Mest säkra Password Manager som finns?

Permalänk
Medlem

Bitwarden är grymt. Är man rädd för "företaget" så kan man hosta själv. Öppen källkod som har granskats. Har använt det sen det kom och det har bara blivit bättre med tiden, allt man behöver är dessutom gratis. Spelar ingen roll om det är nytt eller inte när det är öppen källkod. Sen ska man givetvis ha tvåfaktorsautentisering överallt där det går också, och inte lagra detta i t.ex. Bitwarden utan genom t.ex. Google Authenticator eller Authy.

Permalänk
Medlem

Bitwarden med https://github.com/dani-garcia/bitwarden_rs
Så kan du hosta allt själv samt köra alla bitwarden appar

Permalänk

Vad är bästa alternativet till Bitwarden?

McAfee's fungerade sådär på macos.

Permalänk
Medlem

Keepass har jag kört i många år, och gör precis det den ska. Har inte min databas i något moln, endast lokalt/offline.

Permalänk

Varför är det så många som gillar Bitwarden?

Den är i öppen källkod visst, men öppnar inte det upp för att bli hackad?

En hel del som använder 1password också som är helt låst, man får lita på ett dokument de skrivit om hur säkerheten är.

Jag vill inte verka dryg men allt suger, inget känns bra.

H J Ä L LP

Permalänk
Medlem
Skrivet av stefaneriksson123:

Varför är det så många som gillar Bitwarden?

Den är i öppen källkod visst, men öppnar inte det upp för att bli hackad?

En hel del som använder 1password också som är helt låst, man får lita på ett dokument de skrivit om hur säkerheten är.

Jag vill inte verka dryg men allt suger, inget känns bra.

H J Ä L LP

Inget kommer vara perfekt men jag anser det som otroligt mycket bättre säkerhet att ha ett program som dessa som lagrar dina lösenord (olika och komplicerade passwords för varje site) än att använda samma lösenord till allt. Lösenorden är ju inte lagrade i klartext utan både hashade och saltade etc beroende på teknik.

Permalänk
Medlem

Mest säkra är väl att köra helt egen "hosted" password manager? Jag kör själv en bitwarden på min server i docker. Med andra ord sparas all lösen på hårddisken i hemmet. Kommer åt dem vart som helst med tvåstegs verifiering. Även det är open source och krypterat end-to-end

Permalänk
Medlem
Skrivet av DarkzideR 84:

Bitwarden är grymt. Är man rädd för "företaget" så kan man hosta själv. Öppen källkod som har granskats. Har använt det sen det kom och det har bara blivit bättre med tiden, allt man behöver är dessutom gratis. Spelar ingen roll om det är nytt eller inte när det är öppen källkod. Sen ska man givetvis ha tvåfaktorsautentisering överallt där det går också, och inte lagra detta i t.ex. Bitwarden utan genom t.ex. Google Authenticator eller Authy.

Är det denna guide som jag behöver följa för att hosta själv? https://bitwarden.com/help/article/install-on-premise/#tldr

Vad behöver man för att kunna hosta själv? Jag har ingen serverdator men funderar på att köpa en NAS som jag tänkte använda som moln för bl.a. min mobil

Permalänk
Medlem
Skrivet av Airikr:

För att vara realistisk, så kan det där inte bevisa att det de säger är sant. Hur vet vi att det de skriver faktiskt är sant, när vi inte får se bevis på att det är sant? Även om det de skriver ser lovande ut, så litar jag inte på dom och inte heller något annat säkerhetsföretag som har sin källkod stängd för allmänheten.

Jag kanske är för petnoga av mig, men jag är inte ensam om att föredra att använda produkter vars utvecklare är mycket ärliga och öppna av sig (Google typ exkluderad på grund av noll kryptering (Google Pay ej inkluderad, då datan där tydligen är krypterad, tack och lov) i deras tjänster, men det är ett annat ämne jämfört med lösenordshanteringstjänster);

"Här är vår produkt och här har du hela källkoden för produkten. Undrar du över något, fråga vår community eller bidra till att förbättra källkoden." (Bilden som länken går till har sina år på nacken).

