Sikre passwords med LastPass

Vi jonglerer med mange forskellige adgangskoder i løbet af en arbejdsdag, både vores egne og vores kunders. Af sikkerhedsmæssige grunde bruger vi aldrig det samme password to forskellige steder, og vi sørger for at overholde god skik for konstruktion af sikre password - de skal have en vis længde, og skal helst bestå af flere forskellige typer af tegn (bogstaver, cifre, specialtegn). Men det betyder så at vi skal holde styr på en meget lang liste af komplicerede passwords, som vi skal kunne få fat på fra flere forskellige computere.

Den løsning vi har valgt hedder LastPass (http://www.lastpass.com). Der er grundlæggende tale om en database af login-information som ligger på nettet, og som man kan få adgang til på flere forskellige måder - via browserplugins, apps på smartphones, en webside mm. Brugernavn, password mm. krypteres lokalt med 256-bit AES inden de sendes til LastPass' servere. Passwords gemmes desuden lokalt på computeren (i krypteret form), så man har adgang til dem hvis LastPass-serverne af en eller anden grund skulle være utilgængelige.

For at få adgang til informationerne gemt i LastPass kræves blot at man indtaster et master-password. Dette master-password skal selvfølgelig helst være et "stærkt" password som man skal kunne huske - til gengæld skal man kun huske et enkelt password, LastPass tager sig af resten.

Med plugin'et installeret i browseren holder LastPass øje med de hjemmesider man besøger. Hvis siden indeholder en login-formular undersøger LastPass om brugernavn og password allerede findes i databasen. Hvis det er tilfældet bliver felterne automatisk udfyldt (LastPass kan også konfigureres til automatisk at logge brugeren ind på kendte websites). Hvis man selv skriver et brugernavn / password som LastPass ikke har set før, så bliver man spurgt om det skal gemmes til senere brug.

LastPass tilbyder en lang række muligheder for tilpasninger. Vi har valgt at forbedre sikkerheden ved at kombinere master-passwordet med Google's authenticator applet som vi har installeret på vores smartphones. Vores hjemmecomputere har vi sat op som "trusted", men hvis vi forsøger at få adgang til vores LastPass-konti fra en fremmed computer, så bliver vi bedt om at indtaste både vores master-password og en kode genereret på vores smartphone får LastPass vil give os adgang. Så hvis nogen skulle aflure vores master-passwords, så kan de stadig ikke få adgang med mindre de også stjæler vores telefoner.

Der er mange sikkerhedsmæssige problemstillinger omkring brugen af passwords, men med produkter som LastPass kan man gøre meget for at begrænse dem. Slut med passwords på små gule lapper og slut med usikre passwords der er nemme at gætte.