Lösenordshanterare är ett viktigt verktyg i det digitala livet. Utan ett sätt att säkert lagra hundratals unika lösenord för olika tjänster är sannolikheten hög att du återanvänder samma lösenord på flera sajter – ett av de största säkerhetsmisstagen du kan göra och närmast en garanti för att du någon gång kommer drabbas av hackade konton.

Det kryllar av alternativ på marknaden, från enkla inbyggda lösningar i webbläsare som Chrome och Firefox till fullfjädrade program med tillhörande mobilappar och säkerhetsmodeller som företag och myndigheter kan lita på. Vi har flera gånger under åren testat flera av de populäraste lösenordshanterarna, men ett problem är att många av dem idag har övergått till prenumerationer. Dessutom lagrar många sina databaser enbart på egna servrar, vilket en del användare vänder sig mot.

Som tur är finns det fortfarande en del program som både är gratis och låter dig lagra din lösenordsdatabas lokalt eller på en molnlagringstjänst du själv väljer. Främst av dessa är två väldigt olika alternativ: Bitwarden och Keepass.

Läs också: Windows 11 – 11 tips som maxar säkerheten

I den här artikeln går vi igenom båda dessa lösningar, deras för- och nackdelar och varför du bör välja det ena eller andra. Vi ger också en ytlig genomgång av hur du kommer igång med en egen Bitwarden-server för dig själv och hela familjen.


Keepass – för den som mest kör Windows

Om du huvudsakligen använder Windows, men vill komma åt dina lösenord från mobilen också, kan du kika på det gamla beprövade öppna källkodsprogrammet Keepass, eller det modernare Keepassxc som även det är öppen källkod. Båda använder samma databasformat, som även används av en lång rad lösenordshanterare för IOS och Android och diverse andra alternativ på dator.

I jämförelse med nyare alternativ som Lastpass och 1Password är Keepass närmast en relik. Windowsversionen är ett klassiskt program med menyrad, verktygsfält och en väl tilltagen kontextmeny när du högerklickar. Det kommer kännas hemtamt för gamla Windowsrävar som inte gillar utvecklingen mot webbliknande ”appar”.

Keepass

Keepass har inte i sig någon integration med webbläsare (se nedan), och för att spara loginuppgifter eller skapa nya lösenord behöver du öppna programmet. Redan sparade uppgifter kan du däremot fylla i både i webbläsare och andra program med hjälp av funktionen autotype.

Autotype

Vad som gör Keepass unikt är dess modell för att fylla i loginuppgifter på sajter och i andra program: En avancerad form av automatisk inmatning. Aktivera kortkommandot för autotype, som funktionen heter, så skriver programmet in användernamn och lösen för det sparade login som hör till det nuvarande programmet/fönstret/fliken. Du behöver inte klicka någonstans eller välja något från en lista.

För att det ska fungera måste programmet kunna matcha det sparade loginet med det öppna fönstret. Som standard matchar Keepass titeln på det sparade loginet med fönstrets titel. Om du till exempel sparar ett login för IDG Plus med titeln ”IDG” kommer den hitta en träff eftersom loginsidan har titeln ”IDG Medlem”. Titeln på programfönster hittar du i Aktivitetsfältet.

Keepass

När du använder autotype måste du först markera textfältet för användarnamn, annars kommer Keepass antingen fylla i det i fel ruta eller inte alls. Förutom via ett globalt kortkommando kan du markera ett login i Keepass fönster och aktivera ifyllning därifrån – praktiskt om du har flera olika login sparade för samma sida/program.

Autotype är en väldigt kraftfull och flexibel funktion, men kan ta lite tid att vänja sig vid, särskilt om du inte är van vid automatisering och tidigare använt en modernare lösenordshanterare. Varje sparat login har en autotype-sekvens som normalt är ”användarnamn tabb lösenord enter”, men som också kan redigeras för att anpassa det till sajter och program som inte följer den gamla standardmodellen med användernamn och lösenord intill varandra på samma sida.

Läs också: Så här loggar du in på din Asus-router

Vissa sajter visar till exempel först användarnamn, sedan lösenord när du har klickat vidare och till sist totp-kod (om du har aktiverat tvåstegsverifiering, vilket du bör göra). En autotype-sekvens för ett sådant konto kan se ut så här: {USERNAME}{ENTER}{DELAY 800}{PASSWORD}{ENTER}{DELAY 800}{TOTP}{ENTER} (vilket betyder: fyll i användarnamn, tryck enter, vänta 0,8 sekunder, fyll i lösenord, tryck enter, vänta 0,8 sekunder, fyll i nuvarande engångskod, tryck enter).

