Jag rekommenderar regelbundet att människor använder någon form av lösenordshanteringssystem som låter dem ställa in svårknäckta lösenord (oavsett om de är korta och komplicerade eller långa och lätta att komma ihåg) på ett unikt sätt för varje webbplats och tjänst, och som också låter dem fylla i dessa lösenord överallt där de behöver det.
Lowell Nelson mejlade till mig för några veckor sedan och undrade varför jag är så förtjust i alternativ från tredje part, som 1Password, Dashlane och LastPass, när Apple har en egen robust lösning för flera plattformar som inkluderar synkronisering: Keychain. (Keychain beskriver mer specifikt OS X-delen, medan iCloud Keychain möjliggör synkronisering mellan enheter och användning med iOS.)
Det är en fantastisk fråga, och jag föredrar att inte tala om för folk att köpa in sig i en betaltjänst (oavsett om det rör sig om en engångsavgift eller en prenumeration) såvida inte nyttan av den nyttan är så hög att den uppväger kostnaden.
Låt oss titta på detaljerna. Eftersom jag har testat och studerat 1Password och LastPass utförligt använder jag dem som jämförelseunderlag. Du bör kunna hitta svar på var och en av punkterna nedan i de vanliga frågorna eller funktionsbeskrivningarna för varje tillräckligt robust alternativ.
Men även om Apples nyckelring, 1Password och LastPass alla kan lagra andra typer av data på ett säkert sätt är lösenord det mest tillförlitliga elementet som kan användas i ett helt ekosystem och på olika plattformar.
Hur säkra är dina data?
Ett lösenordssäkert ”kassaskåp” måste hålla lösenorden, ja, säkra, på tre huvudområden:
-
Data i vila på en enhet. Lösenorden ska vara säkra på en enhet mot att någon annan än ägaren får tillgång till dem.
-
Data som lagras på servrar. Det ska vara svårt eller omöjligt för en angripare att få tillgång till och dekryptera molnlagrade lösenord.
-
Data i transit under synkronisering eller till och från webbaserad åtkomst. En stark kryptering bör hindra en snokare från att avkryptera nya poster, hämtningar och uppdateringar samt interaktiva sessioner.
Keychain och iCloud Keychain är ganska robusta i dessa avseenden. OS X och iOS måste låsas upp för att fylla i Keychain-poster, och OS X:s app Keychain Access kräver ett administrativt eller användarlösenord för att låsa upp och visa lösenord. Med Touch ID eller en lösenkod i iOS och FileVault 2 i OS X är lösenorden mycket säkra även när du är avstängd (OS X) eller låst (iOS). iCloud Keychain använder enhetsbaserad kryptering som förhindrar att Apple kan (eller tvingas) dekryptera dina lösenord.
1Password och LastPass använder en ”dyr” krypteringsmetod med lösenfraser för dina lokalt lagrade databaser, så att även om någon får tag på dem kan en hackare bara bryta lösenordförsök i en mycket, mycket långsam takt. LastPass testade detta oavsiktligt efter ett hack: inga rapporter kom fram om att några lösenordsvalv skulle ha låsts upp.
LastPass synkroniserar allt via sina servrar, men krypterar med nycklar som endast är kända för användarna. 1Password synkroniserar via Dropbox och andra molnbaserade tjänster (och förlitar sig på deras metoder för säkerhet och kryptering i vila) samt genom sina tilläggsabonnemang för delning med familjemedlemmar eller teammedlemmar, men låser allt med nycklar som ägs av användaren.
LastPass och team- eller familjealternativen för 1Password ger dig också åtkomst via en webbläsare och använder webbläsarbaserad dekryptering i stället för inbyggd klientprogramvara; företagen har inte tillgång till dina nycklar. Det finns dock en svaghet med att förlita sig på webbläsaren. Malware och andra webbläsarbaserade exploateringar gör webbläsare mycket mer sårbara i förhållande till den säkerhetsnivå som finns tillgänglig genom inbyggda appar och molnsynkronisering. Safari-fel i iOS och OS X upptäcks regelbundet (även om mycket få ses i det vilda), och du kan frestas att komma åt dina lösenord från en okänd maskin med ett annat operativsystem.
