Sårbarhet i flera populära lösenordshanterare

Jag har inga sociala medier, om man bortser från min google.konto. Har ändå 192 siter, alla med separate lösenord på minst 25 tecken, tjänster lagrade i min lösenordshanterare. Har aldrig använt autofyll då jag vet att det är en bov. 2FA överallt det går.

Har inte mitt maillösenord lagrat i lösenordshanteraren.

Att gå tillbaks till att lagra lösenord lokalt på datorn, i minnet, eller i en bok hade varit hemskt. Bära med sig en bok med lösenord? Jag antar att ni bara försöker vara lite roliga så här en fredag.

Enligt https://haveibeenpwned.com så har jag minst ett 30-tal olika inloggningar

Vet inte om jag ens besökt 192 olika siter i mitt liv och inte med lösenord. Vad är det för sidor, skapar du konton överallt och loggar in precis överallt det är möjligt? Du behöver en bok jag klarar mig med ett papper, mer än väl med ett papper.

otroligt mycket, hur hinner ni med annat än att hänga alla dessa siter?

Jag hade en liten dosa som digitalt kunde spara telefonnummer och sen spela upp DTMF (https://sv.wikipedia.org/wiki/Tonval) i luren när man skulle ringa.

Körde Keepass innan man gick över till Bitwarden för att jag ville ha det på telefonen också. Körde annars med dropbox som jag hade databasen på, men det är ju också molnet. Keepass har ingen annan lösning än vad jag vet, och den lösningen måste ju vara molnet om man inte syncar lokalt på telefon på något sätt. Foldersync finns ju t.ex för Android.

Bara man inte har mail-lösenorden i lösenordhanteraren så känner jag mig rätt säker.

För att vara ärlig så har jag precis som 85% av alla nördar "värdelösa" lösenord på merparten av inlogg. Men för att komma åt mitt "master password" (mail konto) d.v.s det konto som låter mig stänga ute alla oinbjudna gäster från alla mina konton så behöver man tortera mig!

Jag vet ju inte hur mycket skada ni andra tar av att någon "gäst" har tillgång till ert konto på (insert random site) Men eftersom jag aldrig litat på cloudtjänster för att spara "känslig" data känner jag inte behovet av en lösenordshanterare.

jag köra samma kod och lösenord på alla mina saker
Gjort så i 20 år snart. Aldrig stött på problem

Det gör det iofs bara värre när siten uppdaterat och jag efter ett halvår ombeds skriva in ngt lösenord. Så j-a dåligt.

Jobbet?

Med tanke på att det fortfarande händer att webbtjänster som lagrat lösenord på ett riktigt uselt sätt (klartext eller känt knäckta krypton snarare än i form av saltade hashar) blir knäckta, innebär det att risken är rätt stor att din kombination av mailadress och lösenord redan finns där ute i password stuffing-listor.

Du kan enkelt kolla om ditt lösenord läckt med hjälp av havibeenpwned.

Slog en räkning i min hanterare.

694 inloggningar.

Hur kan man ha så många inloggningar? Jag försöker alltid minimera sådant i den mån det går. Hur blev det såhär? Ingen kommer ju i framtiden kunna hålla koll på allt om detta blir standard och dess lösenordshanterare kommer ha total monopol på ditt liv.

Sunda lösenordshanterare låter dig exportera hemligheter.

Många är nog gamla labb-maskiner. Finns en herrans massa maskiner som jag har har olika tjänster och pryttlar på genom åren för hemmalab.
Lösenordshanterare är absolut ett krav, ja. Men det är inte svårt att byta. Inte för att jag har haft någon anledning att göra det med den befintliga.

Jag har fortfarande koll på mina lösenord som är till för att återställa. De skriver man inte ned.

Hjälper inte så mycket då det bara är till nästa hanterare istället. Du kommer aldrig kunna minnas alla själv.

Men då används de väll inte längre?
Ja vissa saker måste man ha i huvudet helt enkelt och inte någon annanstans

Men det är ju hela poängen: du kan inte minnas alla hemligheter själv oavsett; särskilt inte om du också jobbar med IT.
Och även om du har fantastiskt minne och kan dina lösenord, så kan du troligen inte huvudräkna dig fram till vad nästa TOTP-nyckel är där du har MFA. Och det är hyfsat opraktiskt att handknacka passkey-förhandling in i dina webbsessioner också.

