Dette er en ren tilståelsessag. Jeg har indtil for nylig været fuldstændig lige så laissez faire som de fleste andre.
Jeg har på det skammeligste genbrugt passwords til forskellige services, netbank, gmail osv, og har vel samlet set to forskellige passwords, jeg bruger med få variationer. Nogle gange med store bogstaver, andre gange tilføjet et tal eller to.
Derfor har jeg også været i farezonen for at komme galt afsted. For selvom at jeg på ingen måde er sikkerhedsparanoid (hvilket min sløsede holdning til passwords med al tydelighed viser), så bringer man sig selv i en sårbar situation, ved at genbruge passwords. Det står vist på side 1 i bogen om færden på nettet.
Du behøver endda ikke engang at gøre noget dumt, for at risikere at andre får fat i dit kodeord. Det sker nemlig jævnligt, at en af de services du har en konto hos, klarer det for dig.
Sidste år gik det blandt andet ud over firmaet Adobe, der fik besøg af en hacker og 'mistede' 130 millioner kombinationer af emailadresser og passwords. Hvis du på den måde - uforskyldt - mister dit password, men har brugt den samme email/kode kombination på en anden service, så er det, det nemt kan gå galt.
Få en password manager
Men der findes en løsning på problemet - nemlig en password manager.
En password manager kan kort fortalt to ting:
1. Den kan generere lange komplicerede passwords, som du kan bruge til dine internetkonti.
2. Den kan logge dig ind på alle dine konti på nettet, ved hjælp af dit ene master password.
Så i stedet for at du vælger ‘hund1234', så beder du din password manager om at generere en kode og får herefter tildelt noget i stil med ‘AA%tJd[YCR3GL3eDTo'.
Fordi du ikke har en kinamands chance for at huske den kode, så husker din password manager koden for dig - og altså en unik og kompliceret kode til hver service. Du skal derfor bruge din password manager, og dit master password, hver gang du skal logge på.
Din password manager fungerer altså som en slags pengeskab, hvor hovedadgangskoden er den sikre 'nøgle' til pengeskabet. Når du har åbnet det, kan du få adgang til alle dine passwords.
Sådan fungerer den
Password manageren fungerer både som sin egen app og direkte fra din browser, når man har installeret en lille plug-in.
Så når du fx skal logge på din Gmail, så låser du simpelthen din password manager op med hovedadgangskoden, og klikker på Gmail. Så er du på.
Det samme kan du gøre på alle de services, du har bedt din manager om at huske dit login til. Hovedadgangskoden til din password manager er altså den eneste, du skal huske.
Derfor er det sikrere
De klare fordele ved at bruge en password manager er, at du altid har meget stærke passwords, og aldrig to der er ens. Der er heller ikke nogle der kan aflure din kode til din Gmail eller Amazon-konto, for du taster dem ikke ind fysisk.
Din hovedadgangskode kan naturligvis aflures, men den password manager jeg har kastet mig over, som hedder 1Password, har ikke nogen web-service. 1Password, ligger nemlig kun på min computer og telefon, og uden en af de dimser OG mit hoved-password, kan ingen komme ind.
Hvis man alligevel tror, der er nogle, der har fået færden af ens hovedadgangskode (eller en af ens andre passwords), så ændrer man bare den ene kode.
Der findes en backup
Fordi det stadig skal være nemt at bruge password manageren, har jeg valgt at have en kopi af 1Password-databasen liggende på Dropbox, så den altid er synkroniseret, uanset om jeg opretter et nyt kodeord på min pc eller telefon.
Databasen er gemt i en stærkt krypteret udgave, som KUN kan låses op med min hovedadgangskode. Det kræver altså at man både har min hovedadgangskode og adgang til min Dropbox, hvis man vil stjæle mine passwords derfra.
Glemmer man hovedadgangskoden til sin password manager, er der er ingen hjælp at hente. Uanset om man synkroniserer sine passwords eller ej, er der ingen kære mor. Så husk den!
Derfor har det taget mig så længe
Jeg har kendt til password managers i årevis, og man kan derfor med rette spørge, hvorfor det har taget mig så lang tid at begynde at bruge en. Det er der særligt en grund til - apps.
Min primære personlige computer er min telefon, og den adskiller sig fra min gamle PC ved at den bruger rigtig mange apps.
På min gamle computer logger jeg på Netflix via en browser, på min telefon gør jeg det med en app.
På min PC kan jeg nemt logge på via den lille udvidelse af 1Password, der er installeret i browseren. Det kan jeg ikke på min telefon, da jeg ikke tilgår Netflix i browseren men i en app.
Hvis jeg vil logge på Netflix på telefonen, skal jeg derfor først åbne 1Password-appen, taste hovedadgangskoden ind, finde Netflix på listen over mine services, kopiere kodeordet (hvilket kan gøres uden at det er synligt), skifte app tilbage til Netflix, indsætte kodeordet og logge på.
Det er besværligt og langsommeligt, og det er derfor, jeg ikke har slået til før nu.
Nye tider med fingeraftryk
Men der er heldigvis sket noget, der har gjort processen markant nemmere.
Fingeraftryksscanneren på iPhone kan nu bruges til at låse 1Password op, og mon ikke også Android-telefoner med fingeraftryksscanner snart kan bruges til det samme.
Apple har desuden i iOS 8 åbnet op for, at apps kan spille sammen på tværs. Det gør at man i flere apps nu kan logge på med 1Password og fingeraftryksscanneren, direkte inde appen, uden overhovedet at skulle skifte over i 1Password.
Så nu begynder det altså at være muligt at få glæde af sikkerheden i en password manager, og den meget store convenience det er, at bruge sit fingeraftryk til at låse op.
En password manager er ikke billig
Når nu det er blevet så meget nemmere at bruge en password manager, så er det jo bare om at komme i gang.
Særligt tre password managers bliver ofte fremhævet: 1Password, LastPass, og DashLane, som alle er bygget på den samme idé.
Hvilken man skal vælge handler nok mest om, hvem man har mest tiltro til, hvilken brugerflade der tiltaler en mest, og hvad man vil betale. Heldigvis kan alle tre services prøves gratis, inden man beslutter sig.
1Password er netop blevet gratis at bruge til iPhone og Android, til gengæld koster PC-versionen 329 kroner.
DashLane abonnerer man på, og det koster 235 kroner om året, hvis man vil kunne synkronisere på tværs af ens dimser.
LastPass er den billigste. Den koster 70 kroner om året, hvis man vil gøre brug af synkronisering og andre premium features.
1Password kan synkronisere dine passwords via Dropbox, iCloud, eller Wi-Fi. DashLane og LastPass synkroniserer via deres egne webservere. Det er også muligt med alle tre helt at fravælge synkronisering, så dine passwords kun er gemt på din egen telefon eller computer.
Ikke helt naturligt endnu
Efter tre ugers brug er det stadigvæk ikke helt naturligt for mig at bruge min nye password manager.
Der er stadig flere tilfælde, hvor det virker nemmere bare at taste mit password ind, som jo virkelig sidder på rygraden. Men det gør det jo så ikke mere, fordi jeg ikke længere kender mine mange passwords, efter de allesammen er blevet skiftet ud, med nogle der er langt mere komplicerede og helt sikkert ikke er ens.
På trods af tilvænningen - og den høje pris - kan jeg dog med sikkerhed sige, at jeg har tænkt mig at blive ved med at bruge min password manager. For det føles alligevel noget bedre at have forskellige passwords, end at genbruge det samme over alt hvor jeg færdes på nettet.