Jag antar att Microsoft och Apple har börjat med öppen källkod här och var tack vare att allt fler folk har blivit mer och mer mån om sin integritet och därmed kräver öppen källkod

Jag håller med fullständigt, som jag sa, intressant läsning, inte mer än så.

Problemet med Apple / App Store är att även om det nu skulle släppas öppen källkod, hur kan man sen verifiera att källkoden dom släppt faktiskt är den som kompilerats och skickats ut på App Store?

Det man då i extremfallet kan göra är att köpa sig ett eget dev-konto för 1000:- per är och sen sitta och ”sideloada” apparna själv, varje uppdatering. Smidigt...

https://protonvpn.com/blog/open-source/
Dom har precis det problemet. Jag har flera gånger frågat hur man ska kunna verifiera att en viss version på Appstore är byggd av en viss source men inte fått något svar.
Någon här kanske vet?

Permalänk
Medlem
Skrivet av BasseBaba:

Jag håller med fullständigt, som jag sa, intressant läsning, inte mer än så.

Problemet med Apple / App Store är att även om det nu skulle släppas öppen källkod, hur kan man sen verifiera att källkoden dom släppt faktiskt är den som kompilerats och skickats ut på App Store?

Det man då i extremfallet kan göra är att köpa sig ett eget dev-konto för 1000:- per är och sen sitta och ”sideloada” apparna själv, varje uppdatering. Smidigt...

https://protonvpn.com/blog/open-source/
Dom har precis det problemet. Jag har flera gånger frågat hur man ska kunna verifiera att en viss version på Appstore är byggd av en viss source men inte fått något svar.
Någon här kanske vet?

Ja, självklart var det intressant läsning Jag gillar sådana artiklar som är detaljerade och utförliga. Det är därför jag gillar Kasperskys blogg

Om man förstår sig på källkoden, så kan man sitta och jämföra den med det som finns i appen/tjänsten. Om båda överrensstämmer med varann, så är appen/tjänsten lika uppdaterad som källkoden.

Men om man inte kan förstå sig på källkoden, så kan man läsa vad andra säger, som förstår sig på den. Personer i öppen källkod-community'n tenderar till att vara väldigt ärliga av sig. En del till och med bygger om/vidare och förbättrar källkoden så att andra kan ta del av den på bästa möjligaste sätt (åtgärdar buggar, täpper till säkerhetshål, tar bort eventuella trackers, med mera). Det är därför jag älskar öppen källkod.

Jag jämför oftast World of Warcraft med stängd källkod och EVE Online med öppen källkod, då båda delar samma innebörd. World of Warcraft är begränsat gällande vad man kan göra, samma som med stängd källkod: man får det utvecklarna gör åt en. EVE Online är öppen och låter spelarna göra det de själva vill göra och spelet är även community-baserat (spelarna avgör hur berättelsen och konsekvenserna i spelet ska vara - inte utvecklarna).

Permalänk
Medlem
Skrivet av stefaneriksson123:

Varför är det så många som gillar Bitwarden?

Den är i öppen källkod visst, men öppnar inte det upp för att bli hackad?

En hel del som använder 1password också som är helt låst, man får lita på ett dokument de skrivit om hur säkerheten är.

Jag vill inte verka dryg men allt suger, inget känns bra.

H J Ä L LP

Helt säker kan man inte vara. Stängda appar kan ha fördelar ur säkerhetssynpunkt, men även Open Source. Men så länge man inte kan gå igenom koden helt och kompilera själv så är Open Source kanske bara lite säkrare. Det är fler som kan hitta buggar i koden helt enkelt. Man vet inte om Keepass eller Bitwardens program är säker om man laddar ner dom på deras sida.

Precis som alla andra program på datorn eller telefonen så måste man till viss del lita på säkerheten. Steam eller microsoft kan också bli hackade och det kan då finnas malware i dessa som då i sin tur kan lyssna av din dator.

Password Manager är till för att kunna ha unika lösenord på varje sida.

Så PM är inte något som säkrar dina lösenord till 100% utan dess främsta funktion är att säkra dina andra konton om någon databas blir hackad på en hemsida. Om din PM blir hackad så är det ju otroligt jobbigt, men att det händer är mindre risk än att en databas på en hemsida sprider ditt återanvända lösenord.

