ved oprettelse af en konto, samt at acceptere betaling med kontanter eller kryptovaluta.

Selvom en VPN-udbyder har en fornuftig logningspolitik, er det også fordelagtigt at lægge mærke til hvilket land udbyderen er baseret i. Firmaet vil være underlagt eventuelle love om tvangslogning fra det pågældende land, og det kan et salgsslogan som “we keep NO logs in order to protect YOUR privacy” ikke ændre på.

Udover VPN-udbyderens renommé, er der naturligvis også en række tekniske specifikationer som servicen bør indeholde. Da kryptering er et af hovedingredienserne i en VPN-service, skal denne selvfølgelig være stærk, og skal helst være implementeret på sådan en måde, at man som bruger ikke skal konfigurere for meget eller kan komme til at lave svage indstillinger. Nogle services tilbyder forskellige protokoller, hvor en af mulighederne helst skal være OpenVPN. Generelt skal man undgå de som kun tilbyder PPTP, da den er usikker. En god VPN bør også tilbyde Forward Secrecy som standard. Dette sørger kort fortalt for, at den krypterede trafik ikke kan brydes, selvom selve krypteringsalgoritmen bliver kompromitteret i fremtiden.

Desuden skal man være opmærksom på, at en VPN-service ikke utilsigtet lækker information. En VPN-udbyder skal helst have gode foranstaltninger mod DNS-, IP- og IPv6 læk, da disse kan være med til at afsløre den rigtige IP-adresse samt hvilke sider man besøger – på trods af man er tilsluttet et VPN.

Hvis forbindelsen til en VPN-server af en eller anden årsag pludselig forsvinder, vil man helst sørge for, at enheden ikke skifter over og bruger den normale internetforbindelse som ikke er beskyttet af VPN-servicen. Derfor har nogle udbydere implementeret en såkaldt Kill Switch i deres software, som automatisk afbryder al internetaktivitet, hvis forbindelsen til VPN-serveren skulle forsvinde.

Som tidligere nævnt har nogle VPN-udbydere udviklet software, som gør det ligetil at benytte servicen. Softwaren klarer konfigurationen, og gør det nemt at vælge hvilken VPN-server man vil bruge, skifte krypteringstype med mere. Da tillid og transparens er vigtigt i forhold til valg af VPN-service, er det et stort plus hvis denne software er open source. Ellers har man ingen chance for at vide hvad der sker med forbindelsen (eller om softwaren indeholder malware). De fleste VPN-udbydere gør deres konfigurationsfiler tilgængelige for deres brugere, så man ikke behøver bruge den software der følger med. Her kan man lave sin egen opsætning med eksempelvis OpenVPN til Linux/Windows, TunnelBrick til MacOS eller OpenVPN Connect til iOS/Android.

Når man er tilsluttet et VPN, vil hastigheden på internetforbindelsen blive mere langsom end normalt. Det skyldes blandt andet, at internettrafikken bliver krypteret og skal igennem “et ekstra lag”. Derfor skal man vælge en VPN-udbyder som kan tilbyde servere med høje hastigheder, så forsinkelsen ikke bliver alt for mærkbar.

Ingen VPN-service er perfekt og i de næste afsnit følger en kort beskrivelse af to services, som hver har fordele og ulemper (se eventuelt dette skema, som indeholder internettes mest omfattende liste over forskellige VPN-udbydere og deres services’ specifikationer).

ProtonVPN
Url: https://protonvpn.com
Ejes af: ProtonVPN AG
Land: Schweiz

ProtonVPN er skabt af folkene bag ProtonMail. De tilbyder en VPN-service, hvor man kan vælge mellem 112 servere fra 14 forskellige lande. De har en no log policy og bruger udelukkende OpenVPN protokollen. Desuden har de som standard implementeret Forward Secrecy og krypterede DNS-opslag for at forhindre læk. De tilbyder også en Kill Switch, som er tilgængelig i deres egen VPN software. Desværre findes softwaren i øjeblikket kun til Windows. Man skal ikke bruge identificerbar information ved tilmelding (blot en e-mail og et brugernavn) og man kan vælge at betale med kreditkort, PayPal eller kryptovaluta. I øjeblikket skal man sende en e-mail til ProtonVPN for at kunne betale med kryptovaluta, så denne betalingsform er endnu ikke ordentligt implementeret.

