Jeg anbefaler jævnligt, at folk bruger en form for adgangskodeadministrationssystem, der giver dem mulighed for at indstille adgangskoder, der er svære at knække (uanset om de er korte og komplicerede eller lange og nemme at huske), unikt for hvert websted og hver tjeneste, og som også giver dem mulighed for at udfylde disse adgangskoder overalt, hvor de har brug for det.
Lowell Nelson sendte mig en e-mail for et par uger siden og undrede sig over, hvorfor jeg er så varm på muligheder fra tredjeparter som 1Password, Dashlane og LastPass, når Apple selv har en robust multiplatformsløsning, der omfatter synkronisering: Keychain. (Keychain beskriver mere specifikt OS X-delen, mens iCloud Keychain giver mulighed for synkronisering på tværs af enheder og brug med iOS.)
Det er et fantastisk spørgsmål, og jeg foretrækker ikke at fortælle folk, at de skal købe sig til en betalt tjeneste (uanset om det er et engangsgebyr eller et abonnement), medmindre nytten af denne nytte er så stor, at den opvejer omkostningerne.
Lad os kigge detaljerne igennem. Da jeg har testet og studeret 1Password og LastPass grundigt, bruger jeg dem som sammenligningsgrundlag. Du burde kunne finde svar på hvert af nedenstående punkter i FAQ’erne eller funktionsbeskrivelserne for ethvert tilstrækkeligt robust alternativ.
Mens Apples nøglering, 1Password og LastPass alle kan gemme andre former for data sikkert, er adgangskoder det mest pålidelige element, der kan bruges på tværs af et helt økosystem og på tværs af platforme.
Hvor sikre er dine data?
Et password-“pengeskab” skal holde passwords, ja, sikre, på tre hovedområder:
-
Data i hvile på en enhed. Adgangskoder skal være sikre på en enhed mod, at andre end ejeren får adgang.
-
Data, der er gemt på servere. Det bør være vanskeligt eller umuligt for en angriber at få adgang til og dekryptere adgangskoder, der er lagret i skyen.
-
Data i transit, mens de synkroniseres eller til og fra webbaseret adgang. En stærk kryptering bør forhindre en snushane i at afkode nye poster, hentninger og opdateringer samt interaktive sessioner.
Keychain og iCloud Keychain er ret robuste i disse henseender. OS X og iOS skal være ulåst for at udfylde Keychain-poster, og OS X’s Keychain Access-app kræver en administrativ eller brugeradgangskode for at låse op og få vist adgangskoder. Med Touch ID eller en adgangskode i iOS og FileVault 2 i OS X er adgangskoderne også meget sikre, når du er lukket ned (OS X) eller låst (iOS). iCloud Keychain bruger enhedsbaseret kryptering, hvilket forhindrer Apple i at kunne (eller blive tvunget til at) dekryptere dine adgangskoder.
1Password og LastPass bruger en “dyr” kodeordskrypteringsmetode til dine lokalt lagrede databaser, så selv hvis nogen får fat i dem, kan en cracker kun brute-force kodeordsforsøg med en meget, meget langsom hastighed. LastPass testede dette utilsigtet efter et hackerangreb: der kom ingen rapporter om, at nogen adgangskodebokse blev låst op.
LastPass synkroniserer alt gennem sine servere, men krypterer med nøgler, som kun brugerne kender. 1Password synkroniserer via Dropbox og andre cloud-baserede tjenester (og er afhængig af deres sikkerheds- og krypteringsmetoder i hviletid) samt via sine tillægsabonnementer til deling med familie- eller teammedlemmer, men det låser alt med nøgler, der tilhører brugeren.
LastPass og team- eller familieindstillingerne for 1Password giver dig også adgang via en webbrowser og bruger browserbaseret dekryptering i stedet for native klientsoftware; virksomhederne er ikke i besiddelse af dine nøgler. Der er dog en svaghed ved at stole på browseren. Malware og andre browserbaserede udnyttelser gør browsere meget mere sårbare i forhold til det sikkerhedsniveau, der er tilgængeligt via native apps og cloud-synkronisering. Safari-fejl i iOS og OS X opdages jævnligt (selv om meget få er set i naturen), og du kan blive fristet til at få adgang til dine adgangskoder fra en ukendt maskine med et andet styresystem.
