Med anledning av incidenten hos lösenordshanteraren Lastpass har flera läsare frågat ifall tvåfaktorsautentisering stärker krypteringen av lösenordsvalvet. Det korta svaret på frågan är: nej. Här är det viktigt att hålla isär autentisering och kryptering, även om det är lätt att blanda ihop dem eftersom samma huvudlösenord används för både autentisering och kryptering.
Autentisering innebär säkerställandet av att en användare faktiskt är användaren som han eller hon utger sig för att vara. Kryptering innebär omvandlingen av läsbar information (klartext) till oläsbar information (kryptotext) för att förhindra att ingen annan än den som har det rätta lösenordet kan ta del av informationen. Lösenordet behövs för dekrypteringen, det vill säga återställandet av den oläsbara informationen (kryptotexten) till läsbart skick (klartexten).
Lösenordshanterare såsom Lastpass, Bitwarden och 1password krypterar lösenordsvalvet med en nyckel (lång textensträng) som härleds ur huvudlösenordet. Det krypterade lösenordsvalvet synkroniseras mellan användarens alla enheter för att användaren alltid ska ha med sig sina lösenord. Denna synkronisering görs normalt via lösenordshanterarens molntjänst (organisationer kan också synkronisera Bitwardens lösenordvalv via en egen molntjänst).
Molntjänsten i sig skyddar åtkomsten till det krypterade lösenordsvalvet. För att en användare ska få ladda ned sitt krypterade lösenordsvalv måste användaren autentisera sig, vilket användaren också gör med sitt huvudlösenord. Därtill kan användaren konfigurera sitt konto så att det krävs ytterligare faktorer i samband med autentiseringen. Genom att aktivera tvåfaktorsautentisering måste användaren framgent även uppge den rätta engångskoden eller koppla in en säkerhetsnyckel (till exempel en Yubikey) för att autentisera sig. För att lösenordshanterarens molntjänst ska låta användaren ladda ned sitt krypterade lösenordsvalv krävs alltså en autentiseringsfaktor utöver huvudlösenordet.
Tvåfaktorsautentiseringen påverkar dock inte krypteringen av lösenordsvalvet. I fallet med Lastpass lyckades angripare få obehörig åtkomst till användares lösenordsvalv. Angriparna gick alltså förbi autentiseringssteget. Som vi skriver i artikeln ”Lastpass läckte lösenordsvalv” är lyckligtvis ett starkt och unikt huvudlösenord tillräckligt för att skydda innehållet i lösenordsvalvet. Med ett starkt och unikt huvudlösenord är det med dagens datorkraft omöjligt för obehöriga att komma in i lösenordsvalvet.
KeepassXC:s speciallösning
Det finns dock lösenordshanterare som använder säkerhetsnycklar för krypteringen. KeepassXC är ett exempel på en sådan. Med KeepassXC går det att dra nytta av en hemlighet som förvaras inuti en säkerhetsnyckel för att autentisera sig.
KeepassXC:s lösning är inget som vi berör i Bli säker-projektet. Bakgrunden till detta är att lösningen förlitar sig på en föråldrad princip som kräver Yubicos verktyg Yubikey Personalization Tool för att konfigurera. Detta verktyg slutade utvecklas 2016 och fungerar inte med alla moderna Yubikey-modeller (se kompatibilitetslista).
Använd tvåfaktorsautentisering
Även om tvåfaktorsautentisering inte skyddar i samtliga sammanhang är det viktigt att använda tvåfaktorsautentisering. Låt inte denna artikel antyda motsatsen. Aktivera tvåfaktorsautentisering på alla konton där möjligheten erbjuds.
Den enda gången som du inte behöver bry dig om att lägga till fler autentiseringsfaktorer är ifall du loggar in med passkeys. Detta eftersom passkeys är en tvåfaktorsautentiseringsmetod i sig. Lär dig mer om passkeys i avsnitt 172 och avsnitt 173 av Bli säker-podden.
Samma sak gäller för övrigt biometrisk upplåsning. Upplåsning med hjälp av biometriska sensorer, till exempel Touch-ID och Face-ID, stärker inte krypteringen av lösenordsvalvet. Anledningen till att jag rekommenderar användning av biometriska funktioner är att ju mer sällan som du behöver knappa in ditt huvudlösenord, desto villigare blir du att välja ett längre sådant. Och ju längre huvudlösenord du väljer, desto säkrare blir innehållet i ditt lösenordsvalv.