I måndags fick jag ett mejl från Spotify om att någon i Brasilien hade loggat in på mitt konto.

Jag kollade. Visst nog:En främling använde min Spotify för att lyssna på Michael Jackson. Jag sa till Spotify att "logga ut mig överallt" - men jag ändrade inte mitt lösenord.

I onsdags hände det igen. Klockan 02.00 fick jag ett nytt mejl från Spotify. Den här gången lyssnade min lömska brasilianska vän på Prince. Och de gillade tydligen utseendet på en av mina spellistor ("Funk Is Its Own Reward"), eftersom de också hade lyssnat på det.

Jag loggade ut överallt igen, och detta gång jag ändrade mitt lösenord. Och jag gjorde en resolution.

Du förstår, jag har gjort ett dåligt jobb med att implementera moderna säkerhetsåtgärder online. Ja, jag har mina kritiska finansiella konton låsta med tvåfaktorsautentisering, etc., men mest är jag slarvig när det kommer till cybersäkerhet.

Till exempel återanvänder jag lösenord. Jag använder fortfarande lösenord från trettio år sedan för situationer med låg säkerhet (som att registrera dig för en vinklubb eller ett lojalitetsprogram för företag). Och medan jag har börjat skapa starka (men lätta att komma ihåg) lösenord för viktigare konton, följer alla dessa lösenord ett mönster och de är inte slumpmässiga. Det värsta av allt är att jag har ett 20 år gammalt dokument i vanlig text där jag lagrar alla av min känsliga personliga information.

Det här är dumt. Dum dum dum dum dum.

Jag vet att det är dumt, men jag har aldrig brytt mig om att göra ändringar - förrän nu. Nu, av olika anledningar, känner jag att det är dags för mig att göra mitt digitala liv lite säkrare. Jag tillbringade flera timmar under helgen med att låsa in saker. Så här gör du.

En kort guide till cybersäkerhet

Samma dag som mitt Spotify-konto användes för att streama Princes största hits i Brasilien, publicerade en Reddit-användare vid namn /u/ACheetoBandito en guide till cybersäkerhet i /r/fatFIRE. Vad bekvämt!

"Cybersäkerhet är en kritisk komponent i ekonomisk säkerhet, men diskuteras sällan i privatekonomiska kretsar," skrev /u/ACheetoBandito. "Observera att cybersäkerhetsutövare inte är överens om bästa praxis för personlig cybersäkerhet. Det här är min perspektiv, eftersom jag har viss expertis inom området.”

Jag kommer inte att återge hela inlägget här – du borde definitivt gå och läsa det, om det här ämnet är viktigt för dig – men jag kommer lista punktöversikten tillsammans med några av mina egna tankar. Vår orangefingrade vän rekommenderar att alla som är oroade över cybersäkerhet vidtar följande steg:

1. Få minst två hårdvarubaserade säkerhetsnycklar. Min kompis Robert Farrington (från The College Investor) använder YubiKey. Google erbjuder sin Titan-säkerhetsnyckel. (Jag beställde YubiKey 5c nano på grund av dess minimala formfaktor.)
2. Skapa ett hemligt privat e-postkonto. Din privata e-postadress ska inte länkas i någon till din offentliga e-post, och adressen ska inte ges till någon. (Jag har redan många offentliga e-postkonton, men jag hade ingen privat adress. Det har jag nu.)
3. Aktivera Avancerat skydd för både dina offentliga och privata Gmail-konton. Avancerat skydd är ett kostnadsfritt säkerhetstillägg från Google. Länka detta till säkerhetsnycklarna du skaffade i steg ett. (Jag har inte ställt in det här eftersom mina säkerhetsnycklar inte kommer förrän i eftermiddag.)
4. Konfigurera en lösenordshanterare. Vilken lösenordshanterare du väljer är upp till dig. Nyckeln är att välja en som du ska använda . Det är bäst om den här appen stöder dina nya säkerhetsnycklar för autentisering. (Jag kommer att ta upp några alternativ i nästa avsnitt av den här artikeln.)
5. Skapa nya lösenord för alla konton. Skapa minnesvärda lösenord manuellt för dina e-postadresser, dina datorer (och mobila enheter) och för själv lösenordshanteraren. Alla andra lösenord bör vara starka lösenord som genereras slumpmässigt av lösenordshanteraren.
6. Koppla viktiga konton till din nya privata e-postadress. Detta kommer att inkludera finansiella konton, såsom dina banker, mäklarfirmor och kreditkort. Men det kan även innehålla andra konton. (Jag kommer att använda min privata e-postadress för kärntjänster relaterade till den här webbplatsen, till exempel.)
7. Aktivera extra säkerhetsåtgärder för alla konton. Tillgängliga funktioner varierar från leverantör till leverantör, men generellt sett bör du kunna aktivera tvåfaktorsautentisering (med säkerhetsnycklarna, när det är möjligt) och inloggningsvarningar.
8. Aktivera text-/e-postvarningar för finansiella konton. Du kanske också vill aktivera varningar för ändringar av din kreditvärdering och/eller kreditupplysning.
9. Aktivera säkerhetsåtgärder på dina mobila enheter. Din telefon bör vara låst med en stark auktoriseringsåtgärd. Och var och en av dina individuella finansiella appar bör låsas med ett lösenord och andra möjliga säkerhetsåtgärder.

