- Kuva: Valtteri Varpela / Uusi Suomi
Ruotsin poliisin tietomurtojutussa on piirre, johon jokaisen pitäisi kiinnittää huomiota: tietomurto onnistui, koska samaa salasanaa oli käytetty useaan eri järjestelmään kirjauduttaessa.
Viime lokakuussa Suomessa kävi samantyyppinen tapaus, jossa kohteeksi joutuivat tavalliset netinkäyttäjät.
Ongelmana on se, että nykyään salasanoja kertyy valtavia määriä. Käyttäjätunnuksia ja salasanoja tarvitsee yleensä niin työpaikan järjestelmään kirjautuessa kuin henkilökohtaisen sähköpostin ja erilaisten nettipalveluiden käyttämisessäkin. Kaikkien eri palveluiden ja järjestelmien salasanoja on vaikea muistaa – on helpompaa käyttää samoja tunnuksia joka palveluun.
Jos yrityksen työntekijä käyttää samaa käyttäjätunnusta ja salasanaa sekä yrityksen järjestelmään että nettipalveluihin kirjautuessaan, työntekijä saattaa asettaa itsensä ohella vaaraan myös työnantajansa. Tämä tuli ilmi juuri Ruotsin tapauksessa. F-Securen tietoturva-asiantuntija Erkki Mustonen arvioi, että Suomessakin monet yritysten työntekijät käyttävät useisiin palveluihin samoja kirjautumistunnuksia.
Mustonen myöntää uusisuomi.fi:lle, että salasanoja on vaikea muistaa, kun niitä kertyy liikaa. Mustonen vinkkaa, että päätöksiä voi tehdä käytetyn järjestelmän merkityksen pohjalta.
- Voi miettiä sitä, miten tärkeä ja kriittinen käytettävä palvelu on. Esimerkiksi uutiskirjetilaukset tai vastaavat tuskin ovat kovin kriittisiä. Mutta aina, kun palveuun antaa henkilökohtaisia tietoja, on muistettava hyvät salasanakäytännöt, sanoo Mustonen.
Hyvässä salasanassa on isoja ja pieniä kirjaimia sekä numeroita. Kuulostaa ehkä hankalalta. Mustosella on kuitenkin hyvä ohje salasanan muodostamiseen.
- Hyvä salasana on itse asiassa salalause, joka muodostetaan kahdesta tai kolmesta sanasta, kertoo Mustonen.
Nämä 2-3 sanaa tulisivat olla sellaisia, jotka itse varmasti muistaa. Kun lause on valmis, ryhdytään muuttamaan kirjaimia numeroiksi.
- Jos salalause on vaikkapa ”minä rakastan sinua”, niin siitä voi muutaa i-kirjaimet ykkösiksi. Jos lauseessa on o-kirjaimia, ne voi muuttaa nolliksi, neuvoo Mustonen.
Tämän lisäksi lauseeseessa tulisi olla sekä isoja että pieniä kirjaimia.
Kommentit
Ääkkösiä mukaan
Perusohjeena tuo numeroiden ja isojen kirjainten käyttö pienten seassa on jo riittävän hyvä. Luin jostain, että jos noiden lisäksi käyttää vielä ääkkösiä, pieniä tai suuria, hakkereiden algoritmit eivät enää pärjää haasteelle.
Tuollaisia tullut käytettyä vuosia,
mutta lisäksi suosittelen yhdistelemään sanoja toisiinsa siten, että ne eivät enää ole oikeita sanoja. Helppo muistaa, mutta ei löydy mistään sanastosta. Esimerkki: tikka + katos = tikkatos josta sitten osa kirjaimia numeroiksi ja osa isoiksi kirjaimiksi jonkin oman järjestelmän mukaan.
Silti salasanoja voi olla nopeasti kymmeniä tai satoja joten niitä ei kaikkia voi muistaa (minulla printatulla listalla oli aikanaan ehkä 200 aktiivista salasanaa). Niihin löytyy kyllä myös keinot jotka toimivat yhtä hyvin vaikka vain viiden salasanan kanssa selviävälle: ostin parisen viikkoa sitten näppärän ThinkPad-salkkumikron jossa kaikkea kovalevylle tallennettua suojataan salauspiirillä ja kaikkiin kirjautumisiin vaaditaan sormenjälkitunnistautumista (nimenomaan tämä laitteessa käytetty pyyhkäisymalli on turvallinen).
Salasanoihin tämä laite auttaa siksi, että Lenovolla on laitteen mukana seuraava ohjelmisto salasanojen hallintaan ja ohjelma osaa täyttää salasanat ja käyttäjätunnukset automaattisesti niin halutessani (nettiselaimen kenttiin tms.) kunhan aina ensin varmistan sormenjäljelläni että olen todella juuri minä. Salasanojen tallentaminen mihinkään kiintolevyllä voi tuntua vaaralliselta, parempi olisi ehkä muistaa ne itse, mutta kun koko järjestelmä on salattu kyseisen salauspiirin avulla niin ainakin tavallisten palvelujen salasanoille minulle kelpaa tuo biometrisen tunnistautumisen takana oleva tallennus mainiosti. Jos laitteen purkaa ja kovalevyn kiinnittää toiseen tietokoneeseen, on levy edelleen salattu eikä sitä pysty ilman tunnistautumista purkamaan. Samanlainen järjestelmä löytyy samaisen valmistajan pöytäkoneistakin (kyseessä siis "entinen IBM" eli Lenovo).