Man kan vælge mellem tre forskellige pakker. En Basic, en Plus og en Visionary, som koster henholdsvis 4$, 8$ og 24$ om måneden. Køber man den sidstnævnte, fåes samtlige features som blandet andet giver mulighed for at have 10 enheder tilkoblet samt at route VPN-trafikken gennem Tor-servere.

Pros:
– Betaling med BitCoin
– Har implementeret Forward Secrecy
– Logger ikke trafik
– Tilbyder Tor route
– Bruger (udelukkende) OpenVPN protokol
– Har implementeret ekstra beskyttelse i form af en Secure Core feature
– VPN software (kun Windows)
– Kill Switch feature
– Mulighed for at tilknytte op til 10 enheder

Cons:
– Betaling med BitCoin er besværlig
– Har endnu ikke færdigudviklet apps til andre platforme end Windows
– VPN software er ikke open source
– Gemmer betalingsoplysninger
– Er forholdsvis ny på markedet

Private Internet Access (PIA)
Url: https://privateinternetaccess.com
Ejes af: London Trust Media, Inc.
Land: USA

Private Internet Access (eller PIA) er en af de største spillere på markedet. Deres VPN-service består af 3026 servere fra 25 forskellige lande. De har en no log policy og tilbyder OpenVPN, IPSEC/L2T, PPTP protokoller samt SOCKS5 proxyer. Hvis man binder sig for 12 måneder, koster deres VPN-service 3,33$ om måneden. Man kan betale med stort set alle betalingskort samt BitCoin og man kan have op til 5 enheder tilsluttet ad gangen.

Når man opretter en konto hos PIA, kan man hente deres VPN software som virker på alle populære styresystemer og enheder. Softwaren er nem at sætte op og har en masse features såsom Kill Switch, beskyttelse mod IPv6 og DNS læk, reklame/malware blokering med mere. Man kan også vælge hvordan trafikken krypteres, så man kan balancere mellem sikkerhed og hastighed. Det er dog værd at bemærke, at softwaren ikke understøtter andre protokoller end PPTP/L2TP når den bruges på iPad, iPhone og en ikke-rooted Android og at softwaren ikke er open source.

Selvom navnet på udbyderen antyder de er fra England, så er firmaet rent faktisk baseret i USA.

Pros:
– Betaling med BitCoin
– Logger ikke trafik
– VPN software til alle platforme
– Understøtter OpenVPN protokol
– Tilbyder SOCKS5 proxyer
– Nem at sætte op og nem at bruge
– Stor brugerbase, aktivt forum og detaljerede brugerguides

Cons:
– Gemmer betalingsoplysninger
– Amerikansk virksomhed
– Tilbyder PPTP protokol
– VPN software er ikke open source

Og husk: det handler om tillid! Så tjek selv op på både VPN-servicen og firmaet bag, inden du lægger din interforbindelse i deres hænder. En VPN-service kan have fordele for dit online privatliv – men gør op med dig selv, om du er parat til at flytte tilliden fra din normale internetudbyder over til en kommerciel VPN-udbyder. Hvis du er modig (og en anelse tech-savy) kan du måske overveje at sætte din egen VPN-server op i stedet.

Den store guide til passwordmanagers

Jeg driver Facebook-siden Ugens Sikkerhedstip, hvor jeg løbende kommer med små tips til IT-sikkerhed og privatliv. For nylig linkede jeg til en kort artikel om passwordmanagers. Derefter skrev en læser, Holm, til mig og tilbød at skrive en bedre og mere detaljeret guide. Det er så optur, når dygtige folk vil bruge tid på at dele sin viden med andre. Without further ado er her Holms fantastiske passwordmanager-introduktion.

INTRO
Der er ret stor chance for du har hørt password-managers omtalt enten i artikler, reklamer eller fra din tech-savy kammerat, som med store armbevægelser har postuleret at: “Password-managers! Det er skide smart!”

Men hvad er en password-manager?

En password-manager (herefter pw-manager) er et stykke software designet til at opbevare, organisere og kryptere dine kodeord til dine forskellige onlinekonti og dele dem sikkert på tværs af dine enheder.