/u/ACheetoBandito rekommenderar några ytterligare, valfria säkerhetsåtgärder. (Och hela diskussionstråden på Reddit är fylld med bra säkerhetstips.)

Du kanske vill frysa din kredit (även om du gör det, kom ihåg att du ibland måste av -frysa din kredit för att göra finansiella transaktioner). Vissa människor kommer att vilja kryptera sina telefoner och hårddiskar. Och om du är mycket oroad över säkerheten, köp en billig Chromebook och använd den som enda enhet på vilken du utför finansiella transaktioner. (Tro det eller ej, jag tar det här sista valfria steget. Det är vettigt för mig – och det kan vara en chans för mig att gå bortom Quicken.)

Utforska de bästa lösenordshanterarna

Okej, bra! Jag har beställt en ny Chromebook för 150 USD och två hårdvarubaserade säkerhetsnycklar. Jag har skapat en helt ny, topphemlig e-postadress som jag kopplar till alla konton som behöver extra säkerhet. Men jag har fortfarande inte tagit itu med den svagaste punkten i processen:mitt textdokument fyllt med lösenord.

En del av problemet är självgodhet. Mitt system är enkelt och jag gillar det. Men en annan del av problemet är analysförlamning. Det finns många av lösenordshanterare där ute, och jag har ingen aning om hur jag ska skilja på dem för att ta reda på vilken som är rätt för mig och mina behov.

För hjälp bad jag mina Facebook-vänner att lista de bästa lösenordshanterarna. Jag laddade ner och installerade vart och ett av deras förslag, sedan skrev jag ner några första intryck.

