G07ajkjG# – eihän tätä kukaan muista

Nettipalveluiden salasanarumba hirvittää jo tavallista käyttäjää. Tietoturva-asiantuntijoiden mukaan pelkistä salasanoista pitäisikin päästä jo eroon. Mitkä ovat vaihtoehdot?


– Haluaisin nähdä, että salasanat korvattaisiin jollain muulla, sanoo tietoturvayhtiö Tectian perustaja ja toimitusjohtaja Tatu Ylönen.

Ylösen mukaan hetkessä tämä ei kuitenkaan tapahdu.

– Tarve korvata salasanat on iso, mutta se tulee kestämään useita vuosia. Teknologioita, millä ne korvataan, tulee todennäköisesti olemaan useita. Kyseessä voi olla jonkinlainen salasana ja siihen yhdistettynä matkapuhelin, laite tai avainlukulista, hän arvioi.

Ylösen mukaan varsinkin pelkkien salasanojen käytöstä pitäisi luopua.

– Jopa ihmiset, joiden pitäisi tietää paremmin, kuten minä, käyttävät samoja salasanoja liian pitkään, huokaisee Ylönen.

Hyvä salasana
ei ole sana 


Ylönen muistuttaa, että hyvä salasana on vähintään kahdeksan merkkiä. Se sisältää suurin piirtein yhtä paljon isoja ja pieniä kirjaimia, lisäksi on oltava yksi tai kaksi erikoismerkkiä. Salasanasta ei saisi muodostua mitään tunnistettavia sanoja.

– Kovin monta tällaista salasanaa ei voi muistaa, myöntää Ylönen.

Helposti muistettavat salasanat ovat usein huonoja. Ylösen mukaan varsinkin sellaisia salasanoja, joissa on käytetty oikeita sanoja ja vaikkapa vuosilukuja pystytään yllättävän tehokkaasti murtamaan käyttäjien koneilta.

Viestintäviraston tietoturvayksikkö Cert-fi ohjeisti hiljattain, että hyvässä salasanassa pitäisi olla vähintään 15 merkkiä ja jokaisessa verkkopalvelussa pitäisi käyttää eri salasanaa.

– Jos salasanassa on käytetty oikeita sanoja, niin silloin 15 merkkiä. Jos on käytetty satunnaisia merkkejä, niin kahdeksan on vielä hyvä, vaikka alkaakin olla siellä alarajoilla, Ylönen arvioi.

It-asiantuntija Petteri Järvinen pitää tilannetta mahdottomana käyttäjän kannalta.

– Kun salasanat otettiin alunperin tietokoneissa käyttöön, niin ihmisellä oli vain yksi järjestelmä mihin hän kirjautui. Oli yksi käyttäjätunnus ja yksi salasana. Nyt kun nettipalveluita on käytössä kymmeniä, niin eihän se enää toimi. Joka paikkaan pitäisi olla vähintään 15 merkkiä pitkät salasanat ja vaihtaa säännöllisesti, sehän on täysin mahdotonta.

Matkapuhelin
avuksi 


Mitä sitten tilalle? Yksi keino on varmentaa salasana ja käyttäjätunnus vielä erikseen matkapuhelimen avulla.

Esimerkiksi hakukonejätti Google tarjoaa tileilleen kaksivaiheista vahvistusta, jolloin palveluun sisäänkirjautumiseen tarvitaan käyttäjänimen ja salasanan lisäksi matkapuhelinta, johon lähetetään tekstiviestitse tarvittava koodi.

– Jos siis joku varastaa tai arvaa salasanasi, tilin kaappaaja ei silti pääse kirjautumaan tiliisi, koska hänellä ei ole käytössään puhelintasi, Google toteaa verkko-ohjeissaan.

Petteri Järvisen mukaan mobiilitekniikan käyttö on hyvä asia ja lisää turvallisuutta. Vahva todennus kun vaatii vaatii salasanan lisäksi toisenkin tekijän.

Tectia puolestaan kauppaa Mobile ID -tuotetta, jossa käytetään myös hyväksi tekstiviestejä kännykkään. Kun palveluun kirjautuu, kännykkään tulee muutamassa sekunnissa flash-viestinä viisinumeroinen koodi, joka pitää syöttää palveluun normaalin salasanan lisäksi. Ylösen mukaan Tectian Mobile ID:n ovat ostaneet muun muassa Stockmann ja Sisu sekä Singaporen hallitus.

– Paitsi, että pitää tietää se salasana, pitää olla hallussa myös käyttäjän matkapuhelin, Ylönen sanoo.

Yrityksiä ratkaista asia ovat matkapuhelimien tekstiviestien lisäksi sim-kortteja hyödyntävät mobiilivarmenteet, älykortit siruineen, muut erilliset laitteet ja biotunnisteet.

– Mobillivarmenteet eivät käytännössä tänä päivänä toimi. Ne ovat liian vaikeita integroida järjestelmiin. Ne eivät toimi massoille, eivätkä tule toimimaan ainakaan seuraavan kolmen vuoden kuluessa, Ylönen arvioi.

Ylönen huomauttaa, että matkapuhelimien sim-kortteja ei yleensä vaihdella kuin ehkä 3–5 vuoden välein. Monissa palveluissa mobiilivarmennetta ei voi ottaa käyttöön ennen kuin ne ovat tarpeeksi laajalla joukolla käytössä.

HST-korttiin
käytettiin isot rahat


Suomessa pankit tarjoavat eri nettipalveluille maksusta tupas-tunnisteita, eli verkkopalveluun kirjautuessa käyttäjä ohjataan oman pankin tunnistautumissivulle, josta palaudutaan tunnistautumisen jälkeen takaisin verkkopalveluun.

