Kaikkihan tietävät mikä salasana on, mutta miten turvallinen salasana? Hirveästi on erilaisia neuvoja: vahva salasana, 16 merkkiä, kirjaimia, numeroita, iso / pieni kirjaimia, erikoismerkkejä jne… Jokaisessa palvelussa tietenkin pitää olla eri salasana, ei kukaan voi muistaa, täysin mahdotonta. Lisäksi nämä salasana ohjeistukset muuttuvat kokoajan. Eihän niissä kukaan pysy perässä!
Tänään Viestintävirasto julkaisi artikkelin, kuinka paljon suomalaisilla on käytössä sama salasanaa useissa verkkopalveluissa. Kun saadaan selville yhdestä palvelusta salasana selville, sen jälkeen sitä voidaan kokeilla muualle. Palveluntarjoajien käyttäjätietokannoista on varastettu aikaisemmilta vuosilta jopa miljardeja salasanoja.
Tunnetuimmat tosiaan ovat Yahoon murto ja Adoben esimerkiksi. Voin henkilökohtaisesti sanoa että minulla salasana varastettiin tosiaan Adoben murrossa mutta onneksi 2FA:n ansioista siitä ei minulle aiheutunut haittaa. Olen jo pitkään ottanut salasanahallintatyökaluja käyttöön ja 2FA ollut iselläni kaikissa palveluissa kun suinkin mahdollista.
Sisällysluettelo
Tarkista onko salasanasi jo varastettu?
haveibeenpwned.com sivustolla voit tarkistaa onko käyttäjätunnuksesi salasana jo varastettu jonkun murron yhteydessä. Tietokannassa ei ole kaikkia tietoja mutta jos sielä jo on, varmista että sinulla on salasana jo vaihdettu kyseiseen palveluun ja tietenkin ettei sitä muualla ole käytössä.
”Notify me” – valikosta voit rekisteröidä sähköpostiosoitteesi niin sinulle ilmoitetaan uusista murroista sähköpostiisi. Tämä on todella suositeltavaa ottaa käyttöön.
Palveluntarjoajat voivat hakea palvelusta tietoa verkkotunnuksensa alla olevien tunnuksien tilanteesta. Näin esimerkiksi yritys voi tarkistaa onko työntekijöidensä tilit mahdollisesti jo vaarantunut ja pyytää heitä vaihtamaan salasanan palveluun.
Turvallinen salasana?
Sanonpa ettei täydellistä turvallisuutta tule koskaan vaikka kuinka yrittäisi. Aina tulee virheitä ja käytänteet vanhenevat mutta itse annan tälläiset vinkit, suosittelen käyttämään kaikkia näitä käytännössä niin suojaat tilisi ja estät identieettisi varastamisen verkossa.
Millainen salasana?
Salasana tai salauslause pitää olla sellainen että sinä muistat, ei yleinen eikä helposti arvattavissa. Tästä kannattaa lähteä ainakin liikkeelle eikä tietenkään kertoa sitä kenelekkään, ei edes vaimolle 🙂
Sitten voidaan miettiä yleisiä neuvoja miten tehdään turvallisia salasanoja…
- Vähintään 16-merkkiä
- Salasana ei ole sana, vaan vaikka lyhenne asiasta tai jotakin mikä ei tarkoita mitään mutta kunhan muistat
- Merkeillä ei väliä, numerot, kirjaimen koot ja erikoismerkit käyttöön
Viestintäviraston sivuilla on ohje turvallisen salasanan luomiseen. Mutta älä tee salasanasta liian vaikeaa muistettavaa sillä unohdat tämän helposti tai sitten kirjoitat paperille. En suosittele kirjoittamaan salasanaa missään tapauksessa paperille vaan käyttämällä salasanan hallintatyökaluja.
Salasanan vaihtaminen säännöllisesti?
Sanon suoraan: Turhaa
Organisaatiot, jotka vaativat salasanan vaihdon joka 30 päivän välein esimerkiksi ei auta muistamaan salasanaa. Syynä se että edes käyttäjä ei vaivaantuisi muistamaan salasanaa tai kirjoittaa sen työpöydälle näytön viereen teipattuun muistilappuun.