Hvor let er systemet at bruge?
Et adgangskodesystem skal være let at påberåbe sig. Hvis det ikke er det, vil du ikke bruge det konsekvent, for det er den menneskelige natur. Hvad værre er, hvis du installerer det til en anden person for at forbedre deres sikkerhed, vil de måske slet ikke bruge det, hvis det ikke er en konstant påmindelse og fantastisk ligetil.
Keychain bruges i høj grad af Apple som en måde at huske adgangskoder til specifikke felter på websider og til at gemme adgangskoder til en automatisk hentning og omgåelse i dets software (som AirPort Admin i OS) eller med tredjepartssoftware, der bruger Apples Keychain-kroge. I mobil og desktop Safari fungerer Keychain meget godt, lige fra at foreslå en stærk adgangskode, til at gemme den, til at gøre det muligt at trække den frem igen eller bruge andre gemte alternativer.
Men mens det er bredt anvendeligt i OS X, da flere udviklere har taget det til sig, og der er Keychain Access til direkte opslag og hentning, skal du i iOS bore ned til Indstillinger > Safari > Adgangskoder for at se, redigere eller (stryg helt i bund) tilføje adgangskoder. Desuden kan du ikke påberåbe dig Keychain i Apples logindialoger uden for internettet, hvilket gør den ubrugelig til almindelige formål. Og selv om du kan finde på en adgangskode, når du har brug for en, er det besværligt at komme til den og kan kun nemt hentes på en tilsvarende webside.
Apples tilføjelse af udvidelser fra og med iOS 8 gør det muligt at påkalde 1Password, LastPass og andre værktøjer i Safari og andre apps. Mange iOS-apps, som jeg bruger, er bundet direkte til 1Password’s API, der tillader direkte påkaldelse. I værste fald kan jeg skifte til LastPass eller 1Password for at finde adgangskoden, kopiere den og derefter skifte tilbage til appen og indsætte den.
Du kan også bruge appen til at oprette stærke adgangskoder, der gemmes ved oprettelsen, synkroniseres automatisk og kopieres til udklipsholderen til brug i andre apps.
Situationen på tværs af platforme er meget værre. Apple gør ikke iCloud Keychain tilgængelig uden for sine egne styresystemer. 1Password og LastPass (og andre apps) er tilgængelige på tværs af en lang række større platforme, og de har desuden browserbaseret adgang (som standard med LastPass og som en abonnementsmulighed med 1Password).
iCloud Keychain har ingen mekanisme til deling med andre mennesker – en del af den fortløbende fortælling, som jeg har diskuteret i årevis om, hvordan Apple ikke designer sine systemer fra bunden af til at anerkende, at folk arbejder i grupper og som familier. (Lad os ikke komme i gang med problemerne med Familiedeling.)
De fleste adgangskode-systemer har en eller anden mekanisme til at dele hemmeligheder med andre, der har konti. 1Password giver mulighed for direkte overførsel uden abonnement eller, for nylig, selektivt delt adgang blandt medlemmer af erhvervs- og familiegrupper. LastPass har tilbudt dette i årevis, fordi emnerne er gemt centralt.
Valg mellem dem
Hvis du næsten udelukkende bruger adgangskoder kun på websteder, kun bruger iOS og OS X, og ikke har noget imod at huske og indtaste de adgangskoder, som Apple kræver for sine tjenester, passer Keychain med iCloud Keychain godt til dig. Hvis ikke alle disse betingelser passer sammen, er et adgangskodeadministrationssystem investeringen værd.
Opdatering: I en tidligere version af denne historie stod der, at iOS ikke gav adgang til gemte adgangskoder eller en måde at oprette nye adgangskoder på. Det gør det; det er bare begravet i Indstillinger.