GI TILGANG: Med AccessURL kan du dele tilgang til en nettjeneste uten å gi fra deg passordet. Foto: Pål Joakim Pollen
GI TILGANG: Med AccessURL kan du dele tilgang til en nettjeneste uten å gi fra deg passordet. Foto: Pål Joakim PollenVis mer

AccessURL – del kontoen uten å dele passordet

Hender det du blir spurt om å låne bort Netflix-kontoen?

Smart Chrome-utvidelse for deg som vil gi andre tilgang en liten stund.

Hender det du blir spurt om noen kan låne Netflix-passordet ditt, TV2 Sumo-kontoen din eller den slags?

Å dele passord er aldri god idé; spesielt ikke om du bruker det samme passordet mange andre steder.

Smart Chrome-utvidelse

ENKELT: For å dele tilgang til en tjeneste, trykker du bare på AccessURL-knappen, angir hvor lenge den skal være gyldig og lager så en URL du kan sende til mottakeren. Foto: Pål Joakim Pollen Vis mer

Chrome-utvidelsen AccessURL løser akkurat denne utfordringen. Den fungerer nemlig slik at du ikke trenger å dele brukernavn og passord med en som spør – så lenge du er logget inn på tjenesten, kan du dele en kryptert utgave av informasjonskapselen din og dermed gi motparten tilgang til brukerkontoen din.

En informasjonskapsel (cookie) er en fil nettsider kan lagre på din maskin, og som brukes for å identifisere deg på tvers av flere sidevisninger. Dette er typisk noe som brukes av alle nettsider som lar deg logge på, nettsider som tilbyr deg å legge varer i handlekurven eller lignende.

Slik fungerer det

Når du genererer en AccessURL, laster du i praksis opp en kryptert utgave av informasjonskapselen din for det gjeldende nettstedet du har åpent i nettleseren. URL-en som genereres kan du så sende til motparten.

Når motparten åpner denne URL-en, og har den samme Chrome-utvidelsen installert, vil den krypterte fila bli lastet ned, dekryptert og lagret på maskinen hos mottakeren. Dermed vil vedkommende være logget inn som deg på tjenesten du valgte å dele.

Men hvordan får jeg tuppet dem ut igjen?

For det første kan du sette en gyldighet på URL-en slik at den for eksempel virker i 24 timer. Det hindrer imidlertid ikke vedkommende i å være logget på som deg utover de 24 timene (men det ville det ikke ha gjort om du delte passordet heller).

EGEN SIDE: Angrer du deg, kan du slette URL-er du har generert på en egen side. Foto: Pål Joakim Pollen Vis mer

Via en egen side har du også mulighet til å slette URL-ene du har generert slik at de ikke lenger er gyldige.

Men – vil du ha kontoen din for deg selv igjen, kan du enkelt og greit logge ut på din maskin. Da blir mottakeren også logget ut, i hvert fall på de tjenestene vi har prøvd med. Dernest kan du logge inn igjen.

Men er det trygt?

Løsningen blir en slags bevisst variant av «session hijacking»; en godt brukt teknikk blant hackere for å stjele informasjon fra andre, og som vi prøvde ut da vi testet Firefox-tillegget Firesheep for noen år tilbake, der vi kunne stjele andres informasjonskapsler over ikke-krypterte forbindelser.

Vi kan ikke garantere at absolutt alle nettsider vil fungere (og da spesielt på utloggingsbiten), og det er selvsagt en risiko for at noen andre enn den tiltenkte mottakeren får tak i URL-en. Sikkerhetmessig ville vi også ha foretrukket om URL-en også hadde et sterkere passord for dekryptering som ble generert separat – det er nemlig bakt inn i URL-en (etter #-tegnet).

Men det er nok en bedre løsning enn å sende fra seg selve passordet til tjenesten, i hvert fall.

AccessURL (Chrome Web Store)

LES OGSÅ:
Sikre Google-kontoen med Prompt
13 passordsynder du bør unngå
Lås telefonen smartere med Smart Lock