Lektion 07 — Lösenordshanterare

En lösenordshanterare är ett krypterat valv. Du har ett starkt huvudlösenord som du kommer ihåg. Det låser upp valvet, och valvet kommer ihåg alla andra. Detta är inte avancerat — det är fundamentalt. Och de flesta människor använder det fortfarande inte.

01Hur en lösenordshanterare löser allt

Tidigare lektioner har visat tre saker du måste göra:

Långa lösenord (lektion 2)
Unika per sajt (lektion 6)
Inte återanvända efter läcka (lektion 3)

Att göra alla tre samtidigt — manuellt — är omöjligt. Du har 50–200 konton. Du kan inte komma ihåg 200 olika 20-tecken-lösenord. Du kommer återanvända eller skriva ner.

Lösenordshanteraren är det skrivna stället. Krypterat, synkat mellan dina enheter, och med ett enda lösenord att komma ihåg (huvudlösenordet).

Du går från att försöka memorera 200 hemligheter till att memorera 1. Resten är ett verktyg som har det åt dig.

02Vad du faktiskt får

Auto-fyll på sajter: du klickar på inloggning, hanteraren fyller i. Snabbare än att skriva själv.
Auto-generera vid registrering: ny sajt → hanteraren föreslår ett 20-tecken slumpmässigt lösenord. Du behöver aldrig hitta på ett.
Skydd mot phishing: hanteraren fyller bara i på rätt domän. Om Bitwarden inte föreslår ditt sparade lösenord på "google-secure.com" — då är det inte Google.
Synk mellan enheter: samma valv på datorn, telefonen, surfplattan. Krypterad mellan dem.
Säker delning: dela en specifik inloggning med familjen utan att skicka i klartext.
Notiser om läckor: jämför dina sparade lösenord mot HIBP-läckor och varnar.

03Vår rekommendation

Det finns gott om bra alternativ. Här är de tre vi rekommenderar mest — i ordning.

Bitwarden

Gratis-version täcker 95 % av användare. Open source. Granskat av oberoende säkerhetsbyrå. Synk mellan obegränsat antal enheter.

gratis · open source · audited 2023

vårt val

till Bitwarden ↗

1Password

Mer polerat gränssnitt. Familjeplaner är bra. Inte gratis (~39 kr/mån). Closed source men välrenommerad.

betald · 39 kr/mån för familj

till 1Password ↗

Proton Pass

Från samma Schweiz-baserade företag som Proton Mail. Bra om du redan använder andra Proton-tjänster. Gratis-tier finns.

gratis tier · schweizisk integritet

till Proton Pass ↗

Om vi någon gång lägger till affiliate-länkar (där säkerkoll får en liten ersättning om du registrerar dig via vår länk) kommer vi vara tydliga med vilka. För närvarande är dessa rena rekommendationer utan affiliate.

04Vanliga frågor

"Är det inte farligare att lägga alla ägg i en korg?"

Förstå frågan, men svaret är nej. Alternativet är inte "att lägga ägg i flera korgar" — alternativet är att inte ha ägg alls, dvs att återanvända samma lösenord eller välja svaga. Och korgen (valvet) är extremt välbyggd: AES-256-kryptering, lokal kryptering innan synk, oberoende säkerhetsgranskningar.

"Vad händer om jag tappar huvudlösenordet?"

Då är valvet borta. Det finns inget sätt att återställa — för leverantören kan själv inte se vad som ligger i ditt valv. Skriv ner huvudlösenordet på papper och förvara säkert (kassaskåp, brandsäker box, någon du litar på). Detta är den enda gången "skriv ner på papper" är ett seriöst råd.

"Är inte webbläsarens inbyggda lösenord nog?"

Bättre än inget. Men: 1) ofta inte synkat säkert mellan enheter, 2) ofta inget master-lösenord (vem som helst som öppnar din webbläsare ser allt), 3) auto-fyll-säkerhet är ofta sämre (phishing-resistens varierar), 4) ingen säker delning. Använd en dedikerad i stället.

05Prova själv — generera ett starkt lösenord

Här är generatorn vi använder på säkerkoll. Den genererar lösenord med crypto.getRandomValues — samma slumpgenerator som riktiga lösenordshanterare använder. Försök få något du faktiskt skulle vilja använda.

—

Längd

Innehåll

a-z A-Z 0-9 symboler

06Konkret första steg

Installera Bitwarden på din primära enhet (dator eller telefon).
Sätt ett starkt huvudlösenord — använd en passphrase, t.ex. tre slumpmässigt valda ord. Skriv ner det på papper.
Lägg in dina tre viktigaste konton först: mejl, bank, sociala medier. Generera nytt unikt lösenord till varje.
Aktivera 2FA på huvudlösenord-kontot (lektion 8 går djupare).
Lägg till andra konton allt eftersom du loggar in på dem.

Lösenordshanterare bygger på en specifik arkitektur som kallas zero-knowledge: tjänsteleverantören kan inte se vad som ligger i ditt valv ens om de vill. Allt krypteras lokalt med en nyckel som härleds från ditt huvudlösenord. Servern hanterar bara krypterad opacitet.

