Bruker du LastPass ligger passordene dine trygt bevart i et hvelv. Du trenger ikke engang å huske dem. Foto: PantherMedia
Bruker du LastPass ligger passordene dine trygt bevart i et hvelv. Du trenger ikke engang å huske dem. Foto: PantherMediaVis mer

Unike passord på alle nettsteder

GUIDE: Det høres ut som verdens største hukommelsesutfordring. Det er det ikke.

Hver gang vi omtaler en sikkerhetsskandale på DinSide der passord er blitt stjålet, understreker vi alltid viktigheten av å ha unike passord per nettsted du er registrert på. Det skjedde for eksempel nylig da foto.no ble hacket for et par uker siden.

Jaaaaaada, tenker du.

Som om jeg kan huske så mange passord.

Og du har rett. Jeg kunne aldri ha husket de over 400 unike passordene jeg har lagret i passord-hvelvet mitt, men nettopp derfor bruker jeg et passord-hvelv.

I denne artikkelen skal du få se hvordan en løsning som LastPass kan gjøre nettlivet ditt sikrere enn når du bruker de samme to-tre passordene overalt. I tilfellet med foto.no var alle passordene lagret i klartekst, og plutselig sitter hackeren med tusenvis av epost/brukernavn/passord-kombinasjoner han kan prøve andre steder.

Du kan aldri gardere deg mot det ene nettstedet som blir hacket, men du kan forhindre at den samme innloggingsinformasjonen kan brukes andre steder.

SAMLESIDE:

Datasikkerhet

Komme i gang


Lastpass er en såkalt «password manager», altså et system som tar vare på passordene du bruker på nettet.

De beskytter du først og fremst via et hovedpassord, det såkalte master-passordet, og dette passordet bør være langt og umulig å gjette. Når du så lager deg passord til andre nettjenester kan de også være lange og kompliserte – du trenger ikke å huske dem allikevel. Det gjør LastPass for deg.

Via nettlesertillegg kan du logge på LastPass i nettleseren, og så kan LastPass automatisk fylle ut brukernavn og passordfelter på nettet mens du surfer. Registrerer du deg på en ny side vil LastPass også fange opp dette, slik at du bare trenger å trykke på en knapp for å lagre informasjonen på LastPass-kontoen.

Du kan bruke LastPass helt gratis. Første gang du begynner å bruke LastPass bør du sette av litt tid, spesielt dersom du har brukt det samme passordet overalt. Da bør du nemlig endre passord på alle nettsidene du er registrert. LastPass vil uansett ligge i bakgrunnen og merke når du endrer passordet, slik at de nye passorddetaljene blir lagret. LastPass kan dessuten generere sikre passord for deg.

LastPass anbefaler at du først laster ned nettleserutvidelsene til maskinen din og foretar registreringen derfra, så pek nettleseren til nedlastingssiden og last ned den anbefalte versjonen for ditt system, eller kun for én av nettleserne om du ikke vil ha utvidelsen til alle.

Avhengig av nettleser vil så LastPass-ikonet være plassert litt forskjellig, men uansett vil du nok dra kjensel på det om jeg trykker på mitt LastPass-ikon og får opp følgende:

Vis mer


Dette er vinduet du i utgangspunktet bruker for å logge deg på tjenesten, men har du ikke konto fra før, vil du trykke på "opprett konto" nederst og følge instruksene. Blant annet må du oppgi epostadresse og master-passordet, samt et passordhint som kan sendes deg om du glemmer dette passordet. Vi råder deg imidlertid til å gjøre master-passordet langt og vanskelig, og husk at dette vil være det eneste passordet du trenger å oppgi når du surfer på nettet, så du tåler at det er litt langt og knotete.

Pass bare på å huske det. Og del det aldri med andre.

På den neste siden må du bekrefte passordet på nytt, og på den tredje siden får du tilbud om å importere usikrede passord; typisk de du har bedt nettleseren din om å lagre. Det anbefaler vi at du gjør, slik at du senere kan slette disse passordene fra nettleseren din.