Totp-koder i Keepass

Det finns ett antal sajter där engångskoder inte ska skrivas in i separata fält utan direkt efter lösenordet i samma fält. Andra lösenordshanterare har ofta problem med dessa, om utvecklaren inte har lagt till en särskild funktion för det. Men med Keepass kan du helt enkelt ändra inmatningssekvensen till {USERNAME}{TAB}{PASSWORD}{TOTP}{ENTER}.

Pluginer och webbläsartillägg

Du kan använda Keepass som det är, men det finns ett stort antal pluginer som kan utöka programmets funktionalitet. Bland de mest praktiska är Keepasshelper, ett webbläsartillägg för Chrome, Firefox, Edge och Opera som kräver att du först installerar pluginen Keepasshttp. När du har installerat och aktiverat tillägget får Keepass en knapp i webbläsarens verktygsfält som du kan klicka på för att se alla sparade login som är associerade med nuvarande öppna sidan. Associationen baseras på url:en du har sparat med loginet – enbart domänen om du vill att det ska gälla alla företagets sajter, till exempel https://google.com.

Keepasshelper

Andra Keepass-klienter som Keepassxc (flera plattformar), Strongbox (Mac och IOS) och Keepassdx (Android) har väldigt annorlunda gränssnitt. Flera av dem har webbläsartillägg, andra använder Android och IOS inbyggda system för autofyll. Vad de har gemensamt är att du kan synka och använda samma databas, så att du aldrig blir inlåst i en viss utvecklares program.


Bitwarden – för den som vill ha modernt men öppet

Om du tycker Keepass känns för gammaldags eller föredrar en lösenordshanterare som finns på många plattformar och har samma enkla gränssnitt överallt kan du istället titta på Bitwarden. Det är också öppen källkod och är det bara du själv som ska använda det – och litar på utvecklarnas moln – kan du komma igång otroligt fort och vi behöver knappast hjälpa till. Det är bara att installera en klient och tuta och köra.

Men den här artikeln är till för de som inte litar på molntjänster. Hör du till dessa blir det tyvärr rejält mycket krångligare, men det kan definitivt vara värt besväret. När du är igång kan du låta andra familjemedlemmar och släktingar använda din Bitwarden-server för att lagra sina egna loginuppgifter och annat säkert (så länge du ser till att ha gedigna backuper). Då kan ni enkelt dela enstaka login och annat med varandra, utan att någon av er behöver betala för en prenumeration. Och ingen av er kan se varandras lagrade uppgifter eftersom huvudlösenord aldrig skickas.

Bitwarden-projektet självt är dåligt lämpat för en liten heminstallation, dels eftersom du fortfarande behöver en prenumeration för att få tillgång till alla funktioner, dels eftersom det är rejält krångligt att komma igång och kräver en kraftfullare server. Det fristående projektet Vaultwarden är ett bättre alternativ för oss, med stöd för nästan allt som finns i den officiella tjänstens premiumversion och det är gratis.

Ett av de enklaste sätten att få igång Vaultwarden-server är med en Raspberry Pi eller annan mikrodator och operativsystemet Dietpi. Det har nämligen ett installationsprogram som kan installera Vaultwarden utan någon konfiguration.

Vad du behöver:

  • Raspberry Pi med strömkabel och ethernetkabel (vi har testat med Raspberry Pi 4 men det bör fungera även på andra modeller)
  • Mikrosd-kort (16 gigabyte räcker gott)
  • Kortläsare till datorn och eventuellt adapter till fullstort sdkort

Installera Dietpi så här:

  1. Ladda ned senaste versionen av Dietpi från projektets webbplats.
  2. Ladda ned och installera Balena Etcher.
  3. Packa upp den hämtade filen.
  4. Öppna Balena Etcher och välj .img-filen i den extraherade mappen som källa.
  5. Välj mikrosd-kortet som mål.
  6. Klicka Flash och godkänn.

När programmet är klart kan du mata ut minneskortet och sätta det i Raspberry Pi. Se till att ethernetkabeln är ansluten till routern eller en switch och anslut/slå på strömmen.