Prova Bitwarden eller någon annan och lägg in lite lösenord och prova. Jag provade de flesta vi pratat om här men kom tillbaka till Keepass. T.ex. Bitwarden eller Keepass är ju riktiga program där man kan trycka en hotkey när man ska logga in på en sida, detta har ju fördelen att man slipper ha plugin till sin webbläsare som då känns mer osäkert.

Permalänk
Medlem

Jag kör keepass med cert och lösenord.
Då behövs det också en fil för att kunna öppna den. Så har faktiskt min keepass i molnet så att den är uppdaterad.
Men lägger manuellt in certet på mina enheter, det finns inte på molnet.
Sedan är ju keepass en fil och ligger inte i en molntjänst som kräver att bara den molntjänsten behöver bli hackad.

Sedan även lösenord, blir lite kaka på kaka.
Nu blir det hacka google drive, hitta mitt keepass-lösen, men behöver också mitt cert vilket innebär en av mina enheter.
Och blir jag av med en enhet så slänger jag ut den från moln-tjänsten...

Låter nästan paranoid...

Permalänk
Hedersmedlem

Använde LastPass under många år men bytte något år efter de blivit uppköpta av skitföretaget Logmein.

Skaffade Bitwarden istället efter lite undersökningar. Gillade det så mycket att jag började betala för premiumversionen efter ett halvår för att stötta utvecklingen.

Funkar i stort sett alltid på både telefon, platta och dator. Mycket nöjd överlag med funktionaliteten och kommer stanna kvar.

Permalänk
Medlem

@mkl: Japp, det är den officiella Docker-containern. Har du inte använt Docker förr så kan det vara väldigt krångligt att förstå och konfigurera som man vill ha det. Docker är bland det bästa jag någonsin använt eftersom det är så löjligt enkelt att slänga ihop något färdigt på bara några minuter men det är inte helt lätt att förstå hur det är uppbyggt från början. Bitwarden kräver dessutom en del extra arbete som SSL-certifikat (finns Docker containrar som gör detta automatiskt med väldigt lite konfiguration om man har en domän) och SMTP-server (går att använda t.ex. mailjet). Har du tid, lust och ork att lära dig Docker så är det absolut värt det.

Det går även att använda containern som @timerx länkar till, det är den jag använder just nu för att kunna dela lösenord med andra på ett smidigt sätt (kräver annars premium-medlemskap). Finns säkert någon full guide där ute som går igenom alla steg.

Det är perfekt att lägga på en NAS (med stöd för Docker och tillräckligt mycket RAM) med RAID 1/RAID 5 (iaf någon form av backup) eller, en serverdator som använder Docker med en volym som ligger på NAS:en. Rekommenderar inte att köra Docker på sin primära burk förutom i testsyfte.

Permalänk
Medlem
Skrivet av DarkzideR 84:

@mkl: Japp, det är den officiella Docker-containern. Har du inte använt Docker förr så kan det vara väldigt krångligt att förstå och konfigurera som man vill ha det. Docker är bland det bästa jag någonsin använt eftersom det är så löjligt enkelt att slänga ihop något färdigt på bara några minuter men det är inte helt lätt att förstå hur det är uppbyggt från början. Bitwarden kräver dessutom en del extra arbete som SSL-certifikat (finns Docker containrar som gör detta automatiskt med väldigt lite konfiguration om man har en domän) och SMTP-server (går att använda t.ex. mailjet). Har du tid, lust och ork att lära dig Docker så är det absolut värt det.

Det går även att använda containern som @timerx länkar till, det är den jag använder just nu för att kunna dela lösenord med andra på ett smidigt sätt (kräver annars premium-medlemskap). Finns säkert någon full guide där ute som går igenom alla steg.

Det är perfekt att lägga på en NAS (med stöd för Docker och tillräckligt mycket RAM) med RAID 1/RAID 5 (iaf någon form av backup) eller, en serverdator som använder Docker med en volym som ligger på NAS:en. Rekommenderar inte att köra Docker på sin primära burk förutom i testsyfte.