De fleste managers fungerer på samme måde: under installationen opretter du et stærkt såkaldt ‘master password’, som du kan bruge til at dekryptere din managers database. På den måde skal du kun huske ét kodeord i stedet for mange. Efterfølgende kan du indføre alle dine kodeord (eller anden vigtig information) i managerens database, enten manuelt eller automatisk alt afhængig af hvilken type manager man bruger. Ofte indeholder manageren ligeledes en password generator, så man kan genere kodeord. Databasen bliver syncet via en cloud tjeneste, så du kan bruge databasen på tværs af enheder. Dog er der forskel på hvordan managers beskytter og behandler dine kodeord samt hvordan de forskellige udbyderes forretningsmodeller er bygget op.

En web-baseret manager gemmer databasen på cloud server. Fordelen ved en web-baseret manager er, at man kan tilgå den alle steder hvor der er en internetforbindelse.

Andre managers fungerer som browser extensions til Firefox Chrome, Safari o.lign, hvor databasen kan ligge i en cloud eller udelukkende lokalt på maskinen. Fordelen ved en manager, der fungerer som browser extension er, at manageren kan snakke direkte sammen med de sider du besøger, hvorfor det er muligt at manageren automatisk udfylder login-felter.

Andre fungerer udelukkende som en standalone app, hvor databasen som udgangspunkt kun ligger lokalt. Fordelen ved disse er, at man selv kan opsætte en brugerdefineret sync funktion, hvilket giver mere kontrol over hvordan databasen bliver delt med andre enheder.

Nogle managers tilbyder en kombination af de ovenstående.

Nogle managers er open source, andre er ikke. Nogle koster penge, andre gør ikke. Og måske vil den opmærksomme læser på nuværende tidspunkt tænke:

“Er det ikke en dårlig idé at give alle mine kodeord til en 3. parts service?”

Ja og nej.

Vælger man en løsning, som kun kan fungere gennem en 3. parts cloud service, er det selvfølgelig essentielt at man kan stole på udbyderen. De forskellige udbydere slår sig op på, at krypteringen og dekrypteringen af databasen teknisk set udelukkende sker på din enhed (det man kalder client-side de- og encryption), hvorfor master passwordet, samt databasen, kun kan ses i sin krypterede form af udbyderen. Derfor bør databasen være sikker, selv om den ligger på en cloud server hos et firma. Dog har der været eksempler, hvor det er gået galt. Til gengæld gør en cloud-løsning det nemt at bruge en pw-manager og closed source managers, som koster penge, har ofte en del features som gør programmet let at bruge.

Vælger man i stedet en gratis og open source løsning, hvor man selv kan bestemme hvordan, og om, databasen skal ligge i en cloud og deles mellem enheder, får man mere gennemsigtighed og kontrol med hvordan ens kodeord opbevares – dog går man ofte på kompromis med brugervenligheden, og er måske tilbøjelig til at stoppe med at bruge manageren.

At vælge en pw-manager handler ofte om tillid vs. brugervenlighed, og i denne korte gennemgang forsøger jeg at fremlægge et par forskellige managers opbygning, features og anvendelighed, så du kan vælge den der passer til dit behov.

LastPass
URL: https://lastpass.com
Ejes af: LogMeIn, Inc.

LastPass er en pw-manager der fungerer som en extension til web browsere, som standalone desktop app samt mobil app. Browser extension er tilgængelig til IE, Firefox, Safari, Chrome, Opera, Maxthon mfl., og appen findes til macOS, Windows, Linux, iOS, Android og Windows Phone.

LastPass er nem at installere: man downloader den browser extension/mobile app man skal bruge, opretter en konto og går i gang. Man kan tilføje 2-faktor godkendelse til sin profil, så det ikke udelukkende er ens master password man skal bruge for at åbne manageren. Databasen skal synces over LastPass’ cloud service, og der er ikke mulighed for udelukkende at have sin database liggende lokalt. Man kan også vælge at benytte LastPass’ desktop app, som, foruden at mangle et par features, fungerer på nogenlunde samme måde som deres browser extension.

LastPass har en gratis og en premium udgave. Gratis udgaven rummer basale features såsom deling af kodeord mellem alle enheder, en password generator, en form-filler og 2-faktor godkendelse. Med premium udgaven, som koster 2$ om måneden, får man blandt andet bedre support, ‘LastPass for applications’ (en manager som gemmer logins til programmer, dog kun Windows), samt adgang til et 1GB krypteret cloud drev. Desuden kan man opgradere til en business/enterprise service, hvor man kan samle og administrere kodeord på tværs af sin organisation.

