Din password manager kan lukkes fra Washington
Din password manager kan måske lukkes fra Washington. Eller værre: den kan allerede være kompromitteret.
Hvis du bruger en af de amerikanske løsninger, bør du handle. Nu.
LastPass: Tre år efter hacket knækkes vaults stadig
I 2022 blev LastPass hacket. Krypterede password-vaults blev stjålet.
“Ingen fare,” sagde LastPass. “De er krypterede.”
I december 2025, tre år senere, rapporterer blockchain-firmaet TRM Labs, at kriminelle stadig knækker disse vaults. Over 35 millioner dollars i kryptovaluta er stjålet fra ofre, hvis passwords lå i de stjålne vaults.
FBI og Secret Service har bekræftet sammenhængen. UK’s datatilsyn har netop givet LastPass en bøde på over 10 millioner kroner.
Kryptering er kun så stærk som det password, der beskytter den. Og mange brugere havde svage master passwords. Tre år senere betaler de stadig prisen.
Cloud Act: Det strukturelle problem
Men selv uden hackerangreb har amerikanske password managers et strukturelt problem.
US Cloud Act giver amerikanske myndigheder ret til at kræve adgang til data hos amerikanske selskaber, uanset hvor i verden data er lagret.
Dit “europæiske datacenter” betyder intet, hvis selskabet er amerikansk. Eller hvis din udbyder benytter amerikansk infrastruktur som backend.
Det gælder ikke kun i teorien. Vi har set det i praksis med ICC-anklagerens Microsoft-konto, der blev deaktiveret på ordre fra Trump-administrationen. Den samme mekanisme kan ramme enhver amerikansk tjeneste.
Amerikanske og US-afhængige løsninger
LastPass er amerikansk. Hacket i 2022, og vaults er stadig under angreb tre år senere.
1Password er canadisk, men hostet i USA og dermed underlagt Cloud Act.
Dashlane er amerikansk med data på AWS.
Keeper er amerikansk og cloud-baseret i USA.
NordPass er fra Litauen, men hostet på AWS, hvilket betyder US-infrastruktur.
Google Password Manager er amerikansk og integreret i Chrome.
Apple Keychain er amerikansk og bundet til iCloud. Cloud Act gælder.
Norton er ejet af Gen Digital, et amerikansk selskab.
McAfee True Key er Intel-udsprunget og amerikansk.
RoboForm er fra Siber Systems i Virginia med data i USA.
Enpass blev inkorporeret i Delaware i 2019, hvilket gør dem amerikanske juridisk set.
Bitwarden er amerikansk, men open source og tilbyder en self-hosted version, hvor du selv kontrollerer data. Det gør dem til en mellemløsning, hvis du er villig til at hoste selv.
Alternativer med europæisk eller lokal kontrol
Uniqkey A/S er dansk med danske datacentre. De er ISO 27001-certificerede og NIS2-compliant. En solid løsning for danske virksomheder, der vil have data i Danmark under dansk lovgivning.
Proton Pass er schweizisk med gratis version og open source-kode. De bruger egen infrastruktur, ikke AWS eller Azure. Schweizisk jurisdiktion giver stærk databeskyttelse.
Sticky Password er tjekkisk fra Lamantine Software i Brno. EU-baseret med valgfri lokal eller cloud-sync. Du kan vælge at holde data helt lokalt.
Zoho Vault er indisk med egne datacentre globalt, inklusiv EU-datacenter. Ikke underlagt Cloud Act.
KeePass er open source med 100% lokal lagring. Ingen cloud, gratis, fuld kontrol. Kræver lidt mere teknisk setup, men giver til gengæld ingen afhængighed af eksterne parter.
Hvorfor overveje et skifte?
Ingen Cloud Act eller præsidentielle dekreter. Dine data er ikke tilgængelige for amerikanske myndigheder via juridisk pres på leverandøren.
GDPR-compliance. Data forbliver i EU eller Schweiz under lovgivning, der prioriterer databeskyttelse.
Dokumenteret sikkerhed. Flere af alternativerne er open source og uafhængigt auditeret. Du behøver ikke stole blindt på leverandørens løfter.
Kontrol. Du bestemmer, hvor dine data ligger. Med løsninger som KeePass eller Bitwardens self-hosted version har du fuld kontrol.
Passwords er nøglerne til alt
En password manager indeholder nøglerne til hele din digitale tilstedeværelse. Bankkonti. Email. Kundesystemer. Forretningskritiske platforme.
Hvis den bliver kompromitteret, som LastPass blev, er alt eksponeret.
Hvis den bliver lukket, fordi din leverandør er underlagt et præsidentielt dekret, mister du adgang til alt.
Det er ikke paranoia. Det er risikostyring.
Hvad er jeres plan B?
Mange virksomheder har aldrig overvejet, hvad der sker, hvis deres password manager bliver utilgængelig. Eller kompromitteret. Eller lukket.
Har I backup af jeres passwords uden for leverandørens platform? Ved I, hvordan I migrerer til en anden løsning? Har I dokumenteret, hvilke kritiske systemer der afhænger af passwords i manageren?
En leverandøraudit kan hjælpe jer med at kortlægge disse afhængigheder. Ikke kun for password managers, men for alle de kritiske systemer, I stoler på.
En cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsniveau og de risici, I måske ikke har overvejet.
Hvad er din virksomheds plan B for passwords?
Har du brug for at få overblik over jeres kritiske leverandørafhængigheder? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