Hmm... verkar som att det är för komplicerat för någon som inte har någon erfarenhet inom det här. Jag hade hoppats uppgradera från min nuvarande Enpass lösning

Permalänk
Medlem

Kör bitwarden efter att ha kört 1password i många år.
Gillade 1password, men inte subscription modellen. Saknar inget därifrån med bitwarden dock så är nöjd.

Permalänk
Medlem
Skrivet av DarkzideR 84:

@mkl: Japp, det är den officiella Docker-containern. Har du inte använt Docker förr så kan det vara väldigt krångligt att förstå och konfigurera som man vill ha det. Docker är bland det bästa jag någonsin använt eftersom det är så löjligt enkelt att slänga ihop något färdigt på bara några minuter men det är inte helt lätt att förstå hur det är uppbyggt från början. Bitwarden kräver dessutom en del extra arbete som SSL-certifikat (finns Docker containrar som gör detta automatiskt med väldigt lite konfiguration om man har en domän) och SMTP-server (går att använda t.ex. mailjet). Har du tid, lust och ork att lära dig Docker så är det absolut värt det.

Det går även att använda containern som @timerx länkar till, det är den jag använder just nu för att kunna dela lösenord med andra på ett smidigt sätt (kräver annars premium-medlemskap). Finns säkert någon full guide där ute som går igenom alla steg.

Det är perfekt att lägga på en NAS (med stöd för Docker och tillräckligt mycket RAM) med RAID 1/RAID 5 (iaf någon form av backup) eller, en serverdator som använder Docker med en volym som ligger på NAS:en. Rekommenderar inte att köra Docker på sin primära burk förutom i testsyfte.

https://hometechblogger.com/how-to-install-bitwarden-with-doc...
Kör den med min synology nas. Samt så kör jag med en synology.me domän då de har inbyggt stöd för let's encrypt. Riktigt nöjd med setupen

Permalänk
Medlem
Skrivet av Airikr:

Om man förstår sig på källkoden, så kan man sitta och jämföra den med det som finns i appen/tjänsten. Om båda överrensstämmer med varann, så är appen/tjänsten lika uppdaterad som källkoden.

Okej?

Vad säger att dom inte lagt till 1 rad kod som skickar upp ditt master-password till deras server, så dom i sin tur kan sitta och läsa din databas?

Det jag är ute efter är nått i stil med att Apple visar upp någon typ av checksumma på den kompilerade binären, så att man på egen hand kan kompilera upp källkoden och verifiera att det är 100% av den angivna källkoden som faktiskt är det som jag laddar ner och kör.

Permalänk
Medlem

Jag kan inte uttala mig om vad som är säkrast men jag håller med andra här att McAfee nog inte är att lita på. Och den som bestämmer sig för att använda en lösenordshanterare, använd då för guds skull två faktorer för inloggning. Att endast ha ett lösenord och inget annat för att komma åt alla konton i lösenordshanteraren är att skjuta sig själv i foten. Själv använder jag Yubikey som andra faktor.

Permalänk
Medlem
Skrivet av BasseBaba:

Okej?

Vad säger att dom inte lagt till 1 rad kod som skickar upp ditt master-password till deras server, så dom i sin tur kan sitta och läsa din databas?

Det jag är ute efter är nått i stil med att Apple visar upp någon typ av checksumma på den kompilerade binären, så att man på egen hand kan kompilera upp källkoden och verifiera att det är 100% av den angivna källkoden som faktiskt är det som jag laddar ner och kör.

Som jag redan skrev: community'n

Om Bitwarden nu har ändrat en rad som skickar ens huvudlösenord till deras server i klartext, så skulle folk se det i källkoden (som alltid ska vara up to date (en tumregel)) och klassa Bitwarden som osäker och varna andra. Plus, om Bitwarden skulle lägga in den raden i källkoden och inte skulle ladda upp ändringen till GitHub, så skulle de gå emot deras Terms of Service (sektion B, kapitel 3 (User Account Security)), vilket säger att det är du som ansvarar för säkerheten av ditt konto - inte dom.

