HeyLogin, huvudlösenordslösa alternativet till Bitwarden o liknande. Det bra och dåliga jämförelsevis.

TLDR: Istället för huvudlösenord använder man en app i telefonen för att aktivera webläsartillägget** i en webläsare. Istället för att huvudlösenordet används som kryptering så används telefonens säkerhetchip för att kryptera och dekryptera databasen.

Jag har använt Bitwarden i tio år eller så nu och har varit nöjd. Men den är så tråkigt bra så man kollar ifall gräset är grönare nån annanstans.

HeyLogin är en lösenordshanterare där man inte behöver något huvudlösenord alls. Inte för att det är särskilt betungande att använda en sån, men heylogin gör inloggningar mer enkelt än till och med Bitwarden. Allt sker med ett klick bara.

Företaget är baserat i Tyskland och är väl egentligen riktad mot företag i första hand, men en vanlig sketen användare som en annan kan också använda den, och den kostar inget för privatpersoner. I alla fall om man inte har något behov av sk "teams". Den följer GDPR.

Installationsförfarandet är lite annorlunda eftersom inget huvudlösenord behövs. Och så här i lång text framstår nog som bökigare än vad det faktiskt är.
Man behöver först ladda ner appen till telefonen och där skapa kontot, dvs ange en mailadress. Lättförståeliga instruktioner om t.ex. hur man i iPhone ger den tillåtelse till att fylla i lösenord och ev. TOTP. Antar att liknande funktion finns i Android också.

Gick löjligt enkelt att importera Bitwardens databas, inklusiver redan gjorda TOTP så man slapp lägga till heylogin också som TOTP-skapare på de olika sajterna där man använt Bitwarden.
Eller nåja, några verkar inte fungera precis överallt, I Amazon t.ex. fick jag lägga till heylogin som ytterligare en TOTP-app.

Sen ska man i mobilappen lägga till en webläsare (som man har på en extern enhet, som PC) genom att i den gå till heylogin.app och scanna QR-koden man får upp i datorn, så läggs den webläsaren till i appen som behörig att använda webläsartillägget. Sen får man ladda ner webläsartillägget för den webläsaren. Webläsartillägget är meningslös innan man accepterat webläsaren i telefonen.

När man kommer till en inloggninssida vars lösenord (och TOTP om det är aktiverat) finns i heylogin så får man upp en blå/lila/svart ruta med inloggningsnamnet och man bara klickar på den så fylls allting i, inklusive TOTP när den begärs. inloggningsuppgifterna eller TOTP stannar inte i minnet eller urklipp så att de går att klistra in en gång till.

Det finns några negativa saker också (förutom det eventuella problemet man kan ha med webläsartilläggets säkerhet då), finputsningar som behöver göras. Än så länge kan man inte lagra addresser eller kreditkort såsom i Bitwarden så att de kan fyllas i på en websida. Men tillverkaren påstår att det är på gång, oklart när.

Och vill man inte använda webläsartillägget och bara använda appen i telefonen för att logga in på websidor i sin PC så är det inte organiserat så att det ser lika snygg ut, man får helt enkelt söka i telefonen efter den sajten man vill se inloggningsuppgifterna för.

Sen kan nog folk vars dator med det aktiverade webläsartillägget är tillgänglig för andra tycka att det känns osäkert att inte kunna låsa tilägget med en kod så som i Bitwarden, den är aktiv med webläsaren.

Så Bitwarden är nog mer tilltalande för många tack vare dessa sidor av appen. Själv ska jag utvärdera denna i några månader till då jag uppskattar smidigheten, och jag är inte så orolig för de teoretiska riskena. Jag har levt med dem ända sen webläsartillägg kom till Bitwarden Den är ju gratis (nåja, Bitwarden med alla dess extra möjligheter när man betalar för den är ju i princip gratis också - löjliga hundringen per år bara och skaparen har inte höjt priset sen det sattes)

Men tänkte bara tipsa om att den fanns, inte minst som ett europeiskt alternativ

**Brasklapp*
Vet nu att det finns risk att använda TOTP samtidigt som lösenorden i ett webläsartillägg, eftersom man teoretiskt sett kan få in keyloggers eller bli hackad via nån zeroday, eller att man klickar på phishing-länkar. Så man får avgöra själv hur stor man tycker den risken är. Tyvärr kan ju inte passkeys (som också går att använda med heylogin) användas på den absoluta majoriteten av alla sajter där man ska logga in. (även om inte ens de hjälper mot phishing)

*edit*

Jag borde ha nämnt att i och med att det inte finns något huvulösenord så blir det omöjligt för buset att hacka databasen om de lyckas få tag på den, eftersom telefonens chip är nyckeln och inte huvudlösenordet. Vet nu inte vilka alla olika hackningstekniker det finns, men med brute force går det inte.