01Zero-knowledge-arkitekturen

När du sätter ett huvudlösenord:

Klienten kör en key derivation function (KDF) — PBKDF2, Argon2, eller scrypt — som omvandlar lösenordet till en symmetrisk krypteringsnyckel.
Denna nyckel lämnar aldrig din enhet. Servern ser bara krypterad chiffertext.
När du lägger in ett lösenord i ditt valv krypteras hela posten med AES-256-GCM (eller liknande) i klienten, innan synk till servern.
Servern lagrar bara opaque blobs. Den vet inte ens hur många lösenord du har — bara hur stor din krypterade fil är.

Konsekvens: om Bitwarden's servrar blir hackade får anfallaren krypterad data — knäckbar bara genom brute force mot ditt huvudlösenord, vilket är beräkningsmässigt enormt om huvudlösenordet är starkt.

02Trade-off: zero-knowledge vs återställning

Konsekvensen av att leverantören inte kan se ditt valv: de kan inte hjälpa dig om du tappar huvudlösenordet. Det är inte en bugg — det är hela poängen. Återställnings-flöden (svarsfrågor, mejlade reset-länkar) skulle bryta zero-knowledge-egenskapen.

Vissa lösenordshanterare erbjuder family/business recovery: en annan auktoriserad person i din organisation kan godkänna en återställning. Tekniskt görs det genom att huvudnyckeln är delad via cryptographic key sharing (Shamir's secret sharing eller liknande) — fortfarande zero-knowledge mot leverantören, men inte mot din familj/organisation.

03Vad lösenordshanterare INTE skyddar mot

Keyloggers: om din enhet är komprometterad kan en keylogger fånga ditt huvudlösenord när du skriver det. Skyddet är generell endpoint-säkerhet (uppdaterad OS, ingen okänd mjukvara).
Skärm-readers/clipboard-monitorer: när hanteraren kopierar ett lösenord till urklipp är det tillgängligt för andra processer. Bra hanterare rensar urklipp efter 30 sek.
Komprometterad webbläsare: en malicious extension kan i teorin extrahera lösenord från auto-fyll. Detta är varför hanterare ofta använder native messaging till en separat process.
Phishing där du själv klistrar in: hanteraren auto-fyller bara på rätt domän — men om du själv kopierar och klistrar in på phishing-sidan är skyddet borta.
Svagt huvudlösenord: hela säkerheten beror på det. Använd minst 4 slumpvalda ord eller 16+ tecken.

04Bitwarden, 1Password, KeePass — tekniska skillnader

Bitwarden: open source (server + klient), self-hostable, KDF: PBKDF2 (kontroversiellt — argon2 finns nu som val). AES-256-CBC. Granskat av Cure53 (2023). Gratis tier är funktionellt komplett.
1Password: closed source, men välbevisad. Använder en kombination av Secret Key (lokalt på enheten) + huvudlösenord — vilket gör brute force omöjligt även mot bra huvudlösenord eftersom angriparen också behöver Secret Key. Granskat av Cure53.
KeePass / KeePassXC: lokal fil, ingen molnsynk inbyggd. Du synkar själv via Dropbox/iCloud/sshfs. För dig som inte litar på tredje part. Open source, brett granskat.
Apple Passwords / Google Password Manager: integrerat i ekosystem. Bättre än inget men inte cross-platform, säker delning är begränsad.

05Threat model i praktiken

Vem hotar dig avgör vad som funkar:

Vanlig user, vanliga hot: Bitwarden free eller motsvarande. Stort steg upp från återanvändning.
Journalist / aktivist / hög-värde-mål: 1Password (Secret Key adderar lager) eller KeePass med strikt offline-synk. Hardware-baserad 2FA på lösenordshanteraren själv.
Företag: enterprise plan med SSO-integration. Granskning av tillgångar. Recovery-process via admin.
Tror inte på molnet: KeePassXC + manuell synk. Lite mer jobb men ingen tredjepart involverad.

06Att läsa

Bitwarden's whitepaper: bitwarden.com/help/bitwarden-security-white-paper/
1Password's white paper: 1password.com/files/1Password-White-Paper.pdf
OWASP password manager guidelines: OWASP ASVS 4.0, V2 Authentication.
Cure53 audit-rapporter: publika för båda Bitwarden och 1Password. Värda att skumma.

Lösenordshanterare — varför alla borde ha en.

01Hur en lösenordshanterare löser allt

02Vad du faktiskt får

03Vår rekommendation

04Vanliga frågor

"Är det inte farligare att lägga alla ägg i en korg?"

"Vad händer om jag tappar huvudlösenordet?"

"Är inte webbläsarens inbyggda lösenord nog?"

05Prova själv — generera ett starkt lösenord

06Konkret första steg

01Zero-knowledge-arkitekturen

02Trade-off: zero-knowledge vs återställning

03Vad lösenordshanterare INTE skyddar mot

04Bitwarden, 1Password, KeePass — tekniska skillnader

05Threat model i praktiken

06Att läsa

Snabb-koll — tre frågor

Lektion 08 — 2FA & MFA — vad, varför, hur