• LastPass:16 röster (2 från tekniknördar) — LastPass var den överlägset mest populära lösenordshanteraren bland mina Facebook-vänner. Folk älskar det. Jag installerade det och letade runt, och det verkar... okej. Gränssnittet är lite klumpigt och funktionsuppsättningen verkar tillräcklig (men inte robust). Appen använder den lättförståeliga "valv"-metaforen, som jag gillar. LastPass är gratis (med premiumalternativ tillgängliga för extra kostnad).
• 1Lösenord:7 röster (4 från tekniknördar) — Den här appen har liknande funktioner som Bitwarden eller LastPass. Gränssnittet är tillräckligt bra, och det verkar ge säkerhetsvarningar. 1Lösenord kostar 36 USD/år.
• Bitwarden:4 röster (2 från tekniknördar) — Bitwarden har ett enkelt, lättförståeligt gränssnitt. Den använder samma "valv"-metafor som produkter som LastPass och 1Password använder. Det är en stark utmanare att bli det verktyg jag använder. Bitwarden är gratis. För 10 USD per år kan du lägga till premium säkerhetsfunktioner.
• KeePass:2 röster — KeePass är en gratis lösenordshanterare med öppen källkod. Det finns KeePass-installationer tillgängliga för alla större datorer och mobila operativsystem. Om du är en Linux-nöt (eller en förespråkare för öppen källkod) kan detta vara ett bra val. Jag gillar inte dess begränsade funktionalitet och dess fruktansvärda gränssnitt. KeePass är gratis.
• Dashlane:2 röster — Av alla lösenordshanterare jag tittade på har Dashlane det snyggaste gränssnittet och de flesta funktionerna. Liksom många av dessa verktyg använder den metaforen "valv", men den låter dig lagra fler saker i detta valv än vad andra verktyg gör. (Du kan lagra ID-information – körkort, pass – till exempel. Det finns också en plats att lagra kvitton på.) Dashlane har ett gratis grundläggande alternativ men de flesta kommer att vilja ha premiumalternativet $60/år. (Det finns också ett alternativ på 120 USD/år som inkluderar kreditövervakning och ID-stöldförsäkring.)
• Oskärpa:1 röst — Oskärpa är annorlunda än de flesta lösenordshanterare. Den försöker bokstavligen att sudda ut din onlineidentitet. Det förhindrar webbläsare från att spåra dig, maskerar e-postadresser och kreditkort och telefonnummer och (eller naturligtvis) hanterar lösenord. Jag vill ha vissa funktioner som Blur inte har – och jag vill inte ha några av funktionerna som den har har. Oskärpa kostar minst 39 USD/år men det priset kan bli mycket högre.
• Apple Nyckelring:1 röst — Nyckelring har varit Apples inbyggda lösenordshanterare sedan 1999. Som sådan är den fritt tillgänglig på Apple-enheter. De flesta Mac- och iOS-folk använder nyckelring utan att ens inse det. Det är inte riktigt tillräckligt robust för att göra något annat än att lagra lösenord, så jag övervägde det inte seriöst. Nyckelring är gratis och kommer installerad på Apple-produkter.

Låt mig vara tydlig:Jag gjorde bara en översiktlig undersökning av dessa lösenordshanterare. Jag dök inte djupt. Om jag försökte jämföra alla funktioner i varje lösenordshanterare, skulle jag aldrig välja. Jag skulle låsas in i analysförlamning igen. Så jag gav var och en en snabb gång och fattade ett beslut baserat på magkänsla och intuition.

Av dessa verktyg stack två ut:Bitwarden och Dashlane. Båda har snygga gränssnitt och massor av funktioner. Båda verktygen erbjuder gratisversioner, men jag skulle vilja uppgradera till en betald premiumplan för att få tillgång till tvåfaktorsautentisering (med mina nya hårdvarusäkerhetsnycklar) och säkerhetsövervakning. Det är här Bitwarden har en stor fördel. Det är bara $10 per år. För att få samma funktioner kostar Dashlane $60/år.

Men här är grejen.

Jag började faktiskt använda båda dessa verktyg samtidigt, ange lösenorden för min webbplats ett efter ett. Jag slutade efter att ha angett tio platser i varje. Det var tydligt att jag i hög grad föredrog att använda Dashlane framför Bitwarden. Det fungerar bara på ett sätt som är vettigt för mig. (Din upplevelse kan vara annorlunda.) Så, åtminstone ett litet tag, jag kommer att använda Dashlane som min lösenordshanterare.

Problemet med lösenord

Mitt primära motiv för att använda en lösenordshanterare är att få ut min känsliga information från ett vanligt textdokument och till något säkrare. Men jag har ett sekundärt motiv:jag vill förbättra styrkan på mina lösenord.

När jag började använda internet - redan på 1980-talet, innan World Wide Web kom - sparade jag inte en tanke på lösenordsstyrka. Det första lösenordet jag skapade (1989) var helt enkelt namnet på min vän som lät mig använda sin dator för att komma åt de lokala anslagstavlasystemen. Jag använde det lösenordet i år på allt från e-postkonton till banksajter. Jag betraktar det fortfarande som mitt "lågsäkerhets"-lösenord för saker som inte är kritiska.

