Transkribering: Säkra dina lösenord med en lösenordshanterare

Lyssna här.

MARIA LOFORS: Idag är det den 8 mars och kriget i Ukraina har pågått i 13 dagar. Just nu går myndigheterna ut och uppmanar oss, både som privatpersoner och företagare, att se över vår it-säkerhet. Myndigheten för samhällsskydd och beredskap ber oss att ”täppa igen säkerhetshål och höja tröskeln” för cyberhot. Vad innebär det egentligen? I dagens avsnitt tänkte jag prata om några saker du kan göra, framför allt att se över dina lösenord.

INTRO: Välkommen till Produktiv Online podden, för dig som jobbar mycket online redan eller som vill börja göra det mer.
Här pratar vi om att skapa roliga rutiner kring att attrahera nya leads, konvertera och sälja, leverera våra tjänster, behålla nöjda kunder och allt runtomkring som handlar om att driva företag.
Jag heter Maria Lofors och jag är så glad att du är här!

MARIA: Ja, det är oroliga tider just nu. Minst sagt.
Jag har alltid varit ganska säkerhetsmedveten, men nu är det väl så att på grund av säkerhetsläget i världen har det blivit viktigare än någonsin. Hur ser det ut för dig? Hur tänker du kring ditt företags it-säkerhet?

Och vad innebär egentligen ett cyberhot?

Enligt MSB – Myndigheten för samhällsskydd och beredskap så kan hot delas in i tre övergripande kategorier:
Mänskliga hot (kan vara både hot i form av angrepp eller i form av misstag)
Tekniska hot (i form av systemfel)
Naturhot (som till exempel väderfenomen, jordbävningar)

Alla de här hoten kan leda till incidenter som kan påverka vår säkerhet och leda till allvarliga konsekvenser för både enskilda och organisationer.

För dig som svensk företagare så skulle det kunna innebära att dina konton exempelvis blir hackade. Du kanske tänker, vem skulle vilja hacka mitt instagramkonto? Men Instagram är ofta kopplat till ditt Facebookkonto som är kopplat till din e-post som kanske är kopplad till ditt bankkort. Och så vidare. Hackarna vill att du ska klicka på eller godkänna något som gör att en skadlig programvara installeras och på så sätt kan de komma åt din information.

Som företagare är det viktigt att komma ihåg att det ju heller sällan bara din information det handlar om, du har ju kunder som du lagrar information om och därmed har ett ansvar för. Så där är det viktigt att ha som rutin att faktiskt inte spara personuppgifter eller känslig information i onödan.

Just datasäkerhet och lagring av personuppgifter kommer jag att återkomma till i ett senare avsnitt, för det är något jag också är väldigt intresserad av.

Men idag ska vi inte fokusera på det, utan mer på vad du kan göra idag för att skydda dig mot ett eventuellt angrepp eller mot olika tekniska hot.

Det första du kan göra är att alltid installera säkerhetsuppdateringar på din telefon, dator och andra enheter så fort det är möjligt. För de här uppdateringarna kommer ju ofta för att täppa till olika säkerhetshål som har upptäckts. Så vänta inte med det!

Sedan vill jag poängtera att du inte ska öppna misstänkta e-postmeddelanden som uppmanar dig att klicka på länkar eller ange känsliga data. Och det här kan ju låta lite basic kanske, men det är faktiskt väldigt lätt att bli lurad här! Kolla avsändaren! Är du osäker, så googla! Det kan ju stå Microsoft eller Facebook, eller vad det kan vara, men när man tittat på avsändaren så står det microsoft.team.company.com – och då är det ju faktiskt inte från Microsoft.

Häromdagen fick jag till exempel ett mejl från Facebook att någon hade begärt en lösenordsåterställning och jag trodde att det var spam för jag hade ju inte begärt något sådant. Men efter lite research så kom jag fram till att det faktiskt var Facebook som hade skickat ut mejlet – och därmed fick jag anledning att snabbt som attan byta mitt lösenord till Facebook och instagram. När det nu tydligen var någon som försökt komma åt mitt konto.

