onsdag 10. august 2011

LastPass - Hvorfor du bør ha sikre passord, og hvordan du sikrer deg.

HVORFOR ha sikre passord på nettet?
Det høres kanskje merkelig ut, men jeg har faktisk pratet med flere som ikke skjønner hvorfor det er viktig å ha sterke, unike passord på diverse nettsteder. Flere jeg kjenner bruker det samme passordet (eller noen få varianter av samme passord) på alle nettjenester. Alt fra Facebook, e-post, til mindre viktige forumsider. Argumentene er gjerne "jeg skjønner ikke hvem som skulle ha interesse av å hacke meg", "det er ikke noe interessant på min Facebook side uansett", "jeg har ikke noen e-post som andre har interesse av", eller lignende.

Det er nesten vanskelig å vite hvor man skal begynne med slike holdninger, som forhåpentligvis er unntaket, og ikke regelen. Du har faktisk ganske mye sensitiv informasjon på sosiale nettverk, og e-post-kontoer. Det er slettes ikke umulig at noen kan få nok informasjon til et identitetstyveri. I tillegg skyldes mye av spammen du får, hackede kontoer. Jeg har opplevd mange ganger at jeg får e-post fra gamle venner som står på engelsk, og stort sett inneholder en lenke. I de fleste tilfeller skyldes dette at noen har fått tak i e-post-passordet til vedkommende.

Hvordan kan noen få tak i passordet ditt?
Det finnes utallige måter. Phishing er en kjent metode, hvor f.eks noen lager en nettside som ser helt lik ut som facebook, og lurer folk til å logge seg inn. Kanskje har det adressen www.faceboook.com, eller facebook.com.zh. Kanskje er det en helt annen side som sier at du må oppgi e-post-adressen og passordet ditt for å "sjekke" om du har andre venner som bruker samme tjeneste som du? Facebook tilbyr å sjekke både hotmail, yahoo, gmail, og flere andre tjenester for å finne venner for deg, men å gi bort passordet ditt er gambling uansett.

Brukeren gjør ofte dumme ting. Jeg har flere konkrete eksempler på dette. For eksempel så jeg engang noen som oppga et passordhint til sin hotmail-konto: "blond tengneseriefigur". Med et sånt hint var det lett å komme seg inn. Passordhint bør ikke brukes, eller i såfall være ekstremt kryptiske. Dessuten skal de ikke være et hint til passordet, men et hint for å resette passordet.

I studietiden laget vi noen nettsider som krevde pålogging. Vi hadde ikke noen kryptering på passordene, og kunne gå rett i databasen å se alle passordene. Selv om noen passord så veldig sikre ut, hjalp det lite når det var samme passord som på epost-kontoen (som de også hadde registrert). Du har faktisk ingen garanti for at nettstedene du registrerer deg på har som mål å holde passordet ditt sikkert.

Løsningen er gratis og heter LastPass
Jeg kunne fortsatt å skrive om problemene (har mange flere eksempler), eller anbefale folk å alltid bruke nye unike passord med blanding av bokstaver og tall, og pugge samtlige. Det er ikke spesielt realistisk. Løsningen er nettjenesten LastPass. Kort fortalt trenger du å lage deg ett nytt sikkert hovedpassord; det siste passordet du trenger å huske. Tjenesten samler inn alle passordene dine og lagrer dem trygt. Når du installerer LastPass på maskinen din tilbyr den seg å sjekke om du har lagret passord i nettleseren og importere disse til tjenesten. Det sier forøvrig noe om hvor utrygt passordene du har lagret i nettleseren er. Som en plug-in/extension til alle de store nettleserne, kan LastPass huske passord du skriver inn når du gjør en innlogging. Den kan generere et sikkert passord for deg når du registrerer deg (eller endrer et passord). Det spiller ingen rolle om du ikke husker passordet, for LastPass husker det for deg. LastPass kan også fylle inn brukernavn og passord automatisk når du kommer til et innloggingsbilde.
Dette passordet er både
unikt og sikkert!

Alt er beskyttet i hvelvet bak ditt (forhåpentligvis) supersikre LastPass-passord. Du kan også logge deg inn på nettsiden www.lastpass.com for å enten se passordene dine, eller i noen tilfeller få den til å logge deg inn på noen av sidene for deg, uten å måtte skrive inn passordet manuelt. Dette kan være ganske nyttig på f.eks en nettcafé hvor du ikke aner om det er keyloggers (program som registrerer samtlige tastetrykk), eller overvåking av nettverktrafikk.

Er dette trygt da?
Jeg ser to grunner til å bli skeptisk. Vil du virkelig at alle passordene dine skal ligge lagret på nettet? Det høres jo mer utrygt ut enn å ha dem lokalt i nettleseren. Joda, det handler tildels om å stole på LastPass, men det er faktisk ikke så usikkert som det høres ut som. Alle passord er kryptert mellom deg og LastPass, passordene er kryptert med ditt hovedpassord ("master password"), og krypteringen skjer på din maskin, før den blir sendt av gårde, slik at ingen kan snappe den opp på veien. Det betyr også at det ikke er mulig å få tilbake passordet ditt (eller resette det) hvis du først mister det. Alle passordene dine som er lagret hos LastPass er låst med din nøkkel i form av hovedpassordet.

Den andre grunnen til å bli skeptisk er: hva om noen får tak i hovedpassordet ditt? Da har de jo tilgang til alle dine andre passord. Ja, det er riktig, men det har de i praksis hvis du får tilgang til e-postkontoen din også. Da kan de resette stort sett hver eneste konto du har for å komme seg inn. MEN, LastPass har en haug med muligheter for å sikre ditt hovedpassord. Spesielt hvis du sitter på en fremmed datamaskin er det nyttig å kunne bruke alternative innloggingsmetoder, f.eks skjermtastatur, eller engangspassord.

LastPass vil også beskytte deg mot phishing, fordi den ikke vil fylle inn brukernavn/passord på ukjente domener. Du kan dessuten dele passord med venner på en sikker måte, (dvs du slipper å sende dem en e-post, det blir sendt til kontoen deres.) De har også en haug med andre muligheter og sikkerhetsinnstillinger, men det kan jo de som skulle være interessert sette seg inn i selv.

Mobilversjon også
LastPass til mobiltelefon er
i likhet med nettjenesten
tilgjengelig på norsk
Fram til nå har jeg fokusert på sikkerheten ved å benytte LastPass, men det er faktisk ganske praktisk også. Du kan også få LastPass til de fleste smartphones. iPhone, Android, Symbian og BlackBerry for å nevne noen. Dette krever riktignok en premiumkonto, men det koster kun $1 i måneden, noe som tilsvarer ca 65 kr i året med dagens dollarkurs.

Jeg har kun testet iPhone-versjonen, men antar at de andre har lignende features, om ikke bedre ettersom Apple er kjent for et litt strengt regime. For det første trenger du ikke appen i det hele tatt hvis du skal bruke den i Safari. Du kan installere en såkalt bookmarklet, som fungerer omtrent som extensions på datamaskinen.
Det går kjapt å kopiere
fra appen.

Men hvis du installerer appen kan du både bruke den innebygde nettleseren til å surfe på sider som krever innlogging, og se/redigere/kopiere brukernavn og passord. Sistnevne er å foretrekke når du skal logge inn i en annen app som krever brukernavn/passord. Faktisk bruker jeg adskillig kortere tid på å åpne Lastpass, kopiere e-posten min (som ofte er brukernavnet mitt) lime det inn, kopiere passordet mitt, og lime det inn, enn å knote med dette på en touchscreen.

Har jeg overbevist deg? Sett i gang: www.lastpass.com