Verkkopalveluun kirjautuessasi törmäät tuttuun ongelmaan. Et muista, mikä oli palvelun salasana. Joudut palauttamaan salasanasi sähköpostiisi tulleen vahvistuslinkin avulla.
Salasanan vaihtaminen ei ole kovin vaikeaa, mutta se vie aikaa ja voi tuntua stressaavalta etenkin kiireisessä tilanteessa. Turhauttavaksi tilanne käy silloin, kun palvelujen salasanat tuntuvat unohtuvan jatkuvasti.
Jos hyvien salasanojen keksiminen ja etenkin niiden muistaminen tuntuvat vaikealta, ongelmaan on tarjolla ratkaisu. Markkinoilla toimii useita salasanojen hallintaohjelmia, jotka tarpeen mukaan luovat ja säilyttävät eri palveluihin luotoja yksilöllisiä salasanoja.
Kuinka luotettavia tällaiset palvelut sitten ovat?
– Jos salasanageneraattori [salasanoja luova ohjelmisto] toimii oikein, eli luo täysin satunnaisia salasanoja, salasanageneraattorien luomat salasanat ovat vahvoja ja luotettavia. Joskus käyttäjän on mahdollista vaikuttaa salasanageneraattorin luomiin salasanoihin. Tällöin tärkeää on, että käyttäjä luo riittävän pitkän salasanan riittävän laajalla merkkivalikoimalla, liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Antti Louko kertoo Verkkouutisille.
Termit haltuun
Salasanageneraattori: Salasanoja automaattisesti luova järjestelmä.
Salasanamanageri: Salasanojen hallinnointiin ja säilytykseen erikoistunut ohjelmisto. Sisältää monesti myös salasanageneraattorin. Tunnetaan myös muun muassa nimillä salasanaholvi tai salasanojen hallintaohjelmisto. Kaikki palveluun tallennetut salasanat ovat erillisen pääsalasanan takana.
Internetistä löytyy useita salasanoja luovia palveluita. Loukon mukaan satunnaisia salasanoja luovia verkkosivustoja ei kannata käyttää, koska niiden toiminnasta ei voida varmistua. Esimerkiksi siitä ei voi olla varmuutta, tallentaako sivusto luomansa salasanat johonkin käyttäjän tietämättä.
Tyypillisesti salasanageneraattorin luoma salasana on todennäköisesti tietoturvallisempi kuin käyttäjän luoma, mutta se johtuu Loukon mukaan enemmänkin ihmisten inhimillisistä piirteistä ja rajoituksista eikä siitä, etteikö ihminen voisi keksiä paljon turvallisia salasanoja.
– Digitaalisia palveluita on käytössä nykyään niin paljon, että varsin harva kykenee muistamaan kaikki salasanansa, jos ne ovat kaikki erilaisia ja saattavat vieläpä vaihtua ajoittain. Tämä yleensä johtaa samojen tai heikkojen salasanojen käyttöön.
Ihmisen keksimissä salasanoissa voi olla se ongelma, että ne noudattavat jotain tiettyä kaavaa. Se taas tuo arvattavuutta salasanoihin. Jos yksi salasanoista päätyy vääriin käsiin, pahimmassa tapauksessa hän voi pystyä päättelemään myös muiden palvelujen salasanat. Louko kuitenkin huomauttaa, että toisiaan muistuttavien salasanojen käyttö eri palveluissa ei ole yhtä paha virhe kuin täysin saman salasanan käyttäminen.
Suosi tunnettujen toimijoiden palveluita
Loukon mukaan paras tapa arvioida salasanageneraattorin tai -managerin luotettavuutta on arvioida sen tarjoavan tahon luotettavuutta. Yleensä paras merkki luotettavuudesta on se, että tuotteen tarjoaa luotettavaksi tunnettu toimija. Sellainen voi olla esimerkiksi tunnettu tietoturvayhtiö.
Palvelun ja sen tarjoajan luotettavuutta voi arvioida myös etsimällä verkosta muiden kokemuksia siitä.
– Tuotetta ja sen tarjoajaa koskevia uutisia voi etsiä hakukoneella ja katsoa onko niistä kirjoitettu, tai onko niillä ollut aiemmin ongelmia turvallisuuden kanssa, Louko vinkkaa.