Personligen gillar jag inte Apple. När jag skulle konfigurera morsans första iPhone förra månaden, så var hon tvingad till att logga in på hennes Apple ID-konto. Gjorde hon inte det, så förbjöd Apple henne att använda produkten. Det var lite som med tangentbordsappen SwiftKey, som jag konfigurerade åt henne i går. För att slutföra konfigureringen och göra så att hon kunde använda förutsägelser om nuvarande och nästa ord, så var hon tvingad att ge Microsoft full tillgång till hennes inmatningar. Jag är väldigt allergisk mot sånt sedan upptäckten att Microsoft har en keylogger i Windows 10 (bevis).

Men tilbaka till Apple nu då. När jag ringde till Apples support i våras i och med uppköpet av Dark Sky, så var jag tvungen att ange förnamn, efternamn, telefonnummer och e-postadress. Gjorde jag inte det, så skulle jag inte få någon hjälp alls. Fick senare veta att mina uppgifter kommer att vara kvar i deras system i minst 90 dagar, men lyckades övertala supporten att åtminstone ta bort mitt telefonnummer (phew).

Jag gillar dock Apples produkter. iOS är jävulskt stabilt. Men de får mig att vilja fly från dom på grund av att de vill ha järnkoll på en! Det är därför jag älskar Android: det är öppet och tvingar inte en till att göra saker på Googles villkor. Jag kan använda min telefon till fullo, utan att ens vara inloggad på mitt Google-konto, vilket är mitt mål efter att jag har lämnat in min telefon på lagning och fått tillbaka den.

Google är som EVE Online, för att dra den jämförelsen igen, medan Apple är som World of Warcraft, om inte värre till och med.

Mycket sidospår i det här inlägget, men hoppas det godtas ändå, haha!

Permalänk
Medlem

På jobbet Keepass, privat Keepass2Android offline.

Om jag tillåts flyta lite utanför trådens huvudsyfte:

Kravet på kunskap för att säkerställa sina lösenord i ettor och nollor är så ofantligt hög att det inte fungerar för en absolut majoritet. För att göra detta måste man personligen ha full förståelse för alla lager, från hårdvara och maskinkod hela vägen upp till mjukvarulagret i form av det grafiska gränssnittet. Dessutom bör du även tillverka all hårdvara själv för att säkerställa att inga bakdörrar byggs in under tillverkning.

Således är din fråga kanske bättre ställd på följande vis:
Hur stor kompromiss är du villig att göra med säkerheten för dina lösenord. Hur tungt väger användarvänligheten mot fler lager av säkerhet osv.

Sen har jag en fundering om inte det är så att man gör sig själv till en större måltavla ju fler lager säkerhet man bygger på. Vad är det du har som gör det befogat med en viss nivå av säkerhet?

Permalänk
Medlem
Skrivet av DarkzideR 84:

@mkl: Japp, det är den officiella Docker-containern. Har du inte använt Docker förr så kan det vara väldigt krångligt att förstå och konfigurera som man vill ha det. Docker är bland det bästa jag någonsin använt eftersom det är så löjligt enkelt att slänga ihop något färdigt på bara några minuter men det är inte helt lätt att förstå hur det är uppbyggt från början. Bitwarden kräver dessutom en del extra arbete som SSL-certifikat (finns Docker containrar som gör detta automatiskt med väldigt lite konfiguration om man har en domän) och SMTP-server (går att använda t.ex. mailjet). Har du tid, lust och ork att lära dig Docker så är det absolut värt det.

Det går även att använda containern som @timerx länkar till, det är den jag använder just nu för att kunna dela lösenord med andra på ett smidigt sätt (kräver annars premium-medlemskap). Finns säkert någon full guide där ute som går igenom alla steg.

Det är perfekt att lägga på en NAS (med stöd för Docker och tillräckligt mycket RAM) med RAID 1/RAID 5 (iaf någon form av backup) eller, en serverdator som använder Docker med en volym som ligger på NAS:en. Rekommenderar inte att köra Docker på sin primära burk förutom i testsyfte.

Skrivet av timerx:

https://hometechblogger.com/how-to-install-bitwarden-with-doc...
Kör den med min synology nas. Samt så kör jag med en synology.me domän då de har inbyggt stöd för let's encrypt. Riktigt nöjd med setupen

Jag kanske gör ett försök med den guiden @timerx delade eftersom den verkar innehålla allt jag behöver. Är det okej att PMa er vid frågor?