Hur lätt är systemet att använda?
Ett lösenordssystem måste vara lätt att åberopa. Om det inte är det kommer du inte att använda det konsekvent, eftersom det ligger i människans natur. Vad värre är, om du installerar det för någon annan för att förbättra deras säkerhet, kan det vara osannolikt att de använder det överhuvudtaget om det inte är en ständig påminnelse och fantastiskt enkelt.
iOS-appar har större sannolikhet att stödja LastPass och 1Password’s tillägg än iCloud Keychain.
Keychain används till stor del av Apple som ett sätt att komma ihåg lösenord för specifika fält på webbsidor, och för att lagra lösenord för en automatisk hämtning och förbigång i dess programvara (som AirPort Admin i OS) eller med programvara från tredje part som använder Apples Keychain-krokar. I Safari för mobiler och datorer fungerar Keychain mycket bra, från att föreslå ett starkt lösenord till att lagra det och göra det möjligt att ta fram det igen eller använda andra lagrade alternativ.
Men medan det är allmänt användbart i OS X, eftersom fler utvecklare har anammat det och det finns Keychain Access för direkta sökningar och hämtningar, måste du i iOS borra ner till Inställningar > Safari > Lösenord för att visa, redigera eller (svep hela vägen till botten) lägga till lösenord. Dessutom kan du inte åberopa Keychain i Apples inloggningsdialoger utanför webben, vilket gör den oanvändbar för vanliga ändamål. Och även om du kan hitta på ett lösenord när du behöver det, är det besvärligt att komma åt det och kan bara hämtas enkelt på en motsvarande webbsida.
Apples tillägg av tillägg från och med iOS 8 gör det möjligt att anropa 1Password, LastPass och andra verktyg i Safari och andra appar. Många iOS-appar som jag använder är kopplade direkt till 1Password’s API som tillåter direkt anropning. I värsta fall kan jag växla till LastPass eller 1Password för att hitta lösenordet, kopiera det och sedan växla tillbaka till appen och klistra in det.
Du kan också använda appen för att skapa starka lösenord som sparas vid skapandet, synkroniseras automatiskt och kopieras till urklipp för att användas i andra appar.
1Password kan till och med lägga in dina lösenord på din Apple Watch, om du är Pro-användare, och LastPass har också en Apple Watch-app.
Den plattformsoberoende situationen är mycket värre. Apple gör inte iCloud Keychain tillgängligt utanför sina egna operativsystem. 1Password och LastPass (och andra appar) är tillgängliga på ett stort antal stora plattformar, och de har dessutom webbläsarbaserad åtkomst (som standard med LastPass och som ett abonnemangsalternativ med 1Password).
iCloud Keychain har ingen mekanism för att dela med andra människor – en del av den pågående berättelse som jag har diskuterat i åratal om hur Apple inte utformar sina system från grunden för att erkänna att människor arbetar i grupper och som familjer. (Låt oss inte börja med problemen med Family Sharing.)
De flesta lösenordssystem har någon mekanism för att dela hemligheter med andra som har konton. 1Password möjliggör direkt överföring utan abonnemang eller, på senare tid, selektivt delad åtkomst bland medlemmar i företags- och familjegrupper. LastPass har erbjudit detta i flera år eftersom objekt lagras centralt.
Välja mellan dem
Om du nästan uteslutande använder lösenord endast på webbplatser, endast använder iOS och OS X och inte har något emot att memorera och skriva in de lösenord som Apple kräver för sina tjänster, passar Keychain med iCloud Keychain bra. Om inte alla dessa villkor stämmer överens är ett system för lösenordshantering värt investeringen.
Uppdatering: I en tidigare version av den här artikeln stod det att iOS inte gav tillgång till lagrade lösenord eller ett sätt att skapa nya lösenord. Det gör det; det är bara begravt i Inställningar.