Ne vähemmän salaiset sanat
Salasanojen varaan on luotettu tietotekniikan aikakaudella paljon. Ja luotetaan edelleen. Mutta mikä tekee salasanasta nykyään vähemmän salaisen, jopa siinä määrin että salasanoista haluttaisiin kokonaan eroon?
Ihmisten höynäyttäminen on ollut yksi “ammatti” jo ammoisten aikojen alusta, vain tavat toteuttaa sitä ovat muuttuneet ajan myötä. Digitaalisella aikakaudella myös höynäyttäminen on siirtynyt digitaaliseen maailmaan, ja kuinka moninaista se nykyään onkaan! Meitä koitetaan viilata linssiin sähköpostitse, WhatsAppilla, puheluilla, tekstareilla, sosiaalisen median postauksilla, QR-koodeilla ja ties millä. Kun näitä kaikkia menetelmiä käytetään tasaisen tappavasti, aina jotain tarttuu koukkuun. Ja salasanoja kalastelemalla kalaa tulee jokaiselle, joka vain vaivautuu riittävän hyville apajille.
Lisäksi samaan aikaan pimeässä verkossa liikkuu hyvin halpaan kilohintaan valtavia määriä jostain kasaan raavittuja henkilötietoja, joissa luultavasti myös sinun nimesi ja sähköpostiosoitteesi on tarjolla. Joskus ihan salasanankin kera. Eikä sinua ole edes tarvinnut höynäyttää, vaan jonkin palvelun tietoturva on murrettu kuin vintillä olevan häkkikomeron vanha munalukko, ja tietosi ovat vuotaneet verkkoon. Siksikin salasanasi on ehkä vähemmän salainen kuin mitä saatat olettaa.
Kolmas salasanojen luotettavuutta nakertava asia on Luulo:
- Luullaan, ettei minusta tai tiedoistani kukaan ole kiinnostununut.
- Luullaan, ettei salasanaani kuitenkaan ihan heti pysty kukaan arvaamaan, koska koiramme nimihän on likimain uniikki!
- Luullaan, ettei sillä joskus 5 vuotta sitten käytössä olleella verkkopalvelulla ole enää mitään merkitystä.
Kaikilla on jotain rahan arvoista tietoa, kaikkia voidaan käyttää hyödyksi digirikosten ketjussa ja rikollisten kyvykkyys ja nopeus arvata salasanasi paranee koko ajan teknologian kehityksen myötä. Jollei salasanasi siis jo löydy jostain tietovuodosta valmiina. Internet ei myöskään unohda koskaan, vaikka sinä unohtaisit. Ei välttämättä silloinkaan, vaikka olisit poistanut tietosi tai tunnuksesi palvelusta.
Salasanojen hyvistä käytännöistä on kirjoiteltu iltapäivälehtiä myöten jo vuosia, ja hyvä niin. Vaikka kuinka keksit hienoja ja pitkiä salasanoja, jokaiselle palvelulle vieläpä omansa, ne eivät yksistään riitä suojaamaan sinun tai organisaation tietoja digitaalisilta taskuvarkailta.
Alla on esitetty arvioita eri pituisten ja eri merkeistä koostuvien salasanojen murtamisesta:
Työkaluja ja palveluita joista voisi olla apua salasanojen kanssa.
Jos haluat käsityksen, kuinka äkkiä juuri tietynlaiset salasanat voivat murtua, voit kokeilla esimerkiksi Bitwardenin palvelua: Password Strength Testing Tool | Bitwarden
HUOM! Älä syötä tähän tai mihinkään muuhunkaan lomakkeelle varsinaista salasanaasi – ikinä!
Mutta miten ihmeessä näistä kaikista salasanoista sitten voi tehdä yksilöllisiä ja riittävän pitkiä, kun enhän minä meinaa muistaa edes omaa puhelinnumeroani!?
Tähän rientävät avuksi erilaiset salasanan hallintatyökalut, lontooksi password manager sovellukset. Esimerkiksi F-Securen ID Protection tarjoaa salasanojen hallinnan lisäksi vuotaneiden tunnusten valvonnan ja hälytyksen: F‑Secure ID Protection — Protect your online identity | F-Secure
Maksuttomista palveluista ainakin BitWardenia on pidetty melko luotettavana: Password Management for Individuals and Families | Bitwarden
Myös käyttäjätunnusten tietovuotovalvontaan löytyy maksuttomia vaihtoehtoja, kuten kotimainen BadRap tai maailmalla varsin tunnettu Have I Been Pwned, joista voi tilata hälytyksen, mikäli oma sähköpostiosoite ilmestyy verkon pimeyden väärille ilmoitustauluille.
Have I Been Pwned: Check if your email has been compromised in a data breach
Mutta salasanahan ei enää riitä! Tarvitaan jotain vahvempaa – vahvaa tunnistautumista!
Vahva tunnistautuminen, monivaiheihnen tunnistautuminen, two-factor authentication (2FA), multi-factor authentication (MFA). Kaikki nämä tarkoittavat suurin piirtein samaa asiaa:
Käyttäjätunnus + Salasana + Jotain mitä vain sinulla on = Pääsy palveluun
Kaikki ylempänä kuvatut riskit ja murheet pienenevät murto-osiin, kunhan vain jaksat ottaa vahvan tunnistautumisen käyttöön kaikissa palveluissa, joita käytät – ja myös niissä joita et enää aktiivisesti käytä. Jos tätä mahdollisuutta ei ole tarjolla, kannattaa salasana ainakin vaihtaa, ja varmistaa että se on myös riittävän pitkä (esim 15 merkkiä) ja käytössä vain yhdessä palvelussa.
Tarjolla olevat vahvan tunnistautumisen menetelmät riippuvat palvelusta. Yleensä tämä toteutuu helpoimmin mobiililaitteella, joko tekstiviestillä tai asiaan soveltuvalla tunnistautumissovelluksella, kuten Microsoft Authenticator tai Google Authenticator. Tämä riittää jo todella pitkälle. Asian hieman enemmän tosissaan ottavat voivat myös harkita tietokoneen USB-reikään tungettavan tunnistautumisavaimen käyttöä, joita esim Yubico valmistaa.
Suomessa onneksi kaikki kriittisimmät palvelut käyttävät pankkien tai teleoperaattoreiden tarjoamaa vahvaa tunnistautumista, joka on mahdollistanut suhteellisen turvallisen digitaalisen asioinnin valtion, kuntien tai muiden vastaavien toimijoiden kanssa.
No nyt ollaan turvassa! Eiku..
Vääärin! Tilanne on huomattavasti turvallisempi, mikäli edellä listattuja asioita hyödyntää, mutta 100% tietoturvaa ei olekaan. Rikolliset voivat joissain olosuhteissa päästä läpi myös vahvasta tunnistautumisesta, jos et ole tarkkana milloin vahvistat kirjautumisen.
Älä siis ikinä vahvista kirjautumispyyntöä, mitä et ole itse varmuudella tehnyt!
