Redaktörens anmärkning: Med anledning av Världslösenordsdagen återpublicerar CNET ett urval av våra artiklar om hur man förbättrar och byter ut lösenord.
Om du är en av de otaliga människor som omdömeslöst använder lättgissade lösenord eller återanvänder ett lösenord för flera konton har cybersäkerhetsexperter ett meddelande till dig: Det är inte ditt fel. Att memorera ett unikt, komplext lösenord för varje konto är omöjligt.
Men det är precis den sortens sysslor som datorer är bra på. Det är därför många cybersäkerhetsexperter föreslår att man använder en lösenordshanterare. Det är ett programvaruverktyg som på ett säkert sätt lagrar lösenord och automatiskt fyller i dem på inloggningssidor. De hjälper dig att skydda vart och ett av dina onlinekonton med ett starkt lösenord.
”Jag rekommenderar alla att använda det”, säger Matias Woloski, teknikchef för autentiseringsföretaget Auth0 och expert på lösenordssäkerhet. ”Lösenordshanterare är idag det bästa alternativet.”
Du skulle förmodligen ha nytta av hjälp med lösenordshanteraren. Det mest använda lösenordet som hittats vid dataintrång är fortfarande ”123456”, enligt uppgifter från cybersäkerhetsföretaget SplashData, och det näst vanligaste lösenordet är förstås ”password”. Den genomsnittliga personen använder endast 13 unika lösenord, och nästan en tredjedel sa att de endast använder två eller tre lösenord för alla sina konton, enligt en undersökning från 2018 från antivirusprogramföretaget McAfee.
För en bredare titt, kolla CNET:s rapportering den här veckan om lösenordsproblem och lösningar som hårdvarusäkerhetsnycklar, anledningar till varför vissa gamla regler för att välja lösenord nu är föråldrade och en varnande berättelse om vad som kan gå fel med en lösenordshanterare.
Du har flera alternativ för lösenordshanterare. Det finns dedikerade verktyg som LastPass, BitWarden, Dashlane, Keeper och 1Password. Webbläsare som Safari, Chrome och Firefox har också inbyggda lösenordskontroller som är mer begränsade, särskilt om du använder flera webbläsare, men de blir alltmer sofistikerade.
Olyckligtvis kan lösenordshanterare vara komplexa och fungerar inte alltid smidigt med webbplatser och appar. Det kan vara anledningen till att endast 3 % av internetanvändarna i första hand förlitar sig på lösenordshanterare, enligt Pew Research Institute. Woloski föreslår att du kommer igång med hjälp av någon mer teknisk person.
Från och håll kan lösenordshanterare hjälpa dig att navigera på internet med mycket mindre risk. Även om teknikindustrin äntligen kommer med verkliga alternativ till lösenord, och sätt att dumpa dem helt och hållet, kommer du fortfarande att behöva räkna med dussintals, eller hundratals, av dem i flera år framöver. Lösenordshanterare kan hjälpa till, även om de inte är perfekta
Vad är en lösenordshanterare?
Lösenordshanterare genererar unika, komplexa lösenord för varje webbplats, lagrar dem säkert och anger dem i olika webbläsare och datorenheter. Du kan använda dem som webbläsartillägg eller mobilappar som fyller ut inloggningssidor med ditt användarnamn och lösenord åt dig.
Det finns massor av fördelar. För det första behöver du inte memorera några lösenord (förutom lösenordet till din lösenordshanterare). Det innebär att du faktiskt kan följa obehagliga men användbara säkerhetsråd, som att aldrig återanvända ett lösenord och alltid använda långa, komplexa lösenord som $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Nästan hjälper lösenordshanterare till att skydda dig mot phishing-attacker som leder dig till bedrägliga webbplatser och försöker lura dig att ange ditt lösenord. Lösenordshanterare erbjuder dina inloggningsuppgifter endast när du är på rätt webbplats.
För det sista har många lösenordshanterare funktioner som talar om för dig när en webbplats har drabbats av ett dataintrång. De kan också tala om för dig om det lösenord du använder har hittats i ett lager av stulna användardata, vilket minst 555 miljoner lösenord har gjort. Det är tecken på att du måste byta lösenord omedelbart. Lösenordshanterare kan också hjälpa dig att hitta svaga eller återanvända lösenord.
Bör du lagra alla dina lösenord på ett ställe?
Standardrådet i årtionden har varit att memorera lösenord, så att lagra dem på ett ställe känns lite fel. Och det vore förstås hemskt om hackare kunde bryta sig in i din lösenordshanterare och få tillgång till alla dina konton.
Säkerheten hos lösenordshanterare har ändå visat sig vara robust. Hackare har bara gjort begränsade framsteg när det gäller att stjäla användarinformation från lösenordshanterare – ett intrång gick till exempel så långt som till att kompromettera ledtrådarna för LastPass’ säkerhetsfrågor – men inga kända attacker har kommit åt cacher med faktiska lösenord.
Säkerligen kan hackare så småningom bryta den säkerheten, men det är mycket troligare att de riktar sig till dig med en phishing-attack för att stjäla dina lösenord, säger Mark Risher, Googles chef för kontosäkerhet. Om du dessutom använder en lösenordshanterare minskar risken för att du faller för en phishing-attack.
