Vaihdoin LastPassista 1Passwordiin (ja sinun pitäisi myös)
Appelsiinit
Olen käyttänyt LastPassia ensisijaisena salasanojen hallintaani useiden vuosien ajan – jos minun pitäisi arvata, sanoisin, että sen on oltava nyt lähes 10 vuotta. Ja näiden vuosien aikana se on pettänyt minut, pettynyt ja turhauttanut minua useaan otteeseen. Muutama viikko sitten vihdoin vaihdoin 1Passwordiin. Minun olisi pitänyt tehdä se jo aikoja sitten.
Selvyyden vuoksi LastPassissa ei ole mitään räikeästi vikaa – tai ainakin olen sanonut niin itselleni useiden vuosien ajan. Toki Android-sovellus ei aina täytä vaihtoehtoja automaattisesti, ja Chrome-laajennus pysyy kirjautuneena sisään kirjaimellisesti koko ajan. Sovellus on myös kärsinyt useista tietomurroista vuosien varrella. Mutta se on kaikki kurssin arvo, eikö?
Ei edes lähelle.
En rehellisesti sanottuna tajunnut, kuinka huono salasananhallinta LastPass on, ennen kuin käytin 1Passwordia. Androidin automaattisen täytön ongelmat ovat yksi asia – parhaimmillaan pieni harmi – mutta huono tietoturvatoteutus sovellukselle, jonka on tarkoitus tallentaa joitain yksityisimpiä tietojasi, on suorastaan anteeksiantamaton.
LastPassin suojausprotokollat ovat säälillisiä
Jos sinulla on LastPass-tili, tiedät jo kuinka tämä toimii: asennat sovelluksen tai siirryt verkkosivustolle ja kirjaudut sisään. Ehkä tililläsi on myös kaksivaiheinen todennus käytössä – hyvä sinulle. Mutta se on valinnaista, ja jos et jo tiedä, että LastPass tarjoaa 2FA:ta, on melko varmaa, että sinulla ei ole sitä käytössä. (Kuinka voit ottaa käyttöön jotain, josta et ollut tietoinen?)
Ja jos asennat Chrome-laajennuksen, sinun tarvitsee vain kirjautua sisään kerran. Sen jälkeen niin kauan kuin tietokone pysyy online-tilassa, sinua ei enää koskaan pyydetä kirjautumaan sisään. Tässä vaiheessa kuka tahansa, jolla on pääsy tietokoneeseesi, pääsee käsiksi myös salasanoihisi. Se on katastrofi, joka vain odottaa tapahtuvansa. Voit muuttaa tätä toimintaa LastPassin laajennusasetuksissa, mutta on vain hämmentävää, että automaattinen lukitus ei ole oletusarvoisesti käytössä. Sinun ei pitäisi joutua käyttämään parempaa turvallisuutta, etenkään salasananhallinnassa.
Mutta 1Password tekee asiat eri tavalla. Ensinnäkin se ei vain pakota 2FA:ta ulos laatikosta, vaan se asettaa "salaisen avaimen" tilin luomisen yhteydessä. Tämä on erittäin monimutkainen avain, jota tarvitaan aina, kun kirjaudut sisään uudelle laitteelle (huom.: vain ensimmäisellä kirjautumiskerralla—kun laite on vahvistettu, voit kirjautua sisään pelkällä käyttäjätunnuksellasi ja salasanallasi). Avain luodaan automaattisesti ja jaetaan kanssasi asiakirjassa, kun rekisteröidyt 1Passwordiin. Tämä avain myös tallennetaan luotetuilla laitteillasi, joten se on helppo pitää turvassa, mutta vaikea menettää.
Se on iso taso kaikkien salasanojesi suojauksessa. Tiedätkö mitä muuta 1Password tekee, jota LastPass ei tee? Lukitse Chrome-laajennuksen holvi automaattisesti oletuksena. Sekä 1Password että LastPass lukitsevat holvin matkapuhelimen käyttämättömyyden jälkeen, mutta sama ei päde selainlaajennuksiin. Se on hämmentävää. (Jos käytät LastPassia etkä halua vaihtaa, ota tämä ominaisuus käyttöön Tiliasetukset > Laajennusten asetukset > Kirjaudu ulos tämän monen minuutin käyttämättömyyden jälkeen.)
Miksi tämä ei ole oletuksena käytössä?
Nyt LastPass voisi korjata molemmat ongelmat melko helposti pakottamalla 2FA:n ja lukitsemalla holvin automaattisesti oletuksena. Mutta siitä on nyt vuosia, eikä kumpaakaan ole tehty. Vaikea sanoa, tulevatko he koskaan tai milloin. Joten on aika vaihtaa.
1Salasana ei ole koskaan nähnyt tietomurtoa
Vuodesta 2011 lähtien LastPass on ollut mukana viidessä tietoturvaloukkauksessa tai muussa tietoturvaloukkauksessa – 2011, 2015, 2016, 2017 ja 2019. Ollakseni rehellinen, jotkin niistä eivät olleet suuria; vain hyväksikäyttöjä, jotka löydettiin. Ja kaikissa näissä tapauksissa LastPass teki huomattavaa työtä näiden haavoittuvuuksien poistamisessa tai korjaamisessa. On reilua antaa tunnustusta siellä, missä se kuuluu.