Da LastPass kan kommunikere med ens browser via browser extension, kan den med auto-fill funktionen selv udfylde både brugernavn og kodeord på nogle sider. Flere managers har implementeret auto-fill funktioner, dog fungerer den ikke altid i praksis hos LastPass, hvorfor man nogle gange er nødt til manuelt at copy/paste sit brugernavn/kodeord ind.

LastPass benytter AES-256 kryptering, hvilket de fleste andre managers også gør. Den krypterede database ligger på LastPass’ servere, som tillader sync mellem enheder. Dog skal man ikke lade sig snyde når LastPrass skriver: “Data stored in your vault is kept secret, even from LastPass”. Kodeordene er sikre, men de krypterer ikke en betydelig mængde metadata. Blandt andet modtager firmaet informationer om hvilke sider man har i sin database, samt hvornår og hvor ofte man besøger disse – hvilket er et potentielt stort privacy issue.

Samlet set er LastPass en brugervenlig manager. Den er nem at sætte op, virker til stort set alle enheder og fungerer efter hensigten. Dog er der nogle ting på feature- og (især) sikkerhedsfronten man godt kunne tænkte sig var meget bedre og mere fleksible.

Pros:
– Nem at installere og nem at bruge
– Ingen begrænsning på antal enheder man kan tilknytte
– Native mobile app
– 2-faktor godkendelse
– Gratis version med mange features
– Password generator

Cons:
– Closed source
– Metadata er ikke krypteret (LastPass kan se hvilke hjemmesider man har en bruger på, hvor ofte man besøger disse)
– Ingen mulighed for at fravælge cloud sync

Dashlane
URL: https://dashlane.com
Ejet af: Dashlane

Dashlane er en pw-manager som fungerer både som desktop app, browser extension og mobil app. Browser extensionen er tilgængelig til Chrome, Firefox, Safari og IE og applikationen virker til macOS, Windows, iOS samt Android.

Dashlane installeres ved at man downloader desktop udgaven fra deres hjemmeside, installerer den, hvorefter man skal registrere sig som bruger. Herefter downloades de browser extensions som skal bruges. Efterfølgende kan man downloade en mobil app til sin smartphone eller tablet, så man kan synce sine kodeord på tværs af enheder via Dashlanes cloud service. Når man har indtastet sit master password er der ikke mulighed for at resette det hvis man glemmer det, hvilket er en god ting, da det betyder, at den eneste måde at komme ind i databasen på, er ved at kende master passwordet.

Dashlane har en password generator og en god auto-fill funktion, som endda lader dig skifte mange kodeord på én gang på et stort antal sider – hvilket er super smart og sparer én for en masse tid. Den understøtter forskellige former for 2-faktor godkendelse – og hvis man har FreeOTP, Google Authenticator eller lign., virker dette også til mobile enheder. Desuden har Dashlane en funktion kaldet ‘Security Alert’, hvor man får en notifikation hvis nogle af de sider man har en bruger på, er blevet hacket.

Når man bruger Dashlane kan man til enhver tid vælge at stoppe synkronisering med deres cloud server, sådan at ens database udelukkende ligger lokalt. Det gør så, at man ikke kan synce med sine andre enheder.

Dashlane benytter, som mange andre managers, AES-256 kryptering.

Dashlane har både en gratis og en premium udgave. Sidstnævnte koster 3,33$ om måneden. Ved oprettelse har man mulighed for at få 1 måneds premium gratis. I premium udgaven får man adgang til bedre support, mulighed for at se sine password via en web-app, 2-faktor godkendelse og sync mellem uendeligt mange enheder. I gratis udgaven kan man altså ikke synce med andre enheder eller bruge 2-faktor godkendelse. Det er blandt andet cloud servicen man betaler for, hvorfor man i gratis udgaven må nøjes med at have sin database på én enhed. Det er ikke muligt at bruge sin egen cloud tjeneste, da man skal logge ind med en premium account på alle de enheder man benytter.

Dashlane er en brugervenlig pw-manager med mange fede features – især den formidable form-filler som bare virker. Dog er der mange af de essentielle features (såsom sync med andre enheder) som kræver, at man betaler for en premium account.