Det enklaste sättet att styra Dietpi är via ssh. Öppna Powershell eller den nya Windows-terminalen och skriv in:

ssh root@dietpi

Dietpi via ssh

Du kommer att få en fråga om du vill lita på serverns ecdsa-fingeravtryck. Skriv in yes och tryck retur. Därefter måste du fylla i lösenordet, vilket för en ny installation är ”dietpi”. Systemet kommer nu automatiskt att hämta och installera de senaste uppdateringarna och starta om. Anslut igen så kommer du till en guide för nya installationer, där du bland annat får ändra två lösenord: Ett standardlösenord för installerade program och root-lösenordet. De bör inte vara samma, och root-lösenordet använder du bara för att administrera Dietpi.

Dietpi installera programvara

Efter kom igång-guiden når du programinstallationsverktyget. Här kan du välja Search Software och söka efter vaultwarden. Tryck mellanslag för att markera det för installation, följt av retur för att återgå till huvudmenyn. Välj Install längst ner och godkänn sedan installationen.

Vaultwarden

När det är klart kan du testa att Vaultwarden är installerat och igång genom att gå till https://dietpi:8001 i din vanliga webbläsare. Om allt har fungerat kommer du få en varning om att sidan är osäker och att du inte bör besöka den. Det beror på att Dietpi inte har något officiellt tls-certifikat utan ett självsignerat, vilket webbläsaren gör helt rätt i att inte lita på.

Om du väljer att ändå gå vidare till sidan kommer du till Bitwardens loginsida, där du även kan skapa ett nytt konto. Det här fungerar likadant som med den officiella Bitwarden-tjänsten. Du kan även ansluta från Bitwarden-appen för Android och IOS. Tänk på att du måste fylla i adressen under Server URL.

Vaultwarden

Så här långt kommer din Vaultwarden-server fungera för att skapa konton och lagra olika användares krypterade lösenordsvalv, men du kommer enbart åt det via det lokala nätverket. Det innebär att du inte kan logga in när du är utanför hemmet, och att andra släktingar inte heller kan ansluta och skapa sina konton.

För att lösa det behöver du göra följande: Skaffa en egen domän, peka domänen på din (förmodligen varierande) yttre ip-adress, skapa ett certifikat för domänen, ställa in Vaultwarden/Dietpi att använda certifikatet samt aktivera port forwarding för att skicka trafik till port 8001 från routern till din Dietpi och ge Dietpi en statisk ip-adress.

Vi har inte plats att gå igenom i detalj hur du gör allt detta, men i enkla drag kan det se ut såhär:

  1. Installera Certbot med dietpi-software.
  2. Använd en dynamisk dns-tjänst som Duckdns för att skapa ett gratis domännamn för din server med stöd för dynamisk dns och Certbot.
  3. Ställ in din router att uppdatera ip-adressen som hör till domänen du nyss skapade via dyndns. Enklare routrar saknar ofta stöd för dyndns. Hör din dit kan du fundera på att skaffa en ny router, installera alternativ mjukvara på din nuvarande router, eller installera programmet ddclient på Dietpi och låta servern uppdatera ip-adressen istället.
  4. Ställ in routern att skicka vidare inkommande https-trafik på port 8001 till Dietpi. Hur du gör det varierar beroende på tillverkare.
  5. Generera ett certifikat med certbot. För att slippa öppna fler portar i routern använde vi dns-01-funktionen, vilket kräver att du installerar en Certbot-plugin för den dyndns-tjänst du har valt. För Duckdns gör vi det genom att installera pip via dietpi-software och sedan:

pip install certbot_dns_duckdns

Vårt kommando för att skapa ett certifikat ser ut så här (token-koden är så klart inte vår riktiga):

/usr/local/bin/certbot certonly --dns-duckdns-token 291b76f0-886f-4a72-88f7-7055eece8194 -d exempel.duckdns.org

Sista steget är att byta ut Vaultwardens självsignerade certifikat mot det nya du har genererat. Det är filerna cert.pem och privkey.pem från mappen för din domän i /etc/letsencrypt/live/ (till exempel /etc/letsencrypt/live/exempel.duckdns.org/) som ska flyttas till /mnt/dietpi_userdata/vaultwarden/. Du måste även byta ägare och grupp till vaultwarden istället för root och starta om Dietpi.

Om allt har gått bra kommer du att nå Vaultwarden-server utifrån på https://exempel.duckdns.org:8001. Du kan också lägga till domänen i din dators host-fil eller i routerns lokala dns-tabell så att dina enheter i hemmet hittar servern på den adressen.