Artikel top billede

(Foto: Computerworld)

Guide: Det sidste kodeord, du får brug for

Vi ved alle, at vi ikke bør genbruge kodeord, men med så mange websites, der kræver brugerkonti, er det nærmest umuligt at oprette forskellige og sikre kodeord, som er til at huske. Og hertil kommer, at man skal ændre dem regelmæssigt (det bliver krævet af nogle firmaer).

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det fører til et problem: Hvis nogle kan cracke kodeordet til en af dine konti, kan det åbne døren til mange andre. Det er her, kodeordsmanagere kommer ind i billedet. De lagrer alle ens kontooplysninger på et centralt sted og laver automatisk loginskærme, således at man ikke selv behøver at huske dem (eller skrive dem ned på gule post-it-pads). Kodeordsbankboksen bliver sikret af et enkelt masterkodeord, som er det eneste, man er nødt til at huske.

Bitwarden er en gratis kodeordsmanager, og den er open source. Den gemmer dine kontooplysninger i et cloudlager, således at du har adgang til dem fra en enhver internetforbundet enhed. Bitwarden krypterer ved hjælp af AES 256-bit-kryptering og salted hashing, og derfor er data på dens servere ubrugelige uden dit masterkodeord – og din smartphone, hvis du vælger totrinsbekræftelse. Eftersom Bitwarden er cloud-baseret, kan den ikke bruges til at sikre kodeord til Wi-Fi-adgangspunkter, Windows-brugerkonti eller andre offlinetjenester, men til webkonti er den fremragende.

1 Opret en konto og aktiver totrinsbekræftelse

Besøg https://bitwarden.com, og vælg “Create an account.” Det masterkodeord, du skriver her, bliver den eneste mulighed for at få adgang til krypterede logins i fremtiden. Derfor skal du sikre dig, at det er noget, du kan huske. Tilføj et hint, som kun giver mening for dig. Når du er færdig, logger du ind.
>> Det er en god ide at initiere totrinsbekræftelse.

Det vil sige, at hvis dit masterkodeord bliver afluret, kan man ikke dekryptere dine logins uden verifikation fra din smartphone. Klik “Settings > Two-step login.” Skriv igen dit masterkodeord. Download så den relevante mobil-app (Authy til iOS eller Android og Microsoft Authenticator til Windows-enheder), og følg anvisningerne på skærmen til at oprette en bekræftelseskonto.

Brug smartphone-appen til at scanne QR-koden på din Bitwarden-kontoside [Billede A] og dermed forbinde de to konti. Log nu ind på Bitwarden. Du skal ikke kun bruge dit masterkodeord, men også en sikkerhedsnøgle på syv anslag, der bliver genereret af mobil-appen hver 20. sekund. Bitwarden giver dig en backupkode for det tilfældes skyld, at du mister din telefon. Gem den et sikkert sted.

Billede A

2 Gem dine logins

Nu er du klar til at begynde at gemme dine brugernavne og kodeord. Dem har du sikkert i dusinvis, og det er derfor praktisk at holde dem organiseret efter type. Klik “My vault > New folder,” og lav nogle mapper til forskellige kontotyper (sociale medier, e-mail, shopping, fora og så videre).

Klik nu “Add a login,” og udfyld formularen [Billede B]. Bitwarden viser dit kodeords styrke, mens du skriver det. Klik på øjenikonet for at være sikker på, at du har skrevet kodeordet korrekt, eller klik på opdater-ikonet, hvis du vil generere et nyt, stærkere kodeord. Der er også et område, hvor du kan gemme noter, der bliver krypteret sammen med brugernavnet og kodeordet.

>> Tilføj resten af dine logins på samme facon. Når du fremover besøger et af disse sites via Bitwarden, bliver felterne for brugernavn og kodeord automatisk udfyldt for dig.

Billede b

3 Indstil domæne-ækvivalenter

Hvis du vil blive ved med at bruge de samme logins til flere konti, kan du forbinde dem, så du undgår at skulle skrive dem flere gange. Opret et i din boks, og klik så på “Settings > Domain rules.” Bitwarden viser en liste over relaterede sites, der sandsynligvis bruger de samme loginoplysninger – såsom Google og YouTube – som du kan slå til og fra [Billede C].

