– Om inte lösenordshanteraren är användarvänlig kommer medarbetarna helt enkelt inte att använda den. Och det är stora skillnader mellan de olika leverantörerna av lösenordshanterare för företag, säger Cecilie Wian, UX-expert och en av talarna på spåret Passwordscon på Internetdagarna.

– När jag talade förra året fick jag så många frågor om vilket lösenordshanterare man bör välja, vilken som är bäst för det ena eller andra ändamålet, så jag bestämde mig då att göra en systematisk jämförelse mellan de olika större lösenordshanterarna som finns på marknaden, säger Cecilie Wian.

Hon är utbildad inom psykologi med inriktning på pedagogik, men arbetar till vardags på it-företaget Knowit i Norge. Det gör henne väl lämpad att undersöka användarvänligheten i lösenordshanterare, något hon gjort under det senaste året.

Hur vanligt är det med lösenordshanterare på företag?

– Det är svårt att säga, men de förekommer på it-avdelningen och bland andra delar av personalen där säkerheten anses extra viktig, men det är förmodligen ganska ovanligt att man infört lösenordshanterare brett inom organisationen, säger Cecillie Wian.

– Men ju bättre lösenordshanterarna blir ju mer ökar intresset bland företag och organisationer. På senare tid tycker jag att intresset ökat ganska mycket; det är fler och fler företag som tittar på detta.

Marknaden är relativt omogen

Cecilie Wian tycker att marknaden för lösenordshanterare för företag är relativt omogen. Ingen produkt hon har tittat på är riktigt bra, men det är också stora skillnader mellan olika produkter. Hon anser att många inte håller måttet, men det finns två, tre produkter som fungerar bra för företag. Det finns också lösenordshanterare som är riktigt bra för privatanvändare, men som inte har en vettig produkt för företag.

När Cecilie Wian undersökt marknaden har hon tittat på några punkter som är viktiga för ett företag att ta med i sin analys av vilken lösenordshanterare man ska välja:

  • Fakturering för företag – det är långt ifrån alla lösningar som har en smidig lösning för fakturering.
  • Utrullning. Tillåter produkten att den rullas ut från en central punkt till de klienter som behöver den?
  • Säker delning inom grupper. Många gånger måste grupper dela på konton, hur fungerar det med lösenordshanterare?
  • Separation mellan arbets- och privata lösenordsvalv. Det är bra om användarna kan använda samma lösenordshanterare både på jobbet och hemma, men lösenorden måste hållas isär.
  • Kontroll av kvalitén på lösenorden. Kollar lösenordshanteraren svaga lösenord? Gör den uppslag mot databaser med komprometterade lösenord?
  • Dokumentation och bra material för självhjälp (minskar kraftigt antalet supportärenden).
  • Lokalt språkstöd. It-säkerhets-lingo på engelska funkar kanske inte för alla, och vissa produkter verkar mest riktade mot it-kunniga.
  • Säkerhet. Vilken nivå är ett krav för er? Glöm inte att väga säkerhet mot användbarhet.
  • Lagar och regler – GDPR, revision och granskningar.

Vissa lösenordshanterare är gratis, men de flesta kostar pengar, speciellt för företag, men kostnaden speglar inte nödvändigtvis kvalitén. Keepass till exempel är öppen källkod, och förstås gratis att använda, den är tekniskt sett högst kompetent, men tämligen hopplös att använda för vanliga icke-tekniska användare.

En annan viktig faktor att ta med i beräkningarna är plattformsstödet. De allra flesta går att använda på Windows och många har ett mer eller mindre brett plattformsstöd och stödjer såväl Windows som Mac och Linux och de mobila operativsystemen, men vissa, som Keychain har bara stöd för Mac och Ios.

Får inte orsaka krångel för organisationen

När Cecilie Wian tittat på användarvänligheten har hon listat ett antal kriterier som lösenordshanterare bör stödja. Det är viktigt att slutanvändaren får ett förtroende för produkten, att den är enkelt att använda, och inte orsakar en massa krångel för organisationen.

  • Onboarding. Är det enkelt för användaren att komma igång med sin lösenordshanterare?
  • Offboarding. Om en medarbetare slutar är det bra om hen kan få med sig åtminstone sina privata lösenord. Användaren ska inte behöva börja om från början.
  • Återställning av huvudlösenordet. Detta kommer orsaka mycket huvudbry om det inte fungerar på ett smidigt sätt. Det finns även exempel på att detta inte fungerar alls. Wian visade också skräckexempel från till exempel AxCrypt som erbjuder att försöka knäcka fram ett glömt lösenord, eller från Lastpass som frågade henne vad hon ville att det nya lösenordet skulle vara. I vissa fall överlåter leverantören återställningsproblemet helt åt kunden.
  • Sökning. Går det att söka fram ett lösenord? Smidigt om man har många.
  • Hjälpsamhet på rätt sätt. Bra om produkten föreslår lösenord av rätt kvalitét, dåligt om den använder till exempel autofyll av lösenord.
  • Generering av lösenord. Bekvämt för slutanvändaren att inte behöva tänka ut bra lösenord för varje tjänst.
  • Integration med webbläsare. Cecilie Wian beskriver vissa lösenordshanterares integration med webbläsare som ”messy”. Men detta är ett viktigt område med tanke på den alltmer utbredda användningen av SaaS-tjänster och andra webbtjänster.

Givet dessa kriterier lyfter Cecilie Wian fram några produkter som hon kom fram till är bra: Dashlane, 1Password och Lastpass – men, som sagt, ingen av dem är perfekt, och även dessa tre dras med nackdelar som måste undersökas innan man bestämmer sig.

Två andra lösningar är Keepass och F-Secure Key. Keepass är som sagt tekniskt kompetent, öppen källkod, gratis och finns numer med i EUs buggjägarprogram, och för dem som vill eller behöver utveckla eget kan Keepass fungera som den underliggande motorn på vilket man kan bygga ett grafiskt gränssnitt. Men Keepass i sig har en krävande användarupplevelse. Nackdelen med F-Secure Key är att den bara finns att tillgå som en del av ett större säkerhetspaket, men den är annars populär just för sin användarvänlighet.

Cecilie Wian poängterar att hon inte bedömt säkerheten i dessa produkter, endast hur de upplevs av användarna.

Läs också:
Därför ska du ha en lösenordshanterare – och här är bästa alternativen
Lösenordsexpertens bästa råd: Glöm lösenord du sällan använder