1Password tvingar ingen

1Password tvingar ingen

1Password tvingar ingen

1Password har hamnat i hetluften efter en artikel i Motherboard där det framställs som om Agilebits, som utvecklar lösenordsprogrammet, kommer att tvinga användare att lagra lösenord i en molnlösning.

Det hela är en storm i ett vattenglas. Agilebits kommer inte att ta bort funktionen med lokalt lagrade lösenord. Redan i ingressen så slår Motherboard ann tonen och gör det första felaktiga påståendet:

1Password is moving away from its one-time license, local storage option, and security researchers are not happy about it.

Agilebits har inga planer på att ta bort möjligheten och funktionen att lagra lösenord lokalt i det som kallas valv, vault.

Agilebits tvingar ingen att lagra lösenord i deras moln. Det valet gör du som användare.

Det Agilebits har gjort är att gå från en prissättning där du köper programmet en gång och betalar en licens till en prenumerationsmodell. Det är allt.

Molntjänster

Du behöver inte använda 1Passwords servrar för att synkronisera dina lösenord. Du kan använda DropBox, Apples iCloud och 1Passwords egna servrar.

Ur säkerhetsynpunkt så finns det grund för viss kritik. Vill du ha hög säkerhet så ska du inte lagra dina lösenord i en molnlösning. De ska lagras, krypterade och skyddade lokalt – på ett enda ställe. Nu är det inte alltid den mest praktiska lösningen. Speciellt inte en värld där du är mobil, flyttar på dig och använder flera olika enheter.

Säkert moln

Säkerhetsexperterna har alltså rätt – det säkraste sättet att lagra lösenord är inte i ett moln.

Här handlar det det handlar om att väga funktionalitet mot säkerhet och i den ekvationen finns ett annat inslag – ingen säkerhetslösning är bättre än det lösenord som skyddar den. Det är också så att om en lösning blir för krånglig så kommer den inte att bli använd. Det senare är något som lite för många säkerhetsexperter tenderar till att glömma bort.

Låt mig ta ett exempel: Apple har valt dina fingeravtryck som skydd för din iPhone och iPad. Det kallas biometrics och även om lösningen kan te sig säker så har den en brist, du kan inte byta fingeravtryck. Stjäls dina fingeravtryck så är du riktigt illa ute.

Den andra sidan

Det är den ena sidan. Den andra sidan är att en enhet som skyddas med ett bra lösenord och fingeravtryck trots allt är bättre än en helt oskyddad telefon. Smidigheten med fingeravtryck har ett säkerhetsmässigt pris men utan en smart och lättanvänd lösning så är alternativet ingen säkerhet alls. Apple har tagit reda på hur många som skyddade sina iPhone och iPad med pinkod/lösenord innan Touch ID lanserades och hur många som gjorde det efter lanseringen. Det är en dramatisk skillnad i antalet skyddade iPhone/iPad efter lanseringen av Touch ID.

Den ena sidan i den här debatten är att det är säkrare att lagra lösenord lokalt, hårt krypterade. Den andra sidan är att vi då kommer att ha användare som har samma lösenord på massor av ställen. Det vet vi erfarenhetsmässigt efter att ha studerat konsekvenserna efter de intrång som har begåtts ute på nätet.

Så, en molnlösning med synkronisering, som för det stora flertalet användare är den enda vettiga lösningen – eller en uppenbar risk att lösningen inte används och att samma lösenord används på massor av ställen. Det är valen som kan läggas i de två vågskålarna.

Val

Säkerhet handlar inte alltid om att välja den absolut säkraste vägen. Det är också att se till att nå så hög säkerhet som möjligt och att få folk att använda lösningarna. Säkerhet handlar om val där alternativ måste balanseras mot varandra.

I det här fallet så kommer ingen att tvinga någon att använda en molnlösning. Vilket för övrigt framgår av Mothersboards artikel även om den informationen ligger inbäddat och kommer långt ned i artikeln.

Låt mig ta ytterligare ett exempel. Regelbundna byten av lösenord ger bättre säkerhet.

Det låter logiskt eller hur?

Fel, vi vet erfarenhetsmässigt att folk då kommer att välja lätta lösenord för att kunna komma ihåg dem eller skriva upp dem och ha notislapparna i väskan eller plånboken.

Twitter

Agilebits problem förvärrades av Motherboards artikel, som skrevs efter en serie inlägg på Twitter, där bland andra Crypto Village inledde diskussionen med att felaktigt påstå att lokala valv skulle överges.

Agilebits anklagades också för att ha plockat bort funktionen i en version av 1Password för Windows, vilket också är felaktigt. Funktionen har aldrig funnits i den aktuella versionen men den finns i en ny, uppdaterad version.

Notera också att flera i den efterföljande diskussionen dömer ut Agilebits för att använda en molnlösning och sedan lägga till att de kommer att använda iCloud keychain, Apples lösning som lagrar lösenorden i – iCloud, en molnlösning.

Ansvaret

Sedan får Agilebits ta på sig en del av ansvaret för att lite för ihärdigt propagerat för en prenumerationsmodell för att använda 1Password och i det sammanhanget också gjort uttalanden om att lokala valv inte är framtiden.

Lokala valv är säkrare än molnlösningar.
Molnlösningar med synkronisering innebär att användare kan förmås att välja slumpmässiga lösenord.

Det är ett val som måste göras.

 

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.