– Eivät nekään ole kovin turvallisia, niissä on mahdollisuus väärään todentamiseen ja niitä voidaan myös urkkia, arvioi Järvinen.

Järvinen pohdiskelee myös sähköistä HST-älykorttia (henkilön sähköinen tunnistus). Järjestelmää kehitettiin Suomessa kymmenillä miljoonilla euroilla ja sillä tunnistautuminen hoituisi turvallisesti ja tehokkaasti. Älykortti vaatii kuitenkin tietokoneeseen erillisen lukijalaitteen.

– Kaksitoista vuotta hukkaan heitettyä kehitystä. HST-korttia käytetään edelleen jonkin verran julkishallinnon palveluissa, mutta käyttäjämäärät ovat ihan olemattomia.

Halpaa on
vaikea korvata
 

Järvinen arvelee, ettei salasanoista päästä täysin eroon pitkään aikaan. Ne ovat liian halpa menetelmä muihin verrattuna.

– Kun väärinkäytöksiä tulee yhä enemmän ja on yhä isommat taloudelliset arvot kyseessä, salasanojen käyttöön pitää kyllä miettiä vaihtoehtoja, hän sanoo. 

Järvinen arvelee, että mobiilitekniikka tulee ehkä olemaan tärkein väline tunnistuksen parantamisessa.

– Mobiililaite on ihmisillä aina mukana.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Venäläismiljardöörin purjelaiva takavarikoitiin – jättimäinen merilelu maksoi 400 miljoonaa

    2. 2

      Näin suomalainen mies putoaa työelämästä – ”Ajatellaanko todella, että ihmiset haluavat elää tuilla?”

    3. 3

      Metalliliitto: Työpaikalla pidettiin mustaa listaa työntekijöistä – levisi vahingossa kaikille

    4. 4

      Valinnanvapautta alettiin kokeilla tänään Jyväskylässä – 174 vaihtoa ensimmäisen 8 tunnin aikana

    5. 5

      Kulta on kallistunut selvästi – sijoittajat pelkäävät osakkeiden olevan vaarallisen kalliita

    6. 6

      Wärtsilä haluaa ohjelmistotaloksi ja suunnittelee yritysostoja

    7. 7

      Bild: Kreikka tarvinnee ”kaksinumeroisen miljardisumman”

    8. 8

      Nyt puhuu Go! Aviationin ex-työntekijä: Syttyi käsittämätön ilmiriita

    9. 9

      SAK:n kysely: Painostus työehtojen heikentämiseen kasvanut – palkkoja halutaan alas

    10. 10

      Työntekijä saa jännittää nyt 2 kuukautta pidempään – koeajat pitenivät vuoden alussa

    11. Näytä lisää
    1. 1

      Näin suomalainen mies putoaa työelämästä – ”Ajatellaanko todella, että ihmiset haluavat elää tuilla?”

    2. 2

      Metalliliitto: Työpaikalla pidettiin mustaa listaa työntekijöistä – levisi vahingossa kaikille

    3. 3

      Venäläismiljardöörin purjelaiva takavarikoitiin – jättimäinen merilelu maksoi 400 miljoonaa

    4. 4

      Työntekijä saa jännittää nyt 2 kuukautta pidempään – koeajat pitenivät vuoden alussa

    5. 5

      Konkarisijoittaja Tom Tukiainen, 59, pani 100 000 euroa riskillä turvapaikanhakijoihin

    6. 6

      USU: Kaavailtu muutos asuntolainakattoon herätti huolen – ”Ei nuorella ole kesämökkiä myytäväksi”

    7. 7

      Nyt puhuu Go! Aviationin ex-työntekijä: Syttyi käsittämätön ilmiriita

    8. 8

      ”Alkaako miesten katoaminen työvoimasta jo lapsuudessa?”

    9. 9

      Wärtsilä haluaa ohjelmistotaloksi ja suunnittelee yritysostoja

    10. 10

      Ford pelasi uhkapeliä Venäjän markkinalla, ja se alkoi kannattaa

    11. Näytä lisää
    1. 1

      Sunnuntailisät pois, työpäivän pituus 12 tuntiin? ”Tehdään työtä silloin, kun sitä on”

    2. 2

      Yle: Kirjeessä koteihin jaettu oikea seteli hämmentää suomalaisia – osa palauttaa, vaikkei tarvitsisi

    3. 3

      ABC-asemien S-bonus muuttuu – ”Aion äänestää jaloillani”

    4. 4

      50 000 miestä parhaassa iässä ei tee töitä tai opiskele – ”Mitä heille tapahtui?”

    5. 5

      ”Kesämökkejä alkaa olla riesaksi asti” – FK ei halua, että omaisuutta pantataan perinnöksi

    6. 6

      Näin suomalainen mies putoaa työelämästä – ”Ajatellaanko todella, että ihmiset haluavat elää tuilla?”

    7. 7

      Metalliliitto: Työpaikalla pidettiin mustaa listaa työntekijöistä – levisi vahingossa kaikille

    8. 8

      Sunnuntailisistä nautittu 100 vuotta – joko riittää?

    9. 9

      Katsastuksiin ehdotetaan tiukennuksia – ”Turhia kustannuksia autoilijalle”

    10. 10

      Julkkisten rahoittaman lentoyhtiön kassasta katosi satoja tuhansia euroja – hakeutuu nyt konkurssiin

    11. Näytä lisää