Dernest blir du spurt omLastPass skal fylle ut skjemafelter for deg. Det gjør det enkelt å handle på nett eller registrere deg på nye nettjenester, der navn, adresse, telefonnummer og liknende lagres hos LastPass, og er tilgjengelig med et kjapt klikk når du skal fylle ut skjemaer. Du kan også lage flere profiler.

Vis mer


Øverst til høyre (ringet rundt) er det et kryss for å kreve passord. Det anbefaler vi at du huker av, slik at utfylling av personlig informasjon krever at du nok en gang skriver inn passordet (i tilfelle du har forlatt PC-en et øyeblikk og ikke har logget ut av LastPass). Du kan også sette en tidsbryter for når du blir logget ut automatisk ved inaktivitet.

Vis mer


Når du er ferdig (eller valgte å droppe det siste punktet), kommer du for første gang inn i hvelvet ditt. Til å begynne med finner du opplæringsvideoer du kan se igjennom, men etter hvert som du registrerer nettsteder vil de ligge her slik at du kan organisere dem, eventuelt se registrerte passord og liknende.

Tofaktor-autentisering via Google

Du kan hoppe over dette avsnittet, men merk at dette vil gjøre LastPass-kontoen din nærmest bombesikker.

Som nevnt tidligere støtter gratisversjonen tofaktor-autentisering via Google Authenticator. Dette er en tjeneste fra Google som fungerer på samme måte som en kodebrikke fra nettbanken, der du ikke bare trenger passord, men også en sekssifret kode (generert av Authenticator-appen) for å logge deg på LastPass-kontoen. Vil du være ekstra sikker anbefaler vi deg å aktivere dette.

Ja, la oss ta en runde i innstillingsmenyen før vi går videre. Den får du opp ved å trykke på «settings» på venstre side i hvelvet. Det finnes også innstillinger som går mer direkte på nettleserutvidelsen ved å trykke på LastPass-ikonet og deretter «innstillinger».

Innstillinger, LastPass-konto
Vi begynner med førstnevnte og får da opp følgende vindu:

Vis mer


Vi går ikke igjennom alt (noe er også forklart via lenker på den aktuelle siden), men merk at du altså har mulighet til å begrense tilgangen til kontoen din fra enkelte land (ikke aktivert som standard), forby innlogging via Tor-nettverket (et nettverk mange hackere benytter seg av for å anonymisere IP-adressen sin, aktivert som standard) og mer til.


Under «security»-flippen kan du blant angi når du vil at LastPass skal avkreve deg for master-passordet. Er du ekstra streng kan du kreve det hver gang du skal logge på en nettside, hver gang du vil se på et passord du har lagret og så videre.

Under «equivalent domains» kan du legge inn dersom det er flere nettsteder som fungerer med samme innlogging, for eksempel dersom du pleier å bruke både amazon.com og amazon.co.uk.

På «Never URLs» kan du legge inn domener der du ikke vil at LastPass skal operere slik at du slipper å bli spurt om LastPass skal huske passordet. Kanskje vil du holde for eksempel nettbanken din utenfor.

Merk deg imidlertid Google Authenticator (egen flipp), som du altså kan bruke selv om du ikke betaler for LastPass, og som fungerer på samme måte som en kodebrikke i nettbanken.

Google Authenticator er en app du kan laste ned på Android/iOS/Blackberry, og som også er tilgjengelig for flere plattformer, inkludert Windows Phone og Symbian, men ikke i offisielle versjoner. For å bruke Authenticator kreves det at du har en konto hos Google, og du finner alt du trenger av informasjon (på norsk) om hvordan du installerer Google Authenticator på lenka du nettopp passerte. Vi har også laget vår egen versjon her: Slik blir Gmail sikker som banken.

