Golden Email #27: Password managers är inte den ultimata lösningen

Ett enkelt sätt att vara osäker på nätet är att ha samma lösenord för alla sidor och tjänster man använder, eller alldeles för enkla lösenord som går att "knäcka", eller att man kanske bara har några olika lösenord (3-4 st) när man egentligen borde ha ett unikt lösenord för varje enskild sida man använder (vilket såklart är väldigt opraktiskt).

Det konstiga är att den allmänt accepterade lösningen för detta är att använda en "password manager", vilket innebär att man samlar alla sina lösenord i ett och samma program. Password managern skapar ett unikt - och säkert - lösenord för varje sida man använder, och dessa skyddas sedan bakom ett enda "master"-lösenord. Detta funkar bra så länge allt krypteras, vilket såklart password managers gör, men hur kan jag egentligen lita på att de gör det? Oavsett hur trovärdig en produkt är så är det alltid bättre att sprida ut sin risk på fler ställen än bara ett. Alla som påstår sig vara goda kan (och kommer?) förr eller senare visa sig inte vara det, t.ex. börjar folk nu så smått syna VPN-tjänsterna som påstått sig göra dig helt anonym på nätet. Tanken har helt enkelt slagit folk att även "de goda" skulle kunna ljuga om vad de gör. Så varför skulle inte password managers kunna göra samma sak?

Jag får känslan av att password managers har lyckats marknadsföra sig lika bra som VPN-företagen, och fått dig att misstro allt förutom password managers (som såklart aldrig kan ha osäker kod som råkar läcka dina lösenord, till skillnad från alla webbsidor du besöker som förstås har det, vilket är anledningen till att du måste ha en password manager!!!)=!)1).

Hur som helst, att ha dåliga lösenord är fortfarande inte ett bra alternativ. Här är en bättre metod, en analog password manager:

Skapa ett relativt långt och krångligt lösenord (som du ändå kan komma ihåg och skriva enkelt) för varje webbsida du använder.

Ta ett tomt papper. Skriv inte lösenorden ordagrant på pappret, utan skriv förklaringar eller "hints" som bara du förstår som du kan härleda lösenordet utifrån (detta motsvarar typ krypteringen i en password manager).

Skriv inte heller vilken webbsida varje lösenord tillhör. Det får du ha koll på själv eller lista ut genom att prova dig fram (dina mest använda lösenord bör du komma ihåg själv i ditt eget huvud, och de absolut absolut viktigaste bör du inte skriva ner någon "hint" om alls).

Göm lappen någonstans.

Gå sedan inte runt och berätta om den här lappen, precis som att du inte ska säga att du har en password manager, och precis som att det inte borde vara en modern säkerhetsstandard att publicera helt öppet online vilka säkerhetshål programmet du utvecklar har (av respekt för folk som fortfarande använder gamla osäkra versioner av ditt program borde du meddela de personerna enbart och inte ge ut infon till potentiella hackers som läser din sida på nätet - detta är ett sidospår så ignorera vad jag just skrev om du vill).

Nu har du ett nästan lika säkert system som en password manager (nästan lika säkert som en password manager i en perfekt värld där mjukvaruföretag aldrig ljuger, det vill säga). Kanske lite mer otympligt, men vill du ha något praktiskt kan du alltid använda lättknäckta lösenord eller ha en password manager som ger dig en falsk känsla av trygghet och extra pluspoäng på internetforum! Det är lättare att lita på sig själv än på säkerhetsföretag med snygg landing page och gradient-bakgrund som förmodligen inte ens fanns för 5-10 år sedan, och den fysiska världen är mycket mindre kaotisk och mer förutsägbar än datorer och internet.

/kbrecordzz, 2025-09-25