Helgsnack: Hur håller du dina användarkonton säkra?

Det är ju alltid upp till ens hotbild. Väldigt få av oss är så värdefulla att vi behöver bry oss om mer än att vara säkrare än de allra flesta. Du behöver inte springa snabbare än draken; det räcker att springa snabbare än halvlingen.

Lastpass är ju ett skräckexempel på en - åtminstone tills relativt nyligen - mycket populär produkt med katastrofal säkerhet som ingen bör använda någonsin igen. Som nämndes av Medbor tidigare har andra produkter varit betydligt öppnare med hur de fungerar, och betydligt bättre på att kryptera all relevant information från sina användare.
Men även så: Använder du en lösenordshanterare så innebär det också att du har en överblick över alla de hemligheter du har, så om din lösenordsdatabas skulle hamna i orätta händer har du med stor sannolikhet tid att byta ut lösenorden på alla tjänster du använder innan angriparen hunnit dekryptera dina lösenord och använda dem.

Och återigen: För de allra flesta är en lösenordshanterare som genererar unika lösenord för varje site en gigantisk säkerhetsförbättring jämfört med vad de hade gjort annars - särskilt om de hittat på egna kluriga algoritmer för hur de ska skapa lösenord: Människor är experter på att introducera förutsägbarhet och eliminera sånt som gör lösenord matematiskt mer svårknäckta.

---

Som du ser av mina exempel ovan, är metoden Haveibeenpwned valt för lösenordskontroll ganska säker: Allt "farligt" sker på din egen dator, under din egen kontroll. Det enda som skickas över nätet är information som inte kan användas för att rekonstruera just ditt lösenord.

Oavsett om det är Haveibeenpwned, Firefox Monitor, den berörda tjänsten själv eller något annat som notifierat om ett sådant intrång så blir det väl i grund och botten samma reaktion; att byta lösenord på den berörda tjänsten samt se över dess säkerhetsinställningar.

Typiskt något sånt här:
* byta lösenordet
* finns det 2FA-stöd och är det isf aktiverat? om inte, aktivera om möjligt
* finns det möjlighet att logga ut befintliga sessioner? isf är det väl lämpligt att göra för säkerhets skull
* finns en lista över senaste inloggningar eller motsvarande? isf är det ju bra att titta så det ser ok ut

Om det är en tjänst som är extra känslig på något vis så skulle jag tänka till lite extra kring eventuella konsekvenser specifika för den tjänsten. Är det något mer man borde göra än att bara säkra själva kontot till tjänsten?

Och om det är en tjänst som inte längre används så kan man ju överväga att passa på att ta bort kontot helt.

*Om* man däremot skulle återanvända samma lösenord till olika tjänster (aja baja!) så kräver ju en sådan notifiering ofta mer jobb, och det kan nog snabbt bli väldigt jobbigt att hålla reda på vad som är vad om man inte använder en lösenordshanterare (vilket sannolikt går hand i hand med att återanvända lösenord).