Vis mer


Når du har installert og satt opp Google Authenticator har du fått en «kodebrikke» for Google-kontoen din. For å lage en tilsvarende brikke for LastPass, kan du enten skanne QR-koden som ligger på Google Authenticator-flippen (se bilde over), eller, hvis ikke du er så komfortabel med QR-koder, trykke på lenka rett under den og dermed få en lang kode du kan oppgi i Authenticator-appen.

Les også: Hvordan lese QR-koder?

Pass til slutt på å aktivere Google Authenticator via nedtrekksmenyen (blå ring). Når du trykker «update» blir du nå logget ut fra LastPass, og så må du logge inn på nytt med master-passordet, og deretter angi koden fra Authenticator-appen. Som du vil se kan du også angi maskinen du sitter på som "trygg", slik at du slipper å gjøre det flere ganger fra samme maskin.

PS! Når du sitter på en offentlig PC vil du typisk ikke huke av at maskinen er trygg. Da må du bruke Authenticator-appen fra denne maskinen neste gang også. Merk også at dette grepet vil gjøre det umulig for noen å logge inn om de så skulle få tak i master-passordet ditt, med mindre de klarer å stjele telefonen din i samme håndvending (ikke lagre masterpassordet ditt som et notat på telefonen, med andre ord!).

Innstillinger for nettleserutvidelsen

Du henger med? Vi bør også ta en titt på innstillingene som gjøres i nettleserutvidelsen, som du får opp ved å trykke på LastPass-ikonet, og deretter på «innstillinger»:

Vis mer


Her kan du klikke litt rundt selv, men vi vil bare utheve et par punkter:

Kryssene i «generelt»=>«sikkerhet» (første skjermbilde, de to øverste): Her anbefaler vi deg å krysse av i begge boksene, og at du setter «0» i den første boksen (slik at du blir logget ut av LastPass når du lukker nettleseren), samt et lavt tall i den andre boksen for å logges ut ved inaktivitet. Det er bedre å måtte logge inn med masterpassordet en gang i blant enn at LastPass-kontoen din blir stående åpen dersom du forlater PC-en og glemmer å låse den.

I tillegg bør du se på krysset under «avansert», som omhandler å tømme utklippstavlen. Noen ganger kan det hende du vil kopiere passordet du har lagret på et nettsted, og da tilbyr LastPass deg å tømme utklippstavlen etter X sekunder. Det er en kjekk sikkerhetsfunksjon.

Klar til bruk

Da har vi gått igjennom det mest essensielle for å sikre kontoen din i forkant. La oss så omsider se på hvordan tjenesten fungerer i praksis.

Vi illustrerer ved å logge på Facebook mens vi er logget inn på LastPass i nettleseren. Etter innlogging dukker følgende opp:

Vis mer


Trykker du «lagre side», får du så opp en boks á la dette:

Vis mer


Stort sett kan du bare trykke «OK», med mindre du har lyst til å organisere passordene i grupper, angi at du automatisk skal logge på Facebook om du er logget på LastPass i nettleseren og så videre.

I hvelvet ditt (tilgjengelig ved å logge på lastpass.com, eller trykke på «mitt passord-hvelv» på LastPass-menyen i nettleseren) ligger nå innloggingdetaljene fra Facebook lagret. Du kan faktisk logge på Facebook direkte derfra ved å klikke på denne lenka, men også vise passordet om du har glemt det, eller for eksempel trenger å logge på fra en annen enhet.

Neste gang du besøker Facebook får du opp en verktøylinje som dette (med mindre du har valgt automatisk innlogging):

Vis mer


Trykker du på «autofyll» blir nå brukernavn og passord fylt ut automatisk.

Er du blant de som bruker det samme passordet overalt, er det nå på tide å bytte. Jeg har ikke lyst til å bytte Facebook-passordet mitt, men jeg illustrerer i stedet med Evernote.

Evernotes side for å bytte passord må man først oppgi sitt gjeldende. Da trykker jeg i den aktuelle boksen, og får med en gang tilbud fra LastPass om å autofylle passordet som er lagret for Evernote.