Suosittelen mielummin tutustumaan kaksivaiheiseen tunnistautumiseen, jossa käytetään oman salasanan lisäksi toista tapaa varmentaa käyttäjän kirjautuminen.
Kaksivaiheinen tunnistautuminen
Erityisen kätevä estääkseen luvattomat kirjautumiset ovat kaksivaiheinen tunnistautuminen eli 2FA (eng. Two-factor authentication). Kaksivaiheinen tunnistautuminen toimii yksinkertaisesti normaalilla salasanalla minkä itse määrittänyt ja kertakäyttökoodilla. Kertakäyttökoodi voidaan toimittaa eri tavoin, esimerkiksi:
- Verkkopankin kirjautumisessa tunnuslukukortti, verkkopankissa käytettävä tai laite
- Pankkikortti + tunnusluku automaatissa
- Mobiilivarmenteessa puhelin (puhelinnumero) + tunnusluku
- Verkkosivulle kirjautuessa käyttäjätunnus (julkinen yleensä) + salasana + tekstiviestillä kertakäyttökoodi / sovelluksen (Google Authenticator, Microsoft Authenticator ja Authy) generoima koodi
- Puhelimella sovelluksen ilmoittama varmennus
- Fyysinen laite (Yubikey)
Tekstiviestillä toimivaa en enään suosittele paljonkaan, sillä tekstiviestejä voidaan kaapata. Suomessa olet tietenkin turvassa mutta ulkomailla voi olla epärehellisiä operaattoreita. Sovelluksen generoima koodi on todella toimiva ratkaisu ja sitten sovelluksen ilmoitus jolla voi vahvistaa kirjautumisen.
Tarkista täältä 2FA:ta tukevat palvelut.
Suosittelen nyt ottamaan 2FA käyttöön heti Google-tilissä ja Microsoft-tilissä. Kun otat 2FA:n käyttöön, muista varmistaa että pystyt kirjautumaan vaikka ensimmäinen tunnistustapa ei olisi käytettävissä. Palvelut tarjoavat esimerkiksi varmuuden vuoksi tulostettavan salasanalistan varalle.
Miksi kaksivaiheinen tunnistautuminen?
Suurinosa ihmisistä miettivät nyt että turvallinen salasana pitää olla. Orgnanisaatioissa käytetään sähköpostia ja VPN:ää suoraan internetistä. Tässä tulee ongelmana että kun salasana kaapataan organisaatiossa voi koko organisaation palvelut aukea yhdellä kertaa. Vahva salasana on heikko kun se vuotaa esimerkiksi huolimattomuuden vuoksi tai tietojekalastelun seurauksena.
Salasanaholvi
Salasanaholvi tai salasanan hallintaohjelma ovat todellakin käteviä nykyäaikana mutta myös haavoittuvainen. Suomessa tätä ei kovinkaan yleisesti käytetä mutta henkilökohtaisesti suosittelen tätä vaihtoehtoa. Palveluntarjoajaan ja sovellukseen kannattaa erityisesti panostaa sillä tämä ei saa joutua rikollisen käsiin tai ollaan pahasti liemessä.
Itse suosin sähköpostiin ja verkkopankkiin omaa salasanaa jota ei ole edes salasanaholvissa. Syynä siihen että verkkopankki pitää olla erityisesti suojattu ja se että sähköpostissa pystyy nollaamaan useamman palvelun salasanat varmuuden vuoksi. Sähköpostissa ota ehdottomasti käyttöön kaksivaiheinen tunnistautuminen estääkseen pääsyn tilille. Onneksi verkkopankeissa tämä jo on pakollista.
Salasanan hallintaohjelman tietenkin määrität yhden pääsalasanan jolla tämän saa auki. Tämänkin tärkeä olla suojattu hyvin. Muista myös varmuuskopioida ettei käy huonosti. Osa palveluista sallii pilveen tallentamista mutta niihinkin kannattaa suhtautua varauksella sillä nämä ovat hakkerien kohteita.
Esimerkkejä salasanahallinnan sovelluksista ovat Keepass, Apple Keychain ja F-Secure Key.
Linkkejä
https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2017/08/ttn2017083013