Pros:
– Nem at installere og nem at bruge
– Mulighed for udelukkende at have databasen lokalt
– 2-faktor godkendelse
– God desktop app
– Native mobile app
– Skift alle kodeord med et klik (på de største sites)
– Sender notifikationer med sikkerheds advarsler
– God form-filling funktion

Cons:
– Closed source
– Mange features kræver premium account:
– Kan kun tilknytte 1 enhed på en gratis account
– 2-faktor godkendelse virker ikke på en gratis account
– Ingen applikation til Linux

1Password
URL: https://1password.com
Ejes af: AgileBits Inc.

1Password fungerer som en desktop app, mobil app samt browser extension. Desktop app findes til macOS og Windows (ingen Linux) og mobile app findes til iOS og Android. Browser extension virker i Firefox, Safari, Chrome og Opera. Desuden kan man tilgå sin database via en web-app.

Manageren er nem at installere og nem at bruge. Man downloader den desktop app, mobil app eller browser extension man skal bruge. Herefter skal man registrere en konto, hvorefter man kan gå i gang med at skabe og organisere sine kodeord og dele dem på tværs af sine enheder.

1Password tilbyder ikke en gratis udgave, dog får man 1 måned prøveperiode når man tilmelder sig. En personal account koster 2,99$ om måneden og en family account koster $4,99 om måneden.

1Password har en password generator, rigtig god form-filling via browser extension, sikkerhedsadvarsler hvis én af de sider man har en bruger på er blevet hacket, samt en smart feature kaldet ‘Travel Mode’, som, når slået til, fjerner alle 1Password databaser fra brugerens enhed.

1Password bruger, som mange andre managers, AES-256 kryptering.

Har man ikke har lyst til at benytte 1Passwords egen cloud service til sync, er det muligt at opsætte enten en WLAN, Dropbox eller iCloud service til sync. Det giver god fleksibilitet, og større kontrol over hvor ens kodeord bliver gemt. Desuden er det muligt udelukkende at have sine kodeord lokalt, hvis man ikke ønsker at databasen skal synces.

1Password er en god pw-manager, som er nem at installere og bruge. Den indeholder gode features (især Travel Mode er ret sejt) og god fleksibilitet i forhold til valg af cloud service og sync. Desværre findes der ikke nogen gratis version.

Pros:
– Nem at installere og nem at bruge
– Mulighed for udelukkende at have databasen lokalt
– Mulighed for at opsætte egen sync service over WLAN, Dropbox, iCloud mfl.
– 2-faktor godkendelse
– Native smartphone app
– Sender notifikationer med sikkerheds advarsler
– Travel Mode som midlertidigt sletter databasen fra enheder
– God form-filling

Cons:
– Closed source
– Gratis kun i en begrænset periode
– Ingen Linux version
– Rimelig pricy

Bitwarden
URL: https://bitwarden.com
Ejes af: 8bit Solutions LLC

Bitwarden er en open source pw-manager med nogenlunde samme funktionaliteter som LastPass og Dashlane (og mere til). Bitwarden fungerer også som en browser extension, og understøtter Chrome, Firefox, Opera, Vivaldi og TOR til både Windows, macOS og Linux. Bitwarden benytter AES-256 kryptering, salted hashing, og PBKDF2 SHA-256. Bitwarden har en gratis, premium og business version. I gratis versionen får man adgang til alle gængse features såsom: sync på uendeligt mange enheder, 2-faktor godkendelse, en password generator, en auto-fill funktion mm. I premium udgaven får man mulighed for yderligere 2-faktor godkendelse via fysiske tokens såsom YubiKey eller FIDO U2F, et 1GB krypteret cloud drev mm. Premium koster 10$ om året.

Bitwarden er nem og hurtig at installere. Man downloader den browser extension/mobil app man skal bruge, opretter en konto og kan strakt gå i gang med at genere, ændre og organisere sin kodeord. Browser extensionen virker som den skal og auto-fill funktionen er god. Databasen synces som udgangspunkt over Bitwardens cloud service. Hvis man vil, kan man tilgå sin database via en web-app.

Hvis man ikke har lyst til at bruge Bitwardens cloud service, er det muligt at opsætte sit eget sync miljø. Bitwarden tilbyder nemlig et ready-to-use Docker image, så man selv (med en anelse teknisk snilde) kan hoste sin egen instans af Bitwarden infrastrukturen. Så er man fri for at bruge deres cloud servere, og kan stadig synce mellem forskellige enheder. Og da alt Bitwarden-software er open source, har man med denne løsning indsigt i hvordan ens kodeord bliver lavet, gemt og delt.