Kort sagt: om du lever i det här decenniet är du sannolikt relativt beroende av någon form av tekniskt säkerhetshjälpmedel om du behöver kunna interagera med andra.

Känner nog ingen som vad jag vet använder lösenordshaterare. Konceptet är relativt nytt för mig också faktiskt och skulle nog vilja påstå att det är rätt ovanligt bland vanligt folk, än sålänge.
Men jag gillar att testa nytt så jag får väll testa bitwsrden eller passkey som jag tar förgivet är de största och att gratisfunktionerna ändå är rätt bra?
Pappret har jag nog kvar ändå till viktiga saker som jag sällan går in på.

Nästan samma här, men det märks också på hur folk gör.

Person 1: relativt bra koll på inloggningar, men alla lagras i en anteckning på mobilen, och de flesta är variationer på samma korta lösenord (typ 8 tecken + lite extra av variationerna). Bitwarden är installerat men används inte riktigt.
Person 2: allt på papper, logga in på en sida tar typ 5 minuter för att leta fram det. Även här är Bitwarden installerat, men typ 1-3 lösenord som faktiskt används är lagrade där, så pappret är det som gäller.
Person 3: också relativt bra koll, men återanvända lösenord som med tur(?) också står i en anteckning på mobilen.

Med "bra koll" menar jag alltså inte bra säkerhet utan bara att det inte tar så lång tid att faktiskt hitta och använda en inloggning. Mest för att det är typ samma överallt.

Jag skulle säga att spridningen bland vanligt folk ökat en hel del sedan det blev en vanlig inbyggd funktion i webbläsare.
I Apples fall är det sedan ett tag tillbaka en del av hela ekosystemet, i och med Passwords-appen som synkar dina hemligheter mellan alla enheter, och systemet försöker verkligen hjälpa dig använda lösningen.

Kör KeePass och KeePassXC (den senare i Linux). Föredrar att ha en lokal databas, ingen synk och metoden med copy-paste vilket i detta fall har fördelen att KeePass tömmer klippboken efter 12 sekunder.

Mitt intryck är att de flesta problem som finns med lösenordshanterare avser de som antingen integreras via webbläsartillägg (detta är en potentiell risk), dels de som använder molnlagring/synk. En lokal hanterare är säkrare.

Apple har ju länge kört KeyChain (från Mac OS 9) och den funktionen är bra om än ingen lösenordshanterare per se. Dock praktisk lösning att lagra lösenorden i denna nyckelring och hämta dem därifrån medelst anrop från berört program.

Sedan förra året finns Passwords som är en mer eller mindre komplett lösenordshanterare inklusive hantering av TOTP-nycklar, passkeys samt delning av specifika hemligheter inom familjen eller med valfri grupp människor. Vad den huvudsakligen saknar jämfört med professionella hemlighetshanterare är stöd för kryptering av valfria dokument/filer samt versionshanterad spårbarhet av lösenordshistorik och vem som använt eller ändrat en hemlighet när.

Mm, det var ju fel när detta publicerades.

Nu verkar iaf 2025.8.1 ha börjat tryckas ut i verkligheten (verkar vara ute för Chrome(ium), på väg för Firefox), det verkar vara versionen som de menar ska fixa/mitigera det.

Ur artikeln:
"Update 22.8.2025:
Bitwarden: 2025.8.1 (in progress), <=2025.8.0 (vulnerable)"

Jag kände på mig att det var fel, men ville inte anmäla artikeln för att jag inte var säker.

Jag sitter med version 2025.7.1 i Firefox och har testat uppdatera i Firefox men får inte ens 2025.8.0. I Vivaldi fick jag ner 2025.8.1 när jag uppdaterade.

Jag har börjat utvärdera KeepassXC nu för att slippa ha ett extension i webbläsaren. Det är synd att inte desktop bitwarden har så den kan skicka lösen till webläsaren som keepass(XC) kan.

Har också installerat FreshRSS så jag slipper Feedbro också. Kan inte ta bort fler extension för jag har blivit så beroende av BSC och stylus så de kan jag inte stänga av.

Den uppdaterar ju normalt automatiskt, men vet inte hur ofta den gör det. Något som är rätt dåligt i alla webbläsare är information om uppdateringar, versioner och liknande. Varför inte skriva en liten rad där man skriver när den har uppdaterats sist och vilken version extension är i.

Freshrss var den som kunde ersätta Feedbro. Alla andra hade inte alls det jag ville ha.