Billede c

Når du vil tilføje dine egne ækvivalenter, blader du ned til bunden af listen og klikker “Add new.” Skriv de domæner, du ønsker at forbinde, adskilt af kommaer, og klik så “Submit.” Bemærk, at du kun kan bruge basale domæner, ikke underdomæner.

4 Import- og eksportlogins

Hvis du flytter til Bitwarden fra en anden kodeordsmanager, behøver du ikke at genindskrive alle dine kodeord manuelt. De fleste kodeordsmanagere kan eksportere dine arkiverede logins i CSV-format (comma-separated value). Lemp dem over i Bitwarden ved at vælge “Tools > Import” på dit dashboard, find filen, og klik “Import.” Hvis du af en eller anden grund beslutter, at Bitwarden ikke er noget for dig, kan du også eksportere logins på samme vis.

5 Hent browser-extensions

Bitwardens browser-extensions udgør en praktisk metode til at håndtere passwords på de sites, du besøger, uden at skulle gå til https://bitwarden.com for at indlede en ny browsersession. I øjeblikket kan man få plugins til Firefox, Chrome og Opera. Søg blot på “bitwarden” i den relevante store, installer den, og log ind med dit brugernavn og masterkodeord (plus en verifikationskode fra din telefon, hvis du har aktiveret totrinsbekræftelse).

De fleste af funktionerne vil være velkendte fra https://bitwarden.com, men kodeordsgeneratoren [Billede D] er et meget nyttigt ekstraværktøj, der hjælper brugeren til at lave sikre logins til sites, der kræver specifikke antal eller typer af tegn. Klik “Tools > Password generator,” og brug tjekboksene til at vælge, om kodeordet skal skrives med små bogstaver, store bogstaver eller en blanding af begge dele, og om det skal indeholde tal eller specielle tegn (og i givet fald hvor mange).

Billede d

6 Prøv Bitwardens mobil-app

Bitwarden har også en mobil-app til iOS og Android. Når den er installeret på din smartphone, logger du ind med brugernavn, kodeord og verifikationskode. Også her er de fleste funktioner velkendte, men der er nogle interessante ekstramuligheder. Tryk “Settings”, så får du yderligere sikkerhedsfunktioner, herunder muligheden for at logge ind med et fingeraftryk eller en pinkode. Du kan også vælge, hvor længe din session skal være aktiv, før den bliver afsluttet, så man igen skal skrive sit masterkodeord.

>> Hvis du vil besøge et site, trykker du “Vault,” trykker på sitets URL, hvorefter den bliver åbnet i din standardbrowser. Bitwardens udvikler arbejder i øjeblikket på en forbedret autofyld-funktion, men i øjeblikket er man nødt til at kopiere og indsætte kodeord fra Bitwarden ind i andre apps.

Fjerne eller lokale bankbokse

Der findes masser af kodeordsmanagere. Nogle, herunder KeePass, gemmer dine krypterede logins lokalt. Det betyder, at du bevarer den komplette kontrol med dine logins, og du kan få adgang til dem offline, men det er kompliceret at arrangere synkronisering (det kan man læse mere om på http://keepass.info/help/v2/sync.html), og de er mindre praktiske, hvis man bruger flere enheder. Andre som for eksempel LastPass og Bitwarden gemmer dine logins på fjernservere, efter at de er blevet krypteret.

Det er mere praktisk ved flere enheder, men det betyder, at man er nødt til at stole på, at serverne er oppe at køre, og at der ikke opstår trusler mod sikkerheden. I 2015 meddelte LastPass, at brugerdata var blevet stjålet fra firmaets servere, herunder e-mailadresser, kodeordspåmindelser og verifikations-hashes.

Disse hashes var tilstrækkeligt krypteret til at forhindre andre i at få adgang til brugerkonto, men alle brugere måtte resette deres masterkodeord for at være på den sikre side. Det er op til dig at beslutte dig for, hvad der er din vigtigste prioritet. Imidlertid har Bitwarden langt færre brugere end LastPass, og her er risikoen derfor mindre.