En annan typ av scam eller bedrägeri är när någon du känner har blivit hackad och att bedragarna vill komma åt saker via den personens e-post till exempel. I redovisningsbranschen är det till exempel vanligt med något som brukar kallas VD-bedrägeri. Det går ut på att hackarna utger sig för att vara en kund till redovisningskonsulten och begär att konsulten ska betala ut pengar. Det här har jag sett på nära håll flera gånger och ofta är det väldigt skickligt gjort. En gång var en kollega nära att föra över en väldigt stor summa pengar, men kom på i sista stund att det var något som inte stämde. Men vi blev ganska skrämda av det allihopa.

Här handlar det ju ofta om e-post. Så handen på hjärtat. Vad har du för lösenord till ditt mejlkonto? Skulle det här kunna hända dig?

Nu tänkte jag att vi skulle prata lösenord, dem där som du använder som nycklar på internet, för att identifiera dig på olika webbsidor. Att skydda dina lösenord är ju avgörande för att förhindra att någon obehörig kan få tillgång till din information och dina användarkonton. Med starka lösenord och ett smart användande kommer du långt.

Till att börja med tycker jag att du ska se över vilka tjänster, appar och inloggningar som används i ditt företag. Skriv en lista och dokumentera vem som har tillgång till vad. Oftast behöver inte alla i företaget ha åtkomst till all information.

Även om du är ensam i ditt företag idag kan du behöva göra en sådan här kartläggning för att se över dina lösenord.

Det du behöver tänka på är att för det första se till att du har unika lösenord överallt. Yes! Olika lösenord till varje sajt!

Nej, det går ju inte, kanske du tänker. Men jo, det går och jag ska strax berätta hur.

För det är faktiskt viktigt att du inte återanvänder lösenord, för om någon sajt blir hackad så kommer hackarna inte att komma åt din information någon annanstans eftersom just det lösenordet var unikt och inte öppnar några andra dörrar till några andra sajter.

Sen behöver du använda dig av lite längre lösenord. Ju längre lösenord, desto svårare att gissa eller hacka. Själv tycker jag att 8 tecken är ett minimum. Jag vet inte riktigt var den magiska gränsen går där eller om det finns någon standard, men jag vet dock att alltför långa lösenord är inte heller så bra. Det var nån sajt där jag hade ett för långt lösenord och det gick inte igenom. Max 20 tecken fick lösenordet vara där.

Och du bör också blanda in olika tecken i lösenorden (STORA, små bokstäver, siffror 1234… och specialtecken ?!*). Detta för att det, återigen, ska vara svårare att gissa lösenordet.

Och en självklarhet kanske, men välj inte lösenord som kan kopplas till dig personligen, som till exempel bilens registreringsnummer eller barnens personnummer. Undvik också vanliga ord som ”sommar” eller “team” exempelvis.

Hur lyckas man då med detta, att skapa unika, långa och abstrakta lösenord med olika specialtecken? Jo, det enklaste sättet är att använda en lösenordshanterare.

Jag har använt 1Password sedan 2009, tror jag. Gick tillbaka och kollade inför det här avsnittet och det var i alla fall då det första lösenordet skapades i min app. Den vanligaste lösenordshanteraren som jag brukar höra att dem som faktiskt använder en sådan använder, är Lastpass. Jag tänkte att jag ska göra en liten jämförelse dem emellan alldeles strax.

Men jag gillar verkligen 1Password. Och jag lagrar ALLT där. Jag har ett familjekonto som jag delar med min man. Så alla våra gemensamma lösenord ligger där i ett gemensamt valv, inloggningar som rör barnen osv. Nu är ju inte han lika intresserad av att använda 1password som jag är, får jag erkänna, men de finns i alla fall där när han behöver dem.

Sen har jag ett valv för privata lösenord och ett för företaget. Och varje gång jag signar upp någonstans så går jag först in och skapar en ny inloggning i 1password. Går till valvet företag exempelvis, skriver in vilken mejladress jag använder för att signa upp med, vilken adress sajten har och så genererar jag ett lösenord. Det kopierar jag sen in i sign up-formuläret och så är det klart.

