Före 2009 var mitt standardlösenord snigel eventuellt i kombination med något mer för att göra det säkrare. Ville jag göra lösenordet riktigt säkert la jag till mitt telefonnummer. Samma lösenord överallt – för jag ville ju ha något som var smidigt att komma ihåg också…
Det var väl si och så med säkerheten på lösenord får nog sägas…
2009 upptäckte jag Lastpass, vilket jag använt sedan dess. I början använde jag det mest för att slippa fylla i lösenordet på sajter jag besökte, men med tiden har jag säkrat upp med svåra och unika lösenord för varje sajt.
Det är just det som är det smidiga med Lastpass och liknande tjänster. Man kan ha säkra och unika lösenord för alla sajter man skapar ett konto på. Eftersom Lastpass automatiskt (om jag vill) fyller i uppgifterna när jag ska logga in på sajten så behöver jag inte bry mig om vilket lösenord som används.
Mitt gamla lösenord snigel kan med en vanlig dator knäckas på nånstans mellan 7 millisekunder och 5 minuter beroende på vad man gör med det. Att lösenordet dessutom finns med i mer än 500 läckor gör det inte säkrare.
Med Lastpass använder jag idag 20+ tecken och får ut ett lösenord som liknar JIO0cU!0&fWD&a$2@lU@M vilket det tar en superdator drygt 1000 år att komma fram till.
Själv behöver jag komma ihåg ett huvudlösenord, alla andra lösenord kommer Lastpass ihåg åt mig.
Lastpass fungerar såväl på dator som smartphone/platta med webbläsartillägg och/eller appar.
Vad kan Lastpass hjälpa dig med?
Lastpass och andra krypterade lösenordsvalv kan dels hjälpa dig med att klottra ner lösenord på en lapp att lägga bredvid datorn (snälla, gör aldrig det…), men kan även hjälpa till med så mycket mer;
- Lagra dina kort/betalningsuppgifter och leveransadresser
- Generera starka och unika lösenord varje gång du loggar in på ett konto som innehåller känslig information
- Meddela dig om du har använt samma lösenord för flera konton
- Lagra andra digitala poster som dina WiFi-lösenord, försäkringsnummer och medlemskap
LastPass lagrar många känsliga lösenord och uppgifter på ett ställe. Men man brukar ju säga att man inte ska lägga alla ägg i samma korg, så låt oss ta en titt på hur LastPass fungerar och vilka säkerhetsåtgärder som används.
Hur säkert är Lastpass?
För att skapa ett LastPass-konto måste du skapa ett starkt huvudlösenord. Det måste vara minst 12 tecken långt och innehålla versaler, siffror och symboler. Det här lösenordet krypteras när du skapar det, så om du tappar bort eller glömmer det kommer LastPass inte att kunna återställa det åt dig. Detta betyder också att om ett dataläckage skulle ske, kommer ditt huvudlösenord inte att finnas i den databasen.
LastPass använder PBKDF2-SHA256 för att hasha ditt huvudlösenord, vilket avsevärt saktar ner brute-force attacker. Normalt, om en hackare försöker bryta sig in på ditt konto med en databas med läckta lösenord, kan han gissa miljarder lösenord per sekund. Med PBKDF2-SHA256 hashing kan han bara gissa några tusen per sekund.
Lastpass erbjuder också multifaktorautentisering, vilket innebär att du måste slutföra ett extra verifieringssteg för att logga in på ditt konto. Detta kan vara en kod som skickas via ett textmeddelande, en kod som genereras från en app eller till och med ditt fingeravtryck. Multifaktorautentisering gör det ännu svårare för någon att hacka ditt konto eftersom de också behöver åtkomst till din telefon.
Just nu erbjuds MFA med hjälp av Lastpass Authenticator, Google Authenticator, Microsoft Authenticator, Toopher och Grid. Man har även stöd för Yubikey och fingeravtrycksavläsare.
Krypteringen hos Lastpass
Som alla säkerhetsfokuserade tjänster erbjuder LastPass stark end-to-end-kryptering. Detta innebär att din information krypteras innan den lämnar enheten, under transport och i vila. LastPass använder industristandard TLS-kryptering för att överföra dina data mellan din enhet och deras servrar och skyddar dig mot man-in-the-middle-attacker. Den använder AES-kryptering med en 256-bitarsnyckel för dina data som lagras på deras servrar, samma krypteringsstandard som används av banker och militären.
Företaget har också en noll-kunskapspolicy , vilket innebär att all information som lagras på LastPass servrar är helt krypterad. Ingen annan, inte ens LastPass-anställda, kan se det.
Extra säkerhetsåtgärder
För att säkerställa säkerheten för dina lagrade lösenord utför LastPass också regelbundna granskningar och penetrationstester, släpper transparenta incidentrapporter och erbjuder ett bug bounty-program.
Kan LastPass hackas?
LastPass krypterar informationsklientsidan och har noll-kunskapspolicy, så om någon hackar sig in på LastPass servrar ser de bara krypterad data. Det enda sättet för någon att komma åt dina känsliga data är att ta reda på ditt huvudlösenord, vilket kan göras på många sätt. Till exempel kan någon hacka sig in på din enhet, du kan glömma att logga ut från ditt konto när du använder en offentlig dator eller så kan de få det från dataläckage, särskilt om du använder samma lösenord på andra konton.
Faktum är att LastPass upptäckte en del skadlig aktivitet på sina servrar 2015 och fann att användarnas ”email addresses, password reminders, server per-user salts, and authentication hashes were compromised”. Ingen krypterad data togs dock, och det finns inga bevis för att användarnas konton har nåtts. Företaget var transparent om problemet, kontaktade omedelbart sina användare och uppmanade dem att ändra sina huvudlösenord. Du kan läsa mer om Lastpass-säkerhetsöverträdelsen och de nya säkerhetsåtgärder som LastPass implementerade efter denna incident i deras blogginlägg.
Ingenting är 100% säkert, men LastPass har vidtagit omfattande åtgärder för att säkerställa att din information är säker. De är transparenta och har snabbt svarat på olika säkerhetsfrågor.
I slutändan är det dock du själv som är ansvarig för att hålla dina data säkra och du bör vidta följande försiktighetsåtgärder:
- Skapa ett starkt lösenord som inte används på andra konton
- Om du använder webbläsartillägget LastPass, förbli inte inloggad hela tiden. Om du ger din enhet till någon eller om den blir stulen och hackad kommer alla dina lösenord vara tillgängliga
- Kom ihåg att dina data är bara lika säkra som din enhet. Uppdatera din programvara, använd ett antivirusprogram och skydda dig mot hackare med ett VPN.