Välj rätt lösenordshanterare för dina behov

Lastpass, hackade är ett starkt ord i sammanhanget, inga lösenord hamnade på vift. Bra för mig som kan ha en inloggning för både privat och jobbet. ag är skeptisk till gratis, hur tjänar de pengar? Genom att sälja data om dig såklart.

Vi såg rapportering som https://krebsonsecurity.com/2023/09/experts-fear-crooks-are-c...

Vilket inte låter omöjligt givet de två stora felen som snabbt uppdagades:
* Lastpass lämnade metadata okrypterad, dvs det gick att välja ut intressanta måltavlor utan egentlig arbetsinsats
* Lastpass hade underlåtit att uppdatera befintliga användares säkerhetsinställningar som antal iterationer i PBKDF2 över tid (bara nya användare fick rimliga inställningar per automatik)

Dvs, det gick att välja/filtrera fram måltavlor där det såg ut att finnas kryptopengar att hämta, sedan sortera fram de med dåliga inställningar först, och bara köra på någon mindre armada av överblivna GPUer i hopp om att de inte har ett superextralångt huvudlösenord.

Fullständigt bekräftat är det ju inte, men att datan läckt i kombination med ovanstående förutsättningar gör att det är svårt att tycka att det inte finns ett verkligt problem.

Är det Keepass det där riktas mot? De andra har ju tydliga upsell-varianter inklusive enterprise-lösningar, så jag antar det.
Just vad gäller Keepass känns det där lite orimligt, även om det förstås finns en utbredd trend av sådant nonsens i andra sammanhang.

Väl skyddat mot ransomware attacker !

Kört 1Password på jobbet i år, det enda problem jag haft med dem är att ändringar uppdateras segt till deras webbläsarplugin, så det har jag slutat avända.

Om man t.ex. uppdaterar ett lösenord via deras app och sedan ändrar till webbläsaren så har den inte uppdaterat i pluginet till webbläsaren. Har man däremot två datorer och uppdaterar t.ex. ett lösenord så uppdateras det direkt i appen på den andra datorn men inte i webbpluginet.

Man får vänta någon minut sedan är det i synk.

Använt 1pass i ca 8 år nu och inte märkt av detta en enda gång. Kanske inte växlar mellan enheter så pass ofta när jag reggar nya konton att det ens varit aktuellt.

Deras secret key är väl något som Bitwarden inte har?
Utöver nyckeln som genereras baserat på ditt lösenord (med PBKDF2, precis som Bitwarden) har varje konto en till nyckel som också krävs för att avkryptera datan, och den nyckeln skapas och lagras på din enhet, och skickas aldrig via nätet.

Med andra ord, om de blir hackade och din data läcker, OCH ditt huvudlösenord läcker, så går det fortfarande inte att avkryptera datan, då den hemliga nyckeln bara lagras på dina enheter med 1Password.

Kan nämna att jag kör Bitwarden själv förresten.

Fast Bitwarden har väl en auto-fyll funktion i Windows numera?

Det skulle ju faktiskt kunna vara en artikel sammanställd av ChatGPT.
Spännande...

Bitwarden specifikt ger valet Argon2id som alternativ till PBKDF2, vilket iaf ger fördelen att vara mindre GPGPU-vänligt...

Men håller med, "secret key"-upplägget är bra, fler borde hoppa på det tåget kan man tycka

Hur står sig Enpass nu för tiden? De var väl topptestade för några år sedan får jag för mig?

Har inte satt mig in helt i detta, men vad händer om en lösenordshanterar läggs ner/går i konkurs? Kommer man fortfarande åt sina lösenord så man kan migrera till en annan lösning?

1password på jobbet sedan länge.
Har fått tummen ur och skaffat det privat också och migrerat allt i Firefox..
600+ inloggningar.
Så dags att rensa, och samtidigt byta till random lösenord på övriga + MFA där det går.
Tyvärr tycker jag inte det fungerar särskilt bra på telefonen (Android 14) då ikonen sällan kommer upp.

Det beror väl förstås på hur de valt att göra, men typiskt även för de lösningar som jobbar med online-synk är att dina enheter har senaste lösenorden de sett även om du är offline, eller för den delen om tjänsten är offline.

Sedan bör man ju ta backup, detta gäller oavsett om det gäller viktiga dokument, foton man inte vill förlora, sin lösenordsdatabas, sina 2FA-hemligheter, eller vad det nu må vara...

Först obekräftade rykten bryr jag mig inte om, det går inte att återställa lösenord på lastpass om jag glömt mitt lösenord.

Nej det riktas mot alla gratistjänster och deras affärsmodell. Jag känner inte till Keepass.

Vad är det i betalversionen du behöver? Jag tycker själv gratisversionen fyller mina behov så är bara nyfiken.

Håller delvis med din sista mening. Är ju dock ett par lager, ett lösenord in till Dropbox (alternativ access till en enhet som är kopplad mot dropbox:en redan), Pin koden till det Vault som nyckelfilen verkligen borde ligga i och sen lösenordet till KeePass.

För en online tjänst är det lösenordet dit som krävs. Plus eventuell MFA som såklart gör det hela mycket bättre, men ändå obekvämt. Kommer någon in där är det dock "kört" i termer om snudd på obegränsade möjligheter att ta över allt som inte kräver BankID. Och är man "dum" nog att lägga sin pinkod för skaffa nytt bankID i den tjänsten, ja då är det riktigt rökt. Risk - Reward är väldigt skevt i min mening mot att hantera KeePass själv, !OM! man har färdigheten att göra det säkert.

För min del så är det först och främst att få Fido2 inloggning till Bitwarden med min Yubikey och inte bara TOTP inloggning.

Att Bitwarden själv kan sköta TOTP koderna till olika inloggningar kan också vara praktiskt. Plus att jag gärna betalar $10 om året för att stödja dem att fortsätta utveckla lösenordshanteraren.

Tänk dock på att det gör det TOTP till något mer i stil med en halv faktor: om någon kommer in i ditt Bitwarden-vault så har både lösenord och TOTP läckt, så alla försvar är borta för alla konton, samtidigt.
Stor skillnad där mot att ha separat TOTP-app med ett annat lösenord.

Sen så är det ju en bra idé att ha 2FA/TOTP till själva Bitwarden-inloggningen, vilket jag antar blir svårt om man har Bitwarden till det?