Mutta jos googletat " 1password data breach ", ensimmäinen vaihtoehto ei ole korkean profiilin vuoto, johon 1Password oli osa. Se on linkki 1Password-blogiin, jossa kerrotaan, mitä tapahtuisi, jos yritys joutuisi joskus tietoturvaloukkaukseen, joka alkaa sanoilla "1Passwordia ei ole koskaan hakkeroitu". Jos harkitset vaihtoa, tämä kannattaa lukea. Vaikka et harkitse vaihtamista juuri nyt, se kannattaa lukea. Se saattaa muuttaa mielesi.
Android-sovellus on paljon luotettavampi
Voit etsiä 1Password-varastosta suoraan automaattisen täytön valintaikkunasta Cam
Yksi suurimmista ikävistäni LastPassin kanssa on se, kuinka epäluotettava Android-sovelluksen automaattinen täyttövaihtoehto on ollut – jopa sen jälkeen, kun Google otti käyttöön automaattisen täytön API:n, jonka toivoin ratkaisevan nämä ongelmat. Mutta ei.
En ole varma, mikä tässä on ratkaiseva tekijä, mutta joskus automaattinen täyttöominaisuus toimii hyvin LastPassissa. Toisinaan se ei kehota ollenkaan. Ja muut, se pyytää, mutta sanoo, että kyseiselle sovellukselle/sivustolle ei ole tallennettu salasanoja. Eikä ole tapaa etsiä suoraan automaattisen täytön kehotteesta.
Jälleen 1Password korjaa kaikki nämä ongelmat. Ensinnäkin, ei ole ollut kertaakaan, että se ei olisi tarjonnut kehotetta salasanalaatikkoon. Ja jos se ei yhdistä sivuston salasanaa sitä vastaavaan sovellukseen, voit etsiä suoraan kehotteesta ja määrittää salasanan sivustolle siellä – se kestää vain muutaman napautuksen. Sen jälkeen yhdistys tallennetaan, joten seuraavan kerran kirjautuminen on entistä helpompaa. LastPassissa ei ole mitään sellaista.
Ollakseni rehellinen, jos olet iOS-käyttäjä, et todennäköisesti ole kokenut mitään näistä ongelmista. iOS-salasanojen automaattisen täytön vaihtoehdot näyttävät toimivan paljon luotettavammin kuin Androidin, koska minulla ei ole ollut ongelmia iOS:n LastPassin kanssa. 1Password toimii kuitenkin yhtä hyvin, joten et menetä mitään, jos teet harppauksen.
Vaihtaminen oli kivuttomampaa kuin koskaan odotin
Minulla on kiusallinen tunnustus: suurin syy siihen, miksi en vaihtanut aikaisemmin, on se, etten halunnut käyttää aikaa sen tekemiseen. Päässäni tämä kestäisi tunteja. Se on itse asiassa niin väärin, että tunnen itseni tyhmäksi sanoessani sen. Vaihto kesti kirjaimellisesti viisi minuuttia. Ei vitsi – viisi.
Itse asiassa 1Passwordilla on tukisivustollaan erinomainen opas juuri sen tekemiseen. Viime kädessä se tiivistyy kahteen vaiheeseen: vie LastPass-holvisi ja tuo se sitten 1Passwordiin. Kokemukseni mukaan kaikki synkronoitui kauniisti.
Kaiken kaikkiaan minulla oli 1Password käytössä kolmessa puhelimessa ja neljässä tietokoneessa noin 20 minuutissa, mikä sisältää LastPassin poistamisen kyseisistä laitteista. Minusta tuntuu naurettavalta odottaa niin kauan.
Yksi pieni saalis kuitenkin on. Jostain syystä 1Password-selainlaajennuksesta on kaksi versiota – yksi vaatii työpöytäsovelluksen asentamisen ja toinen ei. Suosittelen käyttämään 1PasswordX – laajennusta, joka toimii yksinään. Muussa tapauksessa sinun on asennettava myös työpöytäsovellus, joka on rehellisesti sanottuna vain tarpeeton. Lisäbonuksena 1Password-laajennuksella on paljon pienempi vaikutus järjestelmäresursseihin kuin LastPass-laajennuksella (ainakin Chromessa).
Mutta on myös hinnoittelukysymys. Useimmille ihmisille LastPass on ilmainen – voit käyttää sitä useilla laitteilla maksamatta senttiäkään. Jos haluat lisätä salattujen tiedostojen tallennustilaa sekoitukseen, voit tehdä sen 3 dollarilla kuukaudessa.
1Salasanan suunnitelmat.
Mutta 1Password on 3 dollaria kuukaudessa portilta tai 5 dollaria kuukaudessa koko perheellesi. Tiedätkö sanonnan "saat mitä maksat?" No, en usko, että se on enemmän totta kuin se on täällä – 1Password on turvallisempi ja kätevämpi kuin LastPass, mikä tekee siitä enemmän kuin 3 dollarin arvoisen kuukaudessa.
Jos olet harkinnut vaihtamista LastPassista 1Passwordiin, suosittelen sitä. Toivon, että olisin tehnyt sen vuosia sitten.
Paljastus: 1Password tarjoaa toimittajille ilmaisia tilejä, joihin vaihdoin ennen kirjoittamista. Tämä ei millään tavalla muuttanut artikkelin tuloksia tai tuloksia.