Permalänk

Kan man verkligen lita på Lastpass tror ni om man tittar på alla historiska brister de haft?
https://en.wikipedia.org/wiki/LastPass#Security_issues

Letar efter en password manager som fyller i och loggar in automatiskt. Har endast hittat dashlane som verkar stödja detta, dock så suger dashlanes interface och vissa funktioner.

Tack för tips! <3

Permalänk
Medlem
Skrivet av stefaneriksson123:

Kan man verkligen lita på Lastpass tror ni om man tittar på alla historiska brister de haft?
https://en.wikipedia.org/wiki/LastPass#Security_issues

Letar efter en password manager som fyller i och loggar in automatiskt. Har endast hittat dashlane som verkar stödja detta, dock så suger dashlanes interface och vissa funktioner.

Tack för tips! <3

Keepass

Permalänk
Medlem
Skrivet av stefaneriksson123:

Kan man verkligen lita på Lastpass tror ni om man tittar på alla historiska brister de haft?
https://en.wikipedia.org/wiki/LastPass#Security_issues

Letar efter en password manager som fyller i och loggar in automatiskt. Har endast hittat dashlane som verkar stödja detta, dock så suger dashlanes interface och vissa funktioner.

Tack för tips! <3

Så fort en Password manager fyller i och loggar in automatisk så blir det inte lika säkert längre. Tror inte att lastpass är mer osäkert än andra som använder sig av plugin till webbläsare. Alla program/os har sina brister och både webbläsaren och Windows har säkert haft ännu farligare sårbarheter än de som har upptäckts i Lastpass. Både 1password och bitwarden borde stödja det också kan jag tycka.

Jag kör ju Keepass och skippar plugin alls, känns mer säkert att jag trycker ctrl+alt+a och den fyller i webbläsaren auto. Tror Bitwarden också har den funktionen, så man slipper webbläsarplugin alls. Fördelen är också att jag kan använda detta till Steam och andra program som jag använder också.

Permalänk

Glömde skriva att jag kör MacOS.

Känns som alla dessa lösenordshanterare mer eller mindre suger. Någon suger bättre än den andra, men alla suger. old-school.txt känns mer säkert.

Jag har neurologiska hälsoproblem så varje extra musklick vill jag egentligen undvika.

Tack.

Permalänk

Använt KeePass i många år och gillar det skarpt. Databasfilen har jag sedan på en Dropbox som jag synkar mellan mina datorer, och på iPhonen har jag KyPass som passande har stöd för Dropbox.

Permalänk
Medlem
Skrivet av stefaneriksson123:

Glömde skriva att jag kör MacOS.

Känns som alla dessa lösenordshanterare mer eller mindre suger. Någon suger bättre än den andra, men alla suger. old-school.txt känns mer säkert.

Jag har neurologiska hälsoproblem så varje extra musklick vill jag egentligen undvika.

Tack.

Då skulle jag testa om Bitwarden med plugin har samma funktion och om den inte har det skulle jag använda lastpass och sedan ha 2-vägs verifiering på lastpass och mailkonton så ingen kan komma in på dessa om de på något sätt lyckas hacka din bitwarden/lastpass. old-school.txt är rätt dåligt, papper och penna är bättre än det

Permalänk
Medlem
Skrivet av stefaneriksson123:

Nu är jag klar med min research:
—————————————————
1password - 400kr/år
Dashlane - 400kr/år
Enpass - 400kr/engång
McAfee truekey - 200kr/år
Kaspersky® (test leaked passwords) - 200kr/år
F-secure (finland)- 300kr/år

Bitwarden - gratis funnits för kort tid
Lastpass - massa problem under åren
Keepass - endast windows officiellt
Keeper - 600kr/år
passwordstore - ej användarvänligt + problem
Myki - 2 år
—————————————————

Det kommer bli Kaspersky eller McAfee, välkända varumärken man kan lita på. De andra är säkert säkrare men nä.

Har Lastpass sedan många år tilbaka. Vadå många problem, har aldrig stött på något. vad för problem har/hade Lastpass?

Permalänk
Medlem

Bitwarden lät nyss genomföra en extern audit av sin infrastruktur. Rapport finns här, https://bitwarden.com/blog/post/bitwarden-network-security-as...