Hej RT, jag undrar om jag inte har nosat upp ett rätt intressant ämne att diskutera kring när jag surfade runt på nätet härom kvällen. I ämnet onlinesäkerhet både för privatperson och företagare och organisationer etc, det verkar ju vara högaktuellt numer pga alla jävla hackers ifrån ni vet var 
Vänligen läs dessa två länkar ifrån FIDO Alliance för vidare diskussion i ämnet onlinesäkerhet
Mvh / Stefan 
Sedan jag hittade mitt “standard lösenord” för lejonparten av mina konton för olika onlinetjänster genom LinkedIn-läckan - någon gång 2018 tror jag - har jag börjat intressera mig för min personliga online säkerhet. Det landade i en bra fristående lösenordshanterare (1password) och Yubi-key nycklar. Det fungerar fantastiskt bra, även med NFC-baserad authenticering via mobiltelefonen. Använder det på samtliga konton där det går: Avanza, Tesla, Google, Microsoft 365 etc etc.
Tänk bara på att skaffa två Yubi-keys. En du använder och har med dig dagligen, och en som backup om något händer med din första nyckel. Försvinner den kan du använda din backup-nyckel och plocka bort den försvunna nyckeln (och framför allt, fortfarande komma in dina tjänster).
Har försökt få familj och vänner att använda samma, men jag tror man måste ha en grundintresse för att orka…
Jag jobbar i IT-säkerhetsbranschen, och jag skulle säga att de flesta vanliga privatpersoner nog inte behöver Yubikeys eller motsvarande. Det bör räcka med en lösenordshanterare och att man slår på tvåfaktorautentisering på sin mail i alla fall (mailen är nyckeln till alla andra konton), men gärna också på konton där ditt kreditkort finns sparat. En app i mobilen som genererar tvåfaktor-koder duger bra till detta (t.ex. Google Authenticator). Hotbilden är inte värre mot privatpersoner än att man borde klara sig så. Yubikeys skyddar mot en del phishing-scenarier som man kan bli lurad av med engångskoder som man knappar in själv, men sådant borde man inte vara så utsatt för som privatperson. Hackarna ger sig främst på organisationer för att få ut lösensummor, det är där pengarna finns och attackerna kan vara rätt sofistikerade.
Sedan rätt nyligen finns också “passkeys”, en slags mjukvaru-Yubikey som har många av fördelarna med en Yubikey, men som dock är bundna till en viss enhet eller t.ex. till ett Microsoft-, Google- eller Applekonto. Det är inte så många sajter som stödjer dessa än, dock.
Därmed inte sagt att Yubikeys är dåliga, de är helt klart den bästa lösningen, men de är rätt dyra och kräver lite av användaren. Företag bör absolut utrusta sina anställda med Yubikeys för att skydda sina IT-system.
För alla gäller dock att lösenordshanterare i princip är ett måste idag. Det börjar bli väldigt svårt att komma ihåg lösenord som är tillräckligt säkra numera, och det är väldigt riskabelt att återanvända lösenord på många ställen. 1password är absolut den smidigaste lösningen jag testat (synkar alla lösenord till alla dina enheter, går att dela lösenord med familjemedlemmar, integrerar med alla webbläsare och appar och grejer) men kostar $3/mån (eller $5/mån för ett familjekonto med upp till 5 användare). För mig är det absolut värt det, men det finns även lite nördigare gratislösningar, t.ex. KeePass. Om man lever helt i Apple-världen tror jag man kan spara lösenord i Keychain och få dem synkade till sina enheter; kanske har Google och Microsoft liknande tjänster.
Du måste inte skaffa 2 nycklar. Det räcker med att du använder återställningsfunktionen för varje tjänst som du bör använda även om du har 2 yubikeys.
Bitwarden är gratis utan att vara nördigare.
Intressant, lösenordshanterare alltså! Tackar så mycket för ditt informativa svar 
Detta ska jag läsa mer om 
Man ska vara medvetet om att med dessa passkeys som de här bolagen erbjuder så synkas inloggningsuppgifterna mellan de enheterna som man är inloggad på. Så gå en sönder så kan man fortfarande använda en annan för inloggning. Detta kan också vara en nackdel då de kan vara andra i familjen som tex använder en gemensam surfplatta och då har tillgång till inloggningsuppgifterna om man inte är noga med att alla har egna konton.
Tänker man jobbrelaterade inloggningar så är jag osäker på om det går att ha olika passkeys i mobilen (om man har den för både privat och jobb). Jobbet kanske inte vill att det ska synkas till den gemensamma platta.
Yubikeys 5-serie stödjer också passkeys, då såklart utan synk, men är ju då hårdvara så i praktiken omöjlig att hacka. Dock behöver man då regga två nycklar ifall en försvinner eller går sönder.