Tarjolla on sekä ilmaisia että maksullisia palveluita. Loukon mukaan maksullisuus ei ole aukoton tae laadusta tai luotettavuudesta, mutta kertoo siitä, että palveluntarjoaja on ainakin jollain tavalla panostanut palveluunsa.
Yleensä hyvä merkki on myös se, jos jokin ulkopuolinen taho on arvioinut palvelun. Silloin palvelun turvallisuus on testattu tiettyjen kriteerien mukaan.
– Arvioinneista yleensä löytyy merkintöjä ohjelman tai palvelun verkkosivulta, mutta arviointeihinkin saattaa joutua perehtymään, jos niihin haluaa luottaa.
On myös olemassa tiettyjä merkkejä, jotka voivat viitata palvelun epäluotettavuuteen. Tyypillisimmät hälytysmerkit ovat palvelun oudolta näyttävä verkko-osoite, palvelun tuntemattomuus tai sen epäilyttävä mainostaminen verkkosivuilla.
Palvelusta kannattaakin aina pyrkiä etsimään lisätietoa netistä. Se voi paljastaa mahdollisen huijauksen. Loukon mukaan yleensä aivan ensimmäisiä hakutuloksia ei kuitenkaan kannata avata, sillä ne ovat usein mainoksia, jotka eivät johda haettuun palveluun.
– Rikolliset käyttävät hakukonemainoksia haitallisen sisällön levittämiseen ja salasanat ovat hyvin houkutteleva kohde rikollisille. Haitallista sisältöä voi tietysti tulla myös muualla hakutuloksissa.
Riskit ovat olemassa
Salasanojen hallintaohjelmistoihin eli salasanamanagereihin liittyy myös riskinsä. Jos palvelussa käytetty pääsalasana tai koko palvelu hakkeroidaan, käytännössä kaikki sinne tallennetut salasanat ja käyttäjätunnukset voivat päätyä vääriin käsiin.
– Tässä tilannetta lieventää, jos palvelu on säilyttänyt käyttäjien salasanat asianmukaisesti salattuina, mutta joka tapauksessa murron kohteeksi joutuneessa palvelussa olleet salasanat on syytä vaihtaa uusiin pikimmiten, Louko toteaa.
Asiaan liittyy oleellisesti myös se, onko salasanamanageri paikallinen vai pilvipohjainen.
– Pilvipohjaisen palvelun etu on, että pilvipalvelu vastaa salasanojen säilytyksestä eivätkä salasanat häviä, vaikka esimerkiksi käyttäjän laite häviäisi. Toisaalta tällöin on täysin pilvipalvelun armoilla.
Paikallisesti laitteella toimiva ohjelma taas tuottaa salatut salasanat sisältävän tiedoston, josta voi tehdä halutessaan varmuuskopion esimerkiksi turvassa säilytettävälle muistikortille. Silloin Näin salasanoja sisältävä tiedosto ei siirry pois käyttäjän laitteelta ilman, että käyttäjä itse siirtää sen.
– Salasanojen hallintaohjelmaa ja paikallista tiedostoa käytettäessä tietojen vuotaminen tietysti vaatii, että salasanan lisäksi pahantahtoinen toimija saa käsiinsä myös salasanoja säilyttävän tiedoston, Louko kertoo.
Salasanat kannattaa vaihtaa nopeasti senkin takia, että vuotaja ei ole välttämättä ehtinyt kirjautumaan palveluihin. Nopeus on siis valttia. Salasanojen vaihtaminen kannattaa aloittaa ensin kaikkein tärkeimmistä palveluista.
– Tällöin pitää muistaa tallentaa uudet salasanat turvalliseen paikkaan, eli ei ainakaan uudestaan murrettuun palveluun tai tiliin.
Nykyään yhä useammalla on tapana tallentaa palvelujen salasanat esimerkiksi Google-tilin yhteyteen. Niihin liittyy samanlaisia riskejä kuin salasananhallintaohjelmistoihin. Loukon mukaan ilmeisimmät riskit ovat salasanojen paljastuminen ja katoaminen.
– Kummassakin tapauksessa suuri osa digitaalisesta elämästämme lienee vaarassa. Tällaisen tunnuksia säilyttävän tilin pitää olla hyvin suojattu, eli käytössä hyvä uniikki salasana ja monivaiheinen tunnistautuminen, Louko korostaa.