Jag har kanske åtta eller tio lösenord som det här:korta, enkla lösenord som jag har använt på dussintals platser. Under de senaste fem åren har jag försökt gå över till unika lösenord för varje sida, lösenord som följer ett mönster. Även om dessa är en förbättring, är de fortfarande inte bra. Som jag säger, de följer ett mönster. Och även om de innehåller bokstäver, siffror och symboler, är de alla relativt korta.

Som du kan förvänta dig har mitt slarviga lösenordsprotokoll skapat något av en säkerhetsmardröm. Här är en skärmdump från Google Password Checkup-verktyget för ett av mina konton.

Jag får liknande resultat för alla av mina Google-konton. Hoppsan.

Dessutom finns det problemet med kontodelning.

Kim och jag delar ett Netflix-konto. Och ett Amazon-konto. Och ett Hulu-konto. Och ett iTunes-konto. Faktum är att vi förmodligen delar på tjugo eller trettio konton. Hon och jag använder samma lösenord som är lätt att komma ihåg för alla dessa inloggningar. Även om inget av dessa konton är superkänsligt, är det vi gör fortfarande en dålig idé.

Så jag vill börja gå mot säkrare lösenord – även för de konton jag delar med Kim.

Den goda nyheten är att de flesta lösenordshanterare - inklusive Dashlane - kommer att automatiskt generera slumpmässiga lösenord åt dig. Eller så kan jag prova något liknande idén som föreslås i denna XKCD-serie:

Problemet är förstås att varje plats har olika krav på lösenord. Vissa kräver siffror. Vissa kräver symboler. Vissa säger nej symboler. Och så vidare. Jag känner inte till några webbplatser som låter mig använda fyra slumpmässiga vanliga ord för ett lösenord!

För tillfället kommer jag att ta ett tredelat tillvägagångssätt:

• Jag kommer manuellt att skapa långa (men minnesvärda) lösenord för mina mest kritiska konton. Detta är XKCD-metoden.
• För de konton jag delar med Kim – Netflix, etcetera – skapar jag nya, minnesvärda lösenord som följer ett mönster.
• För allt annat låter jag min lösenordshanterare generera slumpmässiga lösenord.

Detta verkar vara en bra balans mellan användbarhet och säkerhet. Varje lösenord kommer att vara olika. Bara de jag delar med Kim kommer att vara korta; alla andra kommer att vara långa. Och de flesta av mina nya lösenord kommer att vara slumpmässigt trams.

Sluta tankar om cybersäkerhet

I den här korta videon från Tech Insider delar en före detta säkerhetsexpert från National Security Agency sina fem bästa tips för att skydda dig själv online.

Du kommer att notera att dessa liknar Reddit cybersäkerhetsguide som jag publicerade tidigare i den här artikeln. Här är stegen han säger att du ska vidta för att skydda dig själv:

• Aktivera tvåfaktorsautentisering när det är möjligt.
• Använd inte samma lösenord överallt.
• Håll ditt operativsystem (och programvara) uppdaterat.
• Var försiktig med vad du publicerar på sociala medier.
• Gör inte dela personlig information om du inte är säker du har att göra med ett pålitligt företag eller en person.

Jag kommer inte att låtsas att de steg jag tar kommer att skydda mig helt. Men mitt nya system är verkligen en uppgradering från vad jag har gjort under de senaste 20+ åren – vilket var, som jag har nämnt, dumt dumt dumt.

Och jag måste erkänna:jag gillar idén att begränsa mitt ekonomiska liv online till en dator – den nya Chromebook för 150 USD. Jag är inte säker på om detta faktiskt är genomförbart, men jag ska ge det ett försök. Om det här fungerar kan jag se om jag kan hitta ett pengahanteringsverktyg som jag gillar för maskinen. Då kanske jag äntligen kan lämna Quicken 2007 för Mac bakom mig!

Vad har jag missat? Vilka steg har dig för att skydda dina onlinekonton? Vilken tycker du är den bästa lösenordshanteraren? Hur skapar du minnesvärda, säkra lösenord? Hur hanterar du delade konton? Hjälp andra GRS-läsare – och mig! — utveckla bättre onlinesäkerhetsmetoder.