När man genererar lösenord i en lösenordshanterare kan man välja hur många tecken det ska bestå av, om det ska vara slumpmässigt eller kunna gå att memorera och om det ska innehålla både symboler och siffror. Om jag exempelvis genererar ett slumpmässigt lösenord på 15 tecken med både symboler och siffror kanske det blir qGdyW_Q7qcy_A8, och om jag genererar ett som ska gå att memorera med tre ord kan det bli SCOUT-macaroon-ranger. Alltså helt random egentligen båda två, och jag väljer alltid slumpmässiga lösenord. Eftersom jag ändå aldrig kommer komma ihåg dem, utan varje gång jag sedan ska logga in på sajten går jag till 1password och kopierar in lösenordet.

På datorn har jag 1password-appen installerad, och med den appen så finns det en liten app som heter Mini som lägger sig i menyraden på min Mac. Den är otroligt användbar. Men sen finns det tillägg till webbläsaren också om man hellre vill använda det.

I mobilen så har jag såklart också 1password-appen och med den kan jag automatiskt fylla i lösenord genom att gå till inställningar i mobilen och godkänna appen under autofill passwords. Och då kan jag med hjälp av FaceID, så fylls mina lösenord i automatiskt där jag försöker logga in. Väldigt smidigt.

Jag lägger in alla inloggningar till sajter jag använder, men jag har också sparat kortuppgifter där och annan viktig information som jag vill lagra säkert. Det är väldigt användbart.

Något som jag tycker är bra med 1password är också att den har en funktion som heter Watchtower, som fungerar så att den scannar av alla mina lösenord och upplyser mig om det förekommer i något känt dataintrång. Då får jag en uppmaning att byta lösenordet. Jag får också en uppmaning att koppla på tvåfaktorsautentisering på de sajter som tillåter det. Och om jag använder samma lösenord på flera ställen, upplyser 1password mig också om det och uppmanar mig att byta till något unikt.

Har du en lösenordshanterare kan du också använda den för att dela lösenord med andra, så slipper du dela dem på osäkra ställen som mejl eller messenger eller så. Det finns funktioner i appen för att dela säkert, även med personer som inte ingår i ditt team eller i din familj.

Hur fungerar då en lösenordshanterare? Jo, när du signar upp för appen så skapar du ett master password, som fungerar som nyckeln till den annars helt krypterade appen. Det måste du komma ihåg för det sparas inte någonstans och glömmer du det så kan inte företaget bakom 1password hjälpa dig att återställa det. De har heller ingen som helst åtkomst till dina uppgifter som du sparar i appen, eftersom allt är krypterat.

Lastpass är som sagt den tjänsten som verkar vara mest populär bland dem som faktiskt använder en lösenordshanterare, som jag känner i alla fall. Och kanske är det för att de faktiskt har ett gratisalternativ.

Det har inte 1password och har aldrig haft. 2009 när jag började använda appen fick man köpa en licens och sedan uppgradera den licensen när nya versioner släpptes. Sedan några år tillbaka så erbjuder dem istället en prenumerationsmodell, så jag betalar en summa varje år för att alltid ha den senaste versionen.

Men Lastpass har en gratisnivå. I den ingår de allra viktigaste funktionerna, nackdelen är dock att du bara kan använda appen på en enhet. Du måste alltså välja om du vill ha dina lösenord i mobilen eller datorn. Och det är ju inte så bra, tycker jag. Risken är att du då inte kommer att använda dig av säkra lösenord om du inte kommer åt dem på ett lättillgängligt sätt överallt. Så det är värt att ha i åtanke.

Men annars så tycker jag att tjänsterna är rätt likvärdiga. Jag har som sagt var varit en nöjd användare av 1Password i 13 år och kommer därför inte byta tjänst, men jag har under en period nu även testat Lastpass för att jag håller på och undersöker olika alternativ åt en kund. Och jag har verkligen inget att invända mot Lastpass, det är precis lika smidigt och bra som 1password även om det är organiserat på ett litet annorlunda sätt.