Når jeg så skal sette et nytt passord, kan jeg trykke på «lag»-knappen som spretter opp via LastPass-linja på toppen (eller finne på et selv, selvsagt). På enkelte nettsteder dukker den ikke opp av seg selv, men da kan du trykke på LastPass-ikonet og velge «generer sikkert passord».:

Vis mer


Her kan du velge hvor langt passord du vil ha, om det skal være mulig å uttale (lettere å huske, men ikke fullt så sikkert), minimum antall sifre, om du vil unngå bokstaver som ligner på hverandre (for eksempel «I» og «l», eller «0» og «O») og så videre. Du kan trykke «lag» for å generere et nytt passord, og når du er fornøyd, trykker du «godta». LastPass fyller da inn dette passordet i begge de nye passordfeltene (og nei, jeg valgte selvsagt ikke det du ser på bildet over), også om du oppretter profil på en nettside.

Når endringen er gjort, får du opp følgende:

Vis mer


Når du trykker «bekreft», lagres det nye passordet på den aktuelle kontoen hos LastPass. Tar du runden på alle nettsteder der du har brukt de samme passordene og endrer dem til nye, er du langt tryggere enn før – og du trenger ikke engang å huske dem. LastPass tar vare på dem for deg. Trenger du dem, for eksempel for å logge på via mobiltelefon, kan du enten besøke mobilversjonen av LastPass (m.lastpass.com), eller vise passordet fra hvelvet på PC-en.

Med andre ord er master-passordet det eneste passordet du trenger å huske.

Jeg anbefaler deg å lage det langt og vanskelig – gjerne 20 tegn, om du vil.

Til slutt

Husk at du aldri kan være sikker på om PC-en du bruker ikke blir overvåket. Dersom du bruker Google Authenticator-løsningen omtalt over, sikrer du deg langt bedre, fordi du da også ha mobiltelefonen for å logge deg på fra en ny maskin. Du kan også bruke en minnepinne eller en Yubikey for ekstra, fysisk, autentisering. Ja, du kan til og med skrive ut en matrise med tegn der du blir spurt om fire av dem ved innlogging fra en ny maskin. Informasjon om dette finner du ved å trykke på «settings» fra passord-hvelv-siden.

Hvis du synes den biten var litt tungvint, tipser vi deg også om at LastPass lar deg bruke engangspassord som du kan bruke når du sitter på en utrygg maskin. Du kan lage nye engangspassord og logge på med engangspassord herfra.

Lastpass har også en security challenge, der du får beregnet en poengsum på hvor sikker du er basert på hvor sterke passord du har, om du har mange like passord etcetera.

Husk også å logge deg ut fra LastPass når du går fra maskinen, eller sørg i det minste for å ha satt på automatisk utlogging som beskrevet over. Avkrev gjerne masterpassordet for å kunne se passordene til en av nettsidene, slik at ikke uvedkommende kan gjøre noen stunt der.

Flere løsninger

Det finnes forøvrig flere tjenester som er laget for å ta vare på passordene dine. Her er tre av dem:

KeePass – en passordtjeneste basert på åpen kildekode som er gratis å bruke og tilgjengelig på mange plattformer.

1Password - med apper for både OS X, Windows, iPhone, iPad, Android (beta) og Windows Phone 7 (beta). Med unntak av betaversjonene må du betale på hver enhet - $50 på Mac/Win og 90 kroner på iOS. Programvaren kan prøves gratis i 30 dager på desktop-enhetene. Definitivt den "peneste" av disse passordappene i våre øyne.

Roboform - også tilgjengelig på de fleste plattformer, og koster $30 for desktop-utgave (Mac/Windows). For $10 pr år får du «everyhere»-utgaven, som lar deg få tilgang til passordene dine via web og mobil-apper.

Grunnen til at vi valgte å fokusere på LastPass i denne artikkelen, skyldes blant annet at de var med i PCMags kåring av de 99 beste produktene i 2012. Der er de ett av bare fire produkter blant de 99 som har fått full score.

LastPass er også fullt mulig å bruke uten å betale.