LastPass, hur loggar ni in säkert?

Jag har sedan ett par månader använt LastPass och är väldigt nöjd med det till datorn, men på Android är jag inte riktigt lika nöjd. På datorn fylls inloggningarna automatiskt i om jag trycker på en knapp. På Android finns inte den här möjligheten, men man kan välja att kopiera sitt användarnamn och lösenord till Androids clipboard för att helt enkelt klista in uppgifterna i rätt fält när man loggar in någonstans. Det här vore en acceptabel lösning, men problemet är att alla appar i Android kan läsa innehållet i clipboard, oavsett vilka permissions de har. Detta innebär alltså att alla appar skulle kunna läsa mina lösenord i klartext, vilket tar bort säkerhetstanken med password managers.

Så hur gör ni när ni använder LastPass till Android? I Firefox på Android finns ett LastPass-plugin som automatiskt fyller i fält, men hur gör ni för att logga in i appar?

 

Lastpass till Android stödjer ju autofyll i appar?

 

Via deras egna tangentbord som är inbyggt i appen menar du? Vad jag har förstått funkar det inte om man promptar efter master password eller PIN för att komma åt lösenorden från LastPass.

 

Nej, autofyll funkar i appar oavsett, kolla i inställningarna för lastpass. Det är en sak jag saknar från android nu när jag har iPhone.

Jag promptade alltid efter PIN (eller fingeravtryck om möjligt).

 

Tack! Fattar inte hur jag har missat det!

Följdfråga: vad har du för URL på dina "sites" som egentligen bara är appar i LastPass? T.ex. Snapchat. Den har ju ingen URL eftersom den inte har någon webbinloggning. Just nu är min URL för Snapchat "https://" men det vore ju smidigt om man kunde koppla dem till rätt app direkt via en vault på något sätt

 

Enklast så sätter du ex. https://www.snapchat.com/
Sen gör du URL-kopplingen under Settings->App fill->Edit app fill settings

 

Jag brukar bara koppla inloggningen till en viss app. Jag minns dock inte på rak arm exakt hur man gör det.

 

Har för mig att Lastpass brukar fråga.

 

Jag har ett svagt minne av det med.

 

Japp, Lastpass frågar. Om man har satt en URL så fixar Lastpass ofta kopplingen automatiskt.

 

Men jag har ingen URL för tex Snapchat eftersom den inte har någon webinloggning. När jag ska logga in i Snapchat måste jag scrolla igenom listan med alla sites i mitt vault för att hitta rätt. Inte så jobbigt kanske, men det vore skönt att hitta rätt direkt ändå.

 

Det är just därför du sätter https://www.snapchat.com/
Sen om det behövs så gör du URL-kopplingen under Settings->App fill->Edit app fill settings

 

För säkerhetens skull skulle jag definitivt rekommendera att stänga av autofill i lastpass.

 

Varför?

 

Det finns vissa säkerhetsproblem angående iframes/script och deras autofill-funktion. Är väl en TL;DR. Verkar inte finnas någon post på nätet kring det, men det finns sätt att stjäla lösenord med frames/iframes och lastpass autofill. Det läste jag på "lite andra sidor" och då stängde jag av det direkt.

 

Har lite dålig koll på det, men jag misstänker att det innebär att en app ritar ett fält över en annan apps fält så man skriver in lösenordet i fel app?

 

Ja, en hemsida som utger sig att vara den riktiga hemsidan (såsom phishing) kan få ut uppgifterna då LastPass autofill inte är så smart. Det är väl en enkel TL;DR på det. Är väl lite väl trött (personligen) ikväll för att förklara det mer också .

 

Du får gärna förklara när du orkar! Men om det bara är så att malwaren ritar över den riktiga appen borde det väl vara lika osäkert att skriva in lösenordet manuellt? Alltså om malwaren ritar ett textfält över appens egentliga textfält.

Eller tänker du att malwaren skapar osynliga fält med namn som lockar LastPass att fylla i dem?

 

Det handlar väl inte om malware utan om förfalskade websidor? D.v.s. nån kan sätta upp en sida som för Lastpass "ser ut" som den riktiga sidan och då fyller LastPass i grejerna automatiskt (och sen kan sidan ha javascript som automatiskt skickar det som skrivs i fälten även om du inte klickar på Logga in-knappen).

 

Ja, att malware (mer phishing sidor) som lockar med fält som LastPass fyller i. Men visst, om du vet att du har en säker router och en dator med säker DNS (och host-fil så saker inte blir felaktigt pekade) så är det inga problem att köra med autofill. Kan dock kolla upp det lite mer tekniska och en mer utförlig beskrivning inom en snar framtid.

Är din dator och därmed host-fil felaktig har du ju dock större problem att bara host-filen skulle vara fel. Men det är ganska lätt att hacka routrar nuförtiden och ändra dns-servern denne ger.