Man bör vara försiktig med återställningsfunktioner då de ofta bara är enfaktorinloggning och kan vara ett svagare sätt logga in. För privata konton rekommenderar jag att man har två yubikeys, särskilt på mail som ofta används i återställningsfunktioner.
Har man ett Google-konto så kan man aktivera advance security, eller vad det heter, och då bara tillåta security keys, så som yubikeys. Krävs minst två.
Just denna funktionen med inloggning kallas ju FIDO2 och det finns andra nycklar som stödjer FIDO2 som inte är lika dyra dock så har yubikeys många fler funktioner. Tex finns “Google authenticator”(6-siffriga ingångslösenord), OTP, stöd för ssh-nycklar, signering och kryptering m.m.
på yubikeys.
Och eftersom det även pratas ekonomi på forumet. Yubico, som gör yubikeys, finns sen i höstas på börsen (kom in via en spac). 
Nej du ska absolut inte ignorera återställningsfunktioner för MFA. Återställningskoder är något som genereras när MFA:n aktiveras. Det är heller inte enfaktor då återställningen är för MFA enheten och du måste fortfarande ha lösenord för att få åtkonst till kontot.
Tänker du på de koderna du tex på ett Google-konto kan generera och som du skriver ut så de inte finns digital och kan bli stulna om man blir hackad? De kan man definitivt använda, men då spara offline.
Även för lösenordshanterare har en sort återställningsnyckel/lösenord som man ska se till att spara offline.
Ja det är koder som genereras när en användare aktiverar MFA tjänsten och används ifall en användare skulle inte har åtkomst till sin MFA-enhet
Då är jag med. Jag uppfattade det som återställning av olika konton där man återställer kontot via ett mail eller kontrollfrågor som “vad hette husdjur när du var liten?”. Det sänker ju säkerheten man får vid MFA.
Problemet är ju vad som händer när alla enheterna går sönder eller inte är tillgängliga.
Jag såg på Yubico’s hemsida att dessa relativt nya nycklar i Yubikey 5 serien finns från ett par hundra kronor & uppåt. Tror jag skaffar mig ett par ändå med tanke på tidernas utveckling
@PRD Vilken Nyckel rekomenderar du till mig som vanlig privatperson tro?
Om förkortningar som t.ex. SSH och PGP inte betyder någonting för dig så är det “Security Key NFC” du vill ha. Men köp gärna två, koppla båda till dina konton och lägg den ena i skrivbordslådan så har du en i reserv om du tappar bort den ena. Mycket mindre risk att bli utelåst då.
Security Key NFC stödjer FIDO och det är i princip bara FIDO man är ute efter som vanlig användare. Den dyrare Yubikey 5 har en massa extrafunktioner som du med allra största sannolikhet inte har någon som helst användning för (alla de olika varianterna har samma funktioner, det är bara anslutningarna som skiljer). Man kan t.ex. ha sina SSH-nycklar på den (via smartcard-stödet i PGP), generera olika typer av engångskoder (bl.a. samma typ som i appen Google Authenticator om du använt den nån gång) och använda den som dörrblipp till smarta lås osv, men allt det här är i princip bara intressant för turbonördar och för IT-avdelningar på företag som kan sitta och konfigurera system för de här lösningarna.
Jag håller med @kblomster . Det enda är om du idag använder en app likt Google authenticator, för man får sexsiffriga kod som används för tvåstegsverifiering. Yubikey har stöd för att ha den generationen i nyckeln och så kommer man år koderna via en app.
Att ha två stycken är att rekommendera ifall man tappar en eller den går sönder, vilket är väldigt ovanligt. Som det är just nu så måste man regga båda på alla kontona där man vill använda dom vinner är lite bökigt då man ska ha den ena i säkert förvar. Yubico har en lösning där det går att koppla ihop två nycklar, men det är inte än med i standarden och därmed inte implementerat på serversidan.
Det är sen kontakten som är att fundera på. Har du möjlighet att i datorn använda usb-c så kör på det. Då det så oxå funkar till mobilen, som komplement till NFC. Annars får du välja usb-a och då kan man använda en adapter för att köra i mobilen, men som sagt, normalt sett kör man NFC med mobilen.
För att undvika vad? Det enda jag som privatperson känner att jag absolut vill undvika är att någon kommer åt mina bankkonton men för att logga in där använder jag bank-id och inget lösenord.
Jag förstår att det finns skäl att använda lösenordshanterare men jag förstår inte varför för de behov jag har.
Har du inget epostkonto? Konton på sociala medier? Molnlagringstjänster typ Google Drive? Office 365? Telefonbackuper typ iCloud?
Epostkonto har jag men jag har inget viktigt där.
Lösenord för att logga in här har jag också men jag kommer ihåg det.