Alt i alt er Bitwarden et glimrende open source alternativ. Den rummer de samme funktioner som andre closed source managers, men har den klare kvalitet i at have en offentlig tilgængelig kildekode og god fleksibilitet.

Pros:
– Open source
– Nem at installere og nem at bruge
– Native mobile apps
– Gratis version med mange features
– Ingen begrænsning på antal enheder man kan tilknytte
– Mulighed for at opsætte egen sync-service
– 2-faktor godkendelse

Cons:
– Ingen desktop app

KeePassXC
URL: https://keepassxc.org
Ejes af: Ingen (bliver udviklet af et lille team, men alle kan i princippet være med til at bidrage til udviklingen)

KeePassXC (og resten af KeePass “serien”) er pw-manageren til de som ønsker fuld kontrol, ikke vil gå på kompromis med sikkerheden og som måske ikke stoler helt på firmaerne og cloud-
løsningerne bag de store pw-managers. EFF anbefaler den og den er pre-installeret i det privacy-orienterede operativsystem TAILS.

KeePassXC er et community fork af KeePassX. KeePassX er en videreudvikling af KeePass. KeePassXC er derfor en 3. generations udvikling af en solid pw-manager, og denne version udmærker sig ved at blive jævnligt opdateret samt at den virker til både Windows, macOS og Linux.

Til forskel for de øvrige pw-managers, kommer KeePassXC ikke med browser extensions eller mobile apps, men udelukkende som en dekstop app. Det kræver ingen registrering – man skal bare downloade programmet og gå igang.

Når man starter manageren, skal man oprette en databasefil, hvorefter man skal lave et master password. Da man ikke har registreret nogen konto, er der ingen mulighed for at resette master passwordet hvis man glemmer det. Man kan også vælge at benytte en key file (en fil man vælger som kan låse databasen op) i stedet, ligesom man kan opsætte challenge response.

KeePassXC har en glimrende password generator, og et fikst mappesystem, hvor man nemt kan arrangere sine forskellige konti. Manageren har også en form-fill funktion, dog er den ikke så smart som de managers, der har funktionen integreret i en browser extension. Til gengæld kan den let tilpasses, så form-fillingen, med lidt arbejde, virker til stort set alle sites.

KeePassXC tilbyder ingen cloud service, så hvis man vil synce med sine andre enheder, må man være en anelse kreativ. Heldigvis findes der et par open source apps til både iOS og Android, som kan arbejde sammen med KeePassXC. Til iOS findes MiniKeePass og til Android kan man bruge KeePassDroid.

Selve sync funktionen kan man sætte op via sin favorit cloud tjeneste. Man kan bruge Dropbox, Syncthing eller noget helt tredje. Man kan også bare eksportere sin database og sende den via mail til sig selv, åbne på den på sin telefon og importere den i sin app.

Et setup med eksempelvis KeePassXC på desktop, KeePassDroid på telefonen og Syncthing som sync tjeneste, giver dig en gratis og ren open source-løsning, hvor man er fri for at have sine kodeord liggende hos en 3. part cloud service, ligesom du er fri for at din database er tilgængelig via en web-app.

Alt i alt er KeePassXC en robust og ikke mindst sikker måde at opbevare sine kodeord på. Omend er KeePassX ikke en ‘out-of-the-box’-løsning og ikke så feature-fyldt, som eks. 1Password og Bitwarden, hvorfor et godt setup kræver en lille smule mere arbejde end de øvrige. Dog bliver man belønnet ved at have fuld kontrol over ens kodeord, uden at skulle benytte en browser extension eller en predefineret cloud service.

Pros:
– Open Source
– Gratis
– Kræver ingen registrering
– Mulighed for lokal database
– Form-filling med rig mulighed for tilpasning
– Understøtter token (key file) baseret godkendelse
– 2-faktor godkendelse
– Meget fleksibel
– Bestemmer selv hvilken cloud services som bruges til sync

Cons:
– Ingen native apps til smartphone (der findes dog apps udgivet
af andre, som kan bruges)
– Kan være en anelse udfordrende at sætte op til samme
funktionalitet som de andre managers