Video: I en värld av dåliga lösenord kan en säkerhetsnyckel bli din nya bästa vän
Självklart måste du vara försiktig. Med alla dina lösenordsägg i en och samma lösenordsadministratörskorg ska du se till att hitta ett sätt att komma ihåg ditt huvudlösenord eller din hemliga nyckel. Det går bra att skriva ner det så länge du förvarar det på ett säkert ställe. Du kan också exportera dina lösenord till ett kalkylblad då och då, så länge du låser in det med kryptering (eller lägger en utskriven kopia i en låst arkivlåda).
Om du förlorar tillgången till ditt konto måste du gå igenom processen för att återställa lösenordet för alla dina andra konton, vilket skulle vara en mycket stor huvudvärk.
Nackdelar med lösenordshanterare
Det är tyvärr så att du måste räkna med grova problem när du använder lösenordshanterare. Att bara lägga till information från alla dina befintliga konton till tjänsten är arbete, även om de flesta lösenordshanterare erbjuder verktyg för att importera data från din webbläsare eller andra lösenordshanterare. Och det krävs extra steg för att aktivera lösenordshanteraren på din telefon.
Det kanske största problemet är att vissa webbplatser inte fungerar bra med lösenordshanterare och orsakar den typ av krångliga och obehagliga problem som gör att man vill kasta ut datorn genom fönstret.
För exempel, lösenordshanterare lägger ibland inte märke till inloggningsfält. Eller så kan de fumla när webbplatser ber om extra information som en PIN-kod eller din favoritfilm.
Och värre är att vissa webbplatser blockerar autofyll-funktionen, vilket hindrar lösenordshanterare från att skriva in dina inloggningsuppgifter. En australisk bank, CommBank, råder kunderna att inte lagra sina bankkontouppgifter i en lösenordshanterare. I ett uttalande sade CommBank att den ser värdet av lösenordshanterare, men tror att hackare kommer att hitta sätt att lura kunderna med sofistikerade nätfiskeprogram om de använder lösenordshanterare.
”När det gäller lösenord för nätbank rekommenderar vi kunderna att skapa ett starkt lösenord som är unikt för varje konto och att inte skriva ner detta”, sade en talesman för företaget. Säkerhetsexperter menar ändå att detta gör det mycket mer sannolikt att kunderna använder svaga eller återanvända lösenord.
1Password tar itu med blockeringen av autofyllning genom att samarbeta med tillverkare av webbläsare som vill få webbplatser att tillåta funktionen, säger Matt Davey, företagets verksamhetschef.
”Vad de försöker göra är att åsidosätta dem på webbplatsnivå och fylla i dem automatiskt ändå”, säger Davey om webbläsartillverkarna. 1Password kommer också att kontakta webbplatser direkt och tala om för dem att de bör följa programmet och låta sina användare logga in med en lösenordshanterare.
Även tekniskt kunniga personer kämpar med friktionen med lösenordshanterare. Kimber Dowsett, en cybersäkerhetsexpert som tidigare hjälpt till att säkra NASA:s system och som nu arbetar som chef för säkerhetsteknik på mjukvaruinfrastrukturföretaget Truss, blev nyligen frustrerad när hon försökte logga in på en banks webbplats. Hon var tvungen att skriva in sina inloggningsuppgifter manuellt eftersom webbplatsen blockerade hennes lösenordshanterare.
Det fanns ett sista problem: Hon kunde inte avgöra om ett teckenlösenord var siffran noll eller bokstaven O, så hon var tvungen att gissa.
”En stor del av friktionen skulle kunna minskas om apputvecklare bara tillät automatisk ifyllning och klistring så att vi faktiskt kunde använda lösenordshanterare som det var tänkt”, säger Dowsett. ”Att kasta en skruvmejsel i det hjälper ingen av oss.”
Att använda lösenord mindre
Det finns goda nyheter på två fronter. Den första är att tillverkarna av Chrome, Safari och Firefox förbättrar sina egna lösenordshanterare. Apple har byggt in en i iOS och aktiverar den som standard. Det är okej att använda dessa funktioner på enheter som du kontrollerar med ett lösenord eller biometrisk inloggning. Dessutom bör de göra digital lagring av lösenord mer vanligt förekommande och eventuellt tvinga webbplatsutvecklare att spela snällt med funktioner som autofyllning och klistra in.
För det andra gör ny teknik att du kan använda lösenord i mindre utsträckning. Biometri som dina fingeravtryck och ditt ansikte minskar behovet av att visa upp ditt lösenord varje gång du får tillgång till en tjänst. Tjänster med enkel inloggning låter dig logga in på en webbplats med ett annat konto, till exempel Google, Apple eller Facebook. Du måste dock vara bekväm med att dela mer information om de tjänster du använder med någon av dessa tekniktitaner.
För det tredje bidrar flerfaktorsautentisering, säkerhetsnycklar och annan autentiseringsteknik till att förbättra lösenordens säkerhetsbrister. Så småningom kanske du inte behöver använda lösenord alls.
Denna innovation kommer inte att ersätta lösenord inom kort, säger BigID:s vd Dimitri Sirota, vars företag hjälper företag att skydda personlig information. Men den börjar ta bort lösenordens företräde när det gäller att hålla dina konton säkra. Och det är bra, säger han.
”Lösenord har varit standard under lång tid”, säger Sirota. ”Och en som ingen är särskilt glad över.”
Publicerades första gången den 10 mars 2020 klockan 05:00 PT.