Som du säkert kan tänka dig handlar detta inlägg om, och förespråkar, lösenordshanterare. Men utöver min personliga åsikt hoppas jag att detta också kan vara en guide och vänlig handhållning för alla som vill göra sitt digitala liv säkrare (och smidigare!). För dig som tänker att du redan har ett bra lösenord, kanske för att det innehåller ett utropstecken och några siffror, vill jag förtydliga: Om du kan komma ihåg dina lösenord i huvudet, då är de inte bra nog.
Hur vi hamnade här
Tabellen
Jag har för många år sedan använt en Excel-tabell för att spara lösenord. Och jag vet många som fortfarande gör så, kanske du också har en sådan ökänd lösen.xlsx? För visst använder du ett unikt lösenord till varje tjänst du använder? Inte? Låt mig backa bandet ännu längre.
"Allt"-lösenordet
Alla börjar vi någonstans, och när man för länge sedan fick skapa sitt första lösenord till någonting efter att ha uppfyllt kraven på specialtecken, versaler och annat hittepå, tänkte vi alla ungefär: "det där var inte kul, jag ska ha det här lösenordet till allt så jag slipper komma på fler". Det är en naturlig tanke. Människor är usla på att slumpa fram saker, en stor mängd korttrick bygger till och med på att människor är så förutsägbara. Så då sitter vi fast i lösenordet vi tänkte ut för många år sedan.
Allt håller inte för evigt. Antingen självmant eller på grund av utgångsdatum har man ändrat på lösenordet. Kanske bytt ut en del, höjt siffran, flyttat utropstecknet från slutet till början. "Detta lösenordet är till och med säkrare än det var innan" intalar du dig. I bästa fall använder du flera olika variationer till olika tjänster, och då är vi framme igen vid Tabellen.
Än så länge borde allt vara glasklart: lösenord du känner till, sparade på en plats du vet om, på ett sätt som är smidigt att komma åt och redigera. Enklare än så blir det knappt, eller?
"Jag vill inte krångla till det"
Oavsett om du aldrig hört talas om lösenordshanterare, inte orkar förändra ditt system eller är rädd för att krångla till det, så skulle du gynnas av att använda en. Det är en säker och beprövad teknik som inte behöver kosta något, och den gör ditt liv ofantligt mycket säkrare och smidigare. Det finns bara en regel att följa: ha ett otroligt starkt huvudlösenord som bara existerar i ditt huvud.
Hur funkar lösenordshanterare?
I en lösenordshanterare finns ett enda lösenord du behöver komma ihåg, och det är undantaget till tumregeln i introduktionen. Detta är huvudlösenordet som låser och krypterar alla dina andra lösenord lokalt innan något synkas. Det måste vara starkt och bör vara minst 20, helst 30 tecken långt. Enklast blir det att slumpa fram 4-6 ord, i stället för teckenkombinationer, eftersom ord är lättare att komma ihåg. Längden på lösenfrasen är det som gör jobbet.
Detta kan summeras med denna klassiska serie från xkcd:
Moroten
Nog om teorin. Vad gör en lösenordshanterare för dig, i praktiken? Det fina händer när du installerat den på alla dina enheter. App på telefonen, tillägg i webbläsaren och eventuell skrivbordsapp. När du ska logga in på en hemsida eller i en app fylls uppgifterna i automatiskt. Inget klippa-klistra från Tabellen, och definitivt inget skrivande för hand. Oavsett operativsystem eller enhetstyp funkar det här så länge det är din enhet och den är låst med fingeravtryck, pinkod eller ansiktsigenkänning.
När du skapar nya konton eller byter lösenord hjälper hanteraren dig att slumpa fram nya, säkra lösenfraser med valfritt antal ord. Och när du ibland sitter på en främmande enhet och behöver logga in kan du titta upp lösenfrasen i telefonen. Eftersom den består av vanliga ord, går det mycket snabbare att skriva in än en kaotisk teckenhög där du måste leta efter symboler var tredje knapptryckning.
Tvåfaktorsautentisering
Tvåfaktorsautentisering, 2FA, är lagret ovanpå lösenorden. Även om någon kommer över ditt lösenord behöver de fortfarande bevisa att de är du. Det finns olika varianter. Det enklaste att komma igång med är en autentiseringsapp som genererar tidsbaserade koder (TOTP). Det finns fristående appar och ofta stöd i lösenordshanteraren själv. För konton som betyder mycket för dig, som e-post, molnlagring, banken och lösenordshanteraren, är fysiska säkerhetsnycklar (FIDO2) det bästa som finns i konsumentvärlden. SMS-koder fungerar i nödfall men är lätta att kapa, så undvik om det finns bättre alternativ.
Två praktiska råd som sparar huvudvärk: aktivera 2FA på e-posten först, eftersom den ofta är "huvudnyckeln" till allt annat, och spara dina reservkoder. Skriv ut dem och lägg på en fysisk, säker plats. Om du kör med säkerhetsnycklar, registrera minst två.