Sormenjäljillä
Toimii tuo sormenjäkitunnistinkin hyvin, ja jos se menee epäkuntoon, perinteinen salasana on pitänyt (käsittääkseni) kuitenkin antaa. Sitä voi käyttää sitten hätätapauksessa.
Mutta eihän nettipalveluissa moisia tunnisteita voi käyttää. Sanakirjoista löytymättömiä sanoja voi tosiaan miettiä. Vaikkapa pesisräysä.
Nettipalveluissa nimenomaan
Nettipalveluissa nimenomaan toimii Thinkpadillä tuo sormenjäljellä kirjautuminen. Ensimmäistä kertaa salasanaa ja käyttäjätunnusta kirjoitettaessa laite pyytää tunnistautumisen (sormen pyyhkäisy sensorin ylitse) ja sen jälkeen tallentaa annetut tiedot. Myöhemmin samalle sivulle mentäessä selain kysyy vain sormenjälkeä ja kirjautuu sisään automaattisesti (pitää klikata ok-nappulaa tms. toki hiirellä). Tuon toiminnon voi myös itse valita pois päältä eli kysyy jokaisen salasanasuojatun sivuston kohdalla erikseen miten haluaa toimittavan.
Hätätapauksessa (mikä se olisi?) voi biometrisen sijaan antaa salasanan, mutta sen kannattaa olla pitkä ja hankala mutta vielä muistisäännöllä muistettavissa. Hätätapaus on kai lähinnä jos laite olisi toisella henkilöllä luvallisesti ja pitäisi saada toimimaan tms, koska omassa ThinkPadissäni on kaikkien sormieni jäljet tallennettuna ja millä tahansa niistä pyyhkäisemällä tunnistautuminen onnistuu aina ja varmasti (eli jos toinen käsi paketissa niin toisella vielä toimii;-)
Kovalevyn salauksesta
ThinkPadista en tiedä, mutta hiljan tuli juuri ilmi että kovalevyjen hardware salauksessa käytettiin yleisesti paljon heikompaa salausta kuin niiden väitettiin käyttävän.
Jos vielä löydän artikkelin sivuhistoriasta postaan senkin tänne.
Trusted Platform Module 1.2
Kyseisessä laitteessa on TPM 1.2 suojaus, josta löytyy wikistä lisää linkkejä täältä:
http://en.wikipedia.org/wiki/Trusted_Platform_Module
Valmistajan kuvaus ThinkVantage-suojauksestaan:
http://www.pc.ibm.com/europe/think/en/security.html?europe&cc=europe
"This level of security is critical for both desktop and notebook systems. In fact, you cannot get a higher level of security as a standard feature on a PC from any other manufacturer."
Toki tuollaisen salauksen saa purettua tarvittaessa "ammattisovelluksilla", eli ainakin suuremmille tiedustelupalveluille tuollaiset ovat murrettavissa.
Lisää aiheesta, pro bono
Kaikki systeemit eivät ota vastaan ääkkösiä eivätkä edes tavallisia välimerkkejä (+-_,.;:?=)(/&%€#"! jne.), mutta joissa käy, olisi hyvä - välimerkkien mukanaolo räjäyttää hakkerin pankin...
Vielä Mustosen vinkkiä tehokkaampi muistijekku on tehdä salasana lauseesta:
"Marilla oli pikkuinen lammas, jonka nimi oli Liisu. "
Otetaan joka sanan ensimmäinen kirjain ja kaikki välimerkit. Sitten korvataan vielä vähän numeroilla vaikkapa näin:
"M0pl,jn0L."
Tuohon ei mikään sanakirjahyökkäys pure, on välimerkkejä aakkosnumeeristen lisäksi ja, mikä tärkeintä, se on helppo muistaa.
Varsinkin tulostetulle listalle tuo on erinomainen
Tuo muuttuu erinomaiseksi jos salasanat pitää tallentaa jonnekin paperille tai tiedostoon. Salasanan kirjaamisen sijaan kirjoittaa vain noita merkityksettömän tuntuisia lauseita ja jos niissä käyttää aina kolmatta kirjainta tai 3. viimeistä kirjainta tms. eikä kirjaa tätä ko. lapulle ei kukaan (helpolla) keksi mikä siinä se varsinainen salasana on. Melko turvallista tuollaista olisi jo kuljettaa mukanaankin.
Parisenkymmentä
...salasanaa on itselläni käytössä, mutta en ole niihin mitään logiikkaa käyttänyt, muistan ne vain yksinkertaisesti ulkoa. Mutta eivät kyllä ole kummoisia ja alankin vaihtaa niitä järkevämmiksi ihan samantien. Kiitosta vaan kaikille erilaisista vaihtoehdoista.