Ilmaisten palveluiden tapauksessa on hänen mukaansa myös syytä miettiä, mitä tapahtuisi tilanteessa, jossa palvelu loppuisi yllättäen tai käyttäjän tili lakkautettaisiin. Internetin historiasta löytyy useampia esimerkkejä, joissa ilmainen palvelu on lakkautettu tai se on muuttunut maksulliseksi, jolloin tilin käytön jatkaminen on edellyttänyt maksuihin suostumista.
Ole tarkkana tärkeimpien salasanojen kanssa
Osa käyttäjätunnuksista ja salasanoista on niin tärkeitä oman elämän kannalta, ettei niitä kannata säilyttää huolimattomasti. Niitä ei ole välttämättä suositeltavaa tallentaa edes salasananhallintaohjelmaan. Tällaisia ovat esimerkiksi tunnukset ja salasanat, joiden avulla pääsee käsiksi rahaliikenteeseen tai viranomaispalveluihin tunnistautumiseen. Tyypillinen esimerkki on omat verkkopankkitunnukset.
– Tärkeimpien salasanojen suhteen voi tehdä henkilökohtaista riskiarviointia. On ihan hyvä idea pelata varman päälle, jos tietää kykenevänsä muistamaan muutaman erilaisen, vahvan, toisiinsa liittymättömän salasanan. Näitä voi käyttää kaikkein tärkeimmissä palveluissa, Louko suosittelee.
Jos pelkää unohtavansa tällaisten palvelujen salasanat, Louko suosittelee kirjoittamaan ne esimerkiksi paperilapulle, jota säilytetään suljetussa kirjekuoressa korkeamman turvallisuuden paikassa. Tällainen voisi olla tallelokero tai muu vastaava säilytyspaikka.
Sähköpostin avulla pääsee käsiksi myös muihin palveluihin
Moneen verkkopalveluun rekisteröityessä käytetään sähköpostiosoitetta, jonka avulla unohtunut tunnus voidaan palauttaa. Yleensä samalla sähköpostiosoitteella rekisteröidytään useisiin eri palveluihin. Tähän liittyy myös riskinsä.
– Jos murtautuja pääsee sähköpostitiliin käsiksi, on hänen yleensä mahdollista palauttaa siihen liitetyt muiden palveluiden salasanat, Louko muistuttaa.
Hänen mukaansa muilta osin saman sähköpostiosoitteen käytöllä ei ole kirjautumisen turvallisuuden kannalta väliä, jos käyttää kaikissa palveluissa turvallisia ja erityisesti eri salasanoja.
– Tällöin käyttäjätunnus-salasanaparin vuotaminen yhdestä palvelusta ei vaaranna muita palveluita, vaikka hyökkääjä osaisikin kokeilla samaa käyttäjätunnusta muihin palveluihin.
Joskus kuulee ohjeen, että tietoturvallisin tapa olisi käyttää eri salasanojen lisäksi myös eri sähköpostiosoitetta eri palveluissa. Silloin sähköpostitunnuksen murtamisella ei pääsisi käsiksi useiden palvelujen salasanoihin.
Louko ei pidä tätä erityisen hyvänä ohjeena. Hänen mukaansa parempi tapa on vain käyttää eri salasanoja eri palveluissa. Lisäksi sähköpostin tietoturvan kanssa on oltava tarkkana. Louko suosittelee ottamaan käyttöön myös monivaiheisen tunnistautumisen (MFA) tai niin sanotun avainkoodin, mikäli sellainen on saatavilla.
– Kovin monen sähköpostitilin hallinnointia on vaikea suositella, sillä sellainen ei poista sähköpostitilien turvaamisen tarvetta, ja turvattavana onkin yhden sähköpostitilin sijaan useampi. Määrän myötä lisääntyy myös muistettavien asioiden, muun muassa uusien salasanojen määrä ja kognitiivinen kuormitus, hän huomauttaa.
Loukon mukaan ehdottomasti tärkeämpää tietoturvamielessä on siis ensisijaisesti turvata oma sähköpostitili ja olla huolellinen sen tunnusten kanssa.
– Useimmat ihmiset pärjäävät hyvin yhdellä hyvin huolehditulla sähköpostitilillä.
LUE MYÖS:
Windowsin käyttäjiä varoitetaan kohtalokkaasta virheestä
Viestisi voivat vuotaa ulkopuolisille: Nämä ovat sovellusten vaaranpaikat
Tällainen on paras salasana – Asiantuntija varoittaa yleisestä virheestä