Hur man ska göra på delade eller publika enheter
Helst inte alls. Publika datorer är ofta gamla, felkonfigurerade eller fulla av skräp. Om det inte går att undvika: använd privat läge i webbläsaren, logga in, gör det du ska, logga ut direkt och stäng allt. Låt inte webbläsaren spara något. Klistra inte in koder i onödan och rensa urklippet om din hanterare inte gör det själv. Kändes något skumt, byt lösenordet när du är tillbaka på en trygg enhet och kika på inloggningshistoriken om tjänsten erbjuder det.
Kom igång på en eftermiddag
Välj en hanterare som passar dig. Bitwarden (öppen källkod, bra gratisnivå), 1Password (polerad och enkel, betald) eller KeePassXC (lokal fil, full kontroll, kräver lite mer handpåläggning). Inbyggda lösningar i Apple/Google/Microsoft blir också allt bättre, särskilt för passkeys, men de låser dig mer till respektive ekosystem.
Skapa en stark huvudlösenfras. Fyra till sex slumpade ord är lagom. "Diceware" är den klassiska metoden med tärningar och ordlista. Lägg gärna till en oförutsägbar touch som bara du förstår, men gör det inte onödigt krångligt. Importera sedan din gamla tabell (exportera till CSV om det går, importera, kontrollera att allt kom med) och radera filen ordentligt efteråt, även ur papperskorg och moln.
Installera appen och webbläsartillägget på alla dina enheter, slå på synk och aktivera 2FA för själva lösenordshanteraren om den synkar via molnet. Börja sedan byta svaga och återanvända lösenord allt eftersom du stöter på dem. Du behöver inte ta allt på en gång.
Framtiden: passkeys
Passkeys låter dig logga in utan lösenord, med ett nyckelpar som ligger på dina enheter. Du bekräftar med finger, ansikte eller säkerhetsnyckel och ingen hemlighet lämnar din enhet. Det är snabbare, bekvämare och i praktiken immunt mot phishing. När en tjänst erbjuder "Logga in med passkey", välj det. Din hanterare eller ditt operativsystem sköter resten i bakgrunden.
Morötter, del 2
En modern hanterare gör mer än att fylla i lösenord. Den kan föreslå byten när en tjänst läckt, varna för återanvändning, lagra säkra anteckningar, licenser och backupkoder, och låta dig dela inloggningar på ett säkert sätt med familj eller kollegor. Det är vardagslyx, men med säkerhetsvinst på köpet.
Vanliga fallgropar (och hur du undviker dem)
Att återanvända huvudlösenfrasen någon annanstans: gör aldrig det. Att köra utan 2FA på hanteraren: slå på direkt om du synkar. Att "hitta på" lösenord själv: låt generatorn göra jobbet. Att ha SMS som enda 2FA: använd app eller säkerhetsnyckel och behåll reservkoderna.
Frågor och svar
Hur kommer man på ett bra lösenord?
Du som människa ska inte hitta på lösenord. Låt en generator slumpa fram 4-6 ord. Det blir säkert och fortfarande möjligt att skriva in för hand när du måste.
Varför är handgjorda lösenord dåliga?
Vi tar genvägar. Vi återanvänder mönster. Och vi kan inte slumpa. En dator som gissar får snabbt övertag, särskilt när angriparen kan testa lokalt mot läckta hashvärden.
Hur dåliga är mänskliga lösenord?
Ett åtta tecken långt lösenord, även med blandade tecken, kan i många scenarier knäckas på minuter till timmar om angriparen får tag på den krypterade databasen och lösenorden skyddas svagt.1 Det är för kort, punkt.
Vad händer om jag glömmer huvudlösenordet?
Seriösa hanterare kan inte återställa det åt dig. Det är själva poängen med nollkunskap. Tills det sitter i muskelminnet kan du ha en fysisk, säker backup (t.ex. i ett kassaskåp). Ingen post-it på skärmen.
Är det säkert att ha "allt på ett ställe"?
Ja, om huvudlösenfrasen är stark och unik, dina enheter är låsta och uppdaterade, och du har 2FA påslaget för hanteraren. Bonus: hanteraren fyller bara i på rätt domän, vilket gör det svårare att luras av fejkade inloggningssidor.
Kan jag lagra 2FA-koder i samma hanterare?
För de flesta är det en bra kompromiss som höjer säkerheten rejält. För extra känsliga konton kan du separera, till exempel med en säkerhetsnyckel eller fristående TOTP-app, och spara reservkoderna offline.
Avslutning
Det går inte att överskatta hur mycket enklare, och säkrare, ditt digitala liv blir när du slutar "veta" dina lösenord. Låt verktygen göra det tråkiga och svåra. Du behöver bara minnas en enda, stark lösenfras. Resten sköter sig själv. Och när en tjänst erbjuder passkeys, tackar du ja.
Säkerhet som blir av slår perfekt säkerhet som aldrig blir av. Börja idag.
Footnotes
-
"Tid att knäcka" beror på algoritm (t.ex. bcrypt/Argon2 vs. gammal MD5), inställningar och angriparens hårdvara. Gemensamt: 8 tecken är för lite 2025. Längd vinner. ↩
