Derfor skal du ikke lagre passord i nettleseren
Slik sikrer du passordene dine mot uvedkommende.
Stadig mer av livene våre foregår digitalt, på kryss og tvers av apper, nettjenester og nettbutikker. For hver og en av dem som krever innlogging må du sette et passord.
Som kjent er det viktig å ikke bruke det samme passordet igjen og igjen, så det er veldig kjekt at de fleste nettlesere tilbyr mulighet til å lagre passordene, slik at du slipper å huske dem selv.
Dermed kan du ganske enkelt gå til Facebook.com og kun trykke OK for å logge inn, med brukernavn og passord allerede utfylt.
Praktisk! Men er det trygt?
Slik sikrer du passordene dine mot uvedkommende
Ifølge sikkerhetsanalytiker Vegar Åsmul i Telenor kan slike funksjoner dessverre være en sikkerhetsrisiko. Ta for eksempel personer som får fysisk tilgang til maskinen:
- Så fort du har stilt inn nettleseren til å fylle ut passord for deg, er passordet også leselig for enhver person som sitter ved maskinen, sier Åsmul.
- Det er noe man bør være klar over hvis man bruker maskiner på offentlige steder som nettkafeer og biblioteker. Deler man maskin med andre er det også lurt om hver bruker har hver sin brukerkonto for å slippe denne problematikken.
De ulike nettleserne gir deg også tilgang til en liste over passord i sine innstillingspanel, og krever i beste fall at du skriver inn passordet for Windows-profilen din for å få tilgang til dem.
Dette blir ekstra alvorlig når det også er mulig for ondsinnet programvare og ymse virus å komme inn på maskinen din via nettet og snappe opp passordene dine.
- Om du har lagret et passord i Internet Explorer og nettleseren er villig til å finne frem passordet for deg uten at du må skrive inn et såkalt masterpassord eller lignende, så vil også et virus kunne gjøre akkurat det samme og sende passordet ut i verden for å bli misbrukt av noen som sitter på andre siden av kloden.
Passordene er lett tilgjengelig
Det finnes flere måter å få tilgang til lagrede passord.
De ulike nettleserne gir deg tilgang til en liste over passord i sine innstillingspanel, og krever i beste fall at du skriver inn passordet for Windows-profilen din for å få tilgang til dem.
Etter at passordet er automatisk fylt inn som en rekke av prikker eller stjerner er det også mulig for datakyndige å lese tegnene som egentlig står der med kun enkle grep.
Enda verre er det at det finnes svært enkle og gratis programmer som rett og slett gir deg en liste over alle passordene som er lagret på maskinen uansett nettleser, og som gjør det uten å kreve passord.
Bruk helst eksterne verktøy
Nettleserens passordlagring er altså praktisk, men ikke spesielt trygg. Hvordan løser du denne floka uten å gå tilbake til håndskrevne lapper og knot?
Ifølge Åsmul er det bedre å bruke en ekstern passordhåndteringsløsning.
Dette er et hvelv som lagrer passordene dine og sikrer dem med et masterpassord. Dermed må du kun gå rundt å huske på et enkelt passord for å få tilgang til dem alle.
Noen av de fremste tjenestene her er KeePass og LastPass. Mens KeePass er et program for å lagre passord lokalt, er LastPass en tjeneste som lagrer passordene dine i skyen. Sistnevnte har også den fordelen at det kan synkroniseres mot egne mobilapper.
LastPass kan også installeres som et nettlesertillegg som fyller inn passordene automatisk – akkurat som nettleserens egen nøkkelring.
Dette går også an for KeePass gjennom en uoffisiell utvidelse.
Når du forlater maskinen kan du låse hvelvet med et knappetrykk slik at andre ikke får tilgang, og når du kommer tilbake låser du det opp igjen med ditt masterpassord.
Unntakene - disse må du huske selv
Det er verdt å merke at heller ikke et passordhvelv er hundre prosent trygt. Derfor er det noen viktige unntak når det kommer til hva du kan lagre der:
* E-post-kontoene dine
* MinID-passordet (Altinn, NAV, Skatteetaten, etc.)
* Nettbank (eksempel BankID)
* Jobb-passordet ditt
Disse bør du i stedet finne en måte å huske selv, eventuelt skrive ned på papir om du må.
Om du vil sikre passordhvelvet ditt litt ekstra, anbefaler vi å skru på tofaktor-autentisering. Tofaktor-autentisering bør også benyttes på alle andre tjenester du bruker som støtter dette – eksempelvis hos Apple, Google og Facebook.