Prismässigt är det inte heller några större skillnader. Om du ska använda dessa tjänster ensam för personligt bruk så kostar 1password ca 360 kr per år och Lastpass ca 380 kr per år. Vill du dela konto med din familj så väljer du ett familjeabonnemang och då får du betala ca 600 kr per år för 1password och ca 500 kr för Lastpass.

Om du har ett team i ditt företag så börjar det skilja sig åt lite mer.

Med 1password kan du välja deras nivå som heter Teams Starter Pack och då får du betala 19,95 dollar per månad för upp till 10 personer i ett team. Det blir ca 2400 svenska kronor per år. Med Lastpass så kostar deras motsvarande plan som heter Teams 3,9 eur per person så om du har få personer i ditt team så tjänar du såklart på att använda Lastpass. Men säg att du har fem personer i ditt team, då får du med Lastpass betala ca 2500 kr per år och om du skulle ha 10 teammedlemmar blir det ca 5000 kr per år. Så för dig som har mellan fem och tio personer i teamet, kan 1password vara ett bättre alternativ.

Sedan finns det ytterligare en nivå i båda tjänsterna, som heter Business och det är för dig som behöver lite mer helt enkelt. Där ingår även att varje teammedlem får ett kostnadsfritt familjekonto så att de kan dela sina privata lösenord med sin familj. Det är ju lite bra!

Båda tjänsterna erbjuder appar och tillägg för de flesta plattformar och webbläsare. Med reservation då för att man med Lastpass gratisplan som sagt bara kan använda en plattform. Båda tjänsterna erbjuder möjlighet att dela lösenord på ett säkert sätt med andra. 1password har Watchtower som jag berättade om, men även Lastpass har något som de kallar Dark Web monitoring. Det verkar fungera lite annorlunda men handlar vad jag förstår i stort om att de bevakar om dina e-postadresser och lösenord dyker upp i några dataintrång.

Med båda tjänsterna så kan man även spara dokument i appen och i båda får man 1 GB lagring som grund. Med 1password får man 5 GB lagring om man uppgraderar till Business.

Båda erbjuder någon form av tvåfaktorsautentisering, med Lastpass kan du bland annat välja Google Authenticator och i 1password appen Authy.

Apropå tvåfaktorsautentisering så rekommenderar jag dig att alltid slå på det överallt där det går.

Tvåfaktorsautentisering innebär ett extra krav utöver ditt lösenord som visar på att du verkligen är du. Oftast funkar det så att när du har skrivit in det korrekta lösenordet så skickas en verifikationskod till dig via SMS eller så kan du använda en genererad kod i en app. Efter att ha fyllt i en korrekt kod så får du sen logga in på kontot.

För att sammanfatta dagens avsnitt, så rekommenderar jag dig att börja kartlägga dina lösenord och dokumentera vem i ditt företag som har tillgång till vilka tjänster.

Jag uppmanade dig också att uppdatera datorn och telefonen och alla appar så fort det kommer nya uppdateringar. Och att vara försiktig med e-postmeddelanden från okända avsändare. Och även från det du tror är kända avsändare som kanske inte alls är den de utger sig för att vara.

När det kommer till lösenord så är tumregeln att alltid använda unika lösenord till alla tjänster, att lösenorden ska vara långa och innehålla både små och stora bokstäver samt symboler och siffror. Det är också bra om de är slumpmässigt sammansatta så att de inte går att gissa. Och här är det då alltså bra att använda sig av en lösenordshanterare.

Och så slutligen, byt lösenord omedelbart om du misstänker att någon kommit över det. Precis som jag gjorde när jag fick mejl om att någon försökt komma åt mitt Facebookkonto. Man vet ju aldrig.

OUTRO

Om du vill hjälpa mig att sprida podden så ta gärna en skärmdump av det här avsnittet, dela det i sociala medier och berätta vad du fick med dig från det.

Ta hand om dig och de dina.