Først - masterpassord
Felles for alle er at de skal sikres med et passord/passordfrase som er minst like sikker som det mest sensitive passordet som oppbevares, samt at masterpassordet kun skal benyttes til dette formålet.
Ta kontakt med IT-sikkerhetssjef hvis nye programmer ønskes vurdert.
Multiplattform
Enpass
Moderne gui-verktøy for å holde rede på passord og andre hemmeligheter. Tilgjengelig på windows, mac, linux og mobil. Mobilutgaven er gratis for opp til 20 passord. Desktop-versjonen holder rede på ubegrenset antall passord.
Hemmelighetene kan lagres hvor du vil, og krypteres med et masterpassord. Vi anbefaler at fila med hemmeligheter lagres i UiO sin OneDrive-løsning. Hvis denne fila lagres i en skytjeneste, kan de samme hemmelighetene brukes både fra mobiltelefonen og din datamaskin.
GnuPG
Denne finnes i de fleste linux-distroer, samt for windows og mac. Den kan benyttes for å kryptere filer, og passordbeskytte dem.
OpenSSL
Se notater om GnuPG
KeePass / KeePassXC
Anerkjent opensource passordmanager. Denne anbefales.
(merk KeePassX utvikles ikke lenger, bytt til KeePassXC eller noe annet)
ssh-keygen / ssh-agent
SSH-keygen og SSH-agent er godkjent i form av at de lagrer og håndterer nøkler ved bruk av ssh.
Linux
Seahorse (innebygd i noen distribusjoner)
Skal denne benyttes så skal det lages en separat nøkkelring for priviligerte passord, slik at disse ikke låses opp med ditt vanlige passord.
Mac OS X
Keychain Access (innebygd i operativsystemet)
Skal denne benyttes så skal det lages en separat nøkkelring for priviligerte passord, slik at disse ikke låses opp med ditt vanlige passord.
Hva med andre tjenester?
Vi får ofte spørsmål om hvorfor andre enkelttjenester ikke er godkjent for UiO-bruk. Det er tre hovedårsaker til dette.
For det første er det flere tilbydere som ikke har oppgitt nok informasjon til at vi tilstrekkelig kan vurdere sikkerheten i tjenesten. Disse kan også ha en historikk med datalekkasjer som gjør det risikabelt å ta dem i bruk ved UiO.
For det andre er det en fordel at brukere ved UiO bruker så få forskjellige tjenester som mulig. Det oppdages med jevne mellomrom sårbarheter i tjenestene. Jo flere tjenester som er i bruk, jo mer arbeid vil gå med til å overvåkning, kommunikasjon og opprydning.
Til slutt kan det være lisens- eller avtalemessige årsaker til at en tjeneste ikke er godkjent for bruk ved UiO.
IT-sikkerhet vurderer årlig om listen over godkjente tjenester skal oppdateres.