20.11.2012

“Mikä se salasana taas olikaan...?”

Tietoturvan ehdottomasti suurin riskitekijä on käyttäjä itse. Mitkään suojaukset eivät auta, jos salasanat löytyvät näppäimistön alta tai jos ne ovat tyyliä maija75. Asiaa muuttuu vielä pahemmaksi, jos samaa salasanaa on tullut käytettyä monessa eri palvelussa.



Salasanojen hallinta on etenkin aktiiviselle netin käyttäjälle haaste, johon kannattaa uhrata hetki. Parasta olisi, jos salasanoja ei tarvitsisi koskaan kirjoittaa mihinkään. Miten sitten voisi muistaa kymmeniä, jopa satoja salasanoja? Siitä annan tässä artikkelissa muutaman vinkin.

Onko se nyt niin tärkeätä?


Sanomattakin on selvää, että ammatillisessa käytössä, jossa käsitellään asiakkaista arkaluontoista tietoa, tulee olla erityisen tarkka salasanojen hallinnassa. Vaikka esimerkiksi oppilasrekisterissä (Wilma) ei olisikaan mitään arkaluontoista sisältöä, salasanan joutuminen vääriin käsiin voisi olla kohtalokasta. Saatuaan salasanan käyttöönsä, joku ilkikurinen saattaisi tuottaa sinne mielivaltaista “tietoa.” Tuo tieto kaiken lisäksi näyttäytyy salasanan oikean haltijan tuottamana. Kun tietojen tallentaminen järjestelmään on yleensä virkavelvoite, voi vain kuvitella mitä siitä seuraisi, jos asiakastiedot joutuisivat vääriin käsiin.

Harmittomastakin verkkopalvelusta voi tulla painajainen jos esimerkiksi hetken mielijohteesta tehty käytännön pila jakaa sosiaalisessa mediassa tietoa muka katsomistasi pornoleffoista. Edes se, että et ole mukana Facebookissa pelasta tältä, sillä valeprofiili olisi helppo perustaa puolestasi.

Miten vältyt ongelmilta?

  • Luo kaikille salasanoillesi sellainen muistisääntö, jonka muistat ulkoa
  • älä kirjoita salasanoja kalenterin takalehdelle tai muistilappusiin
  • pidä salasanasi vain omana tietonasi
  • käytä aina eri salasanoja jokaisessa palvelussa
  • oman profiilin varaaminen suosituimmista sosiaalisen median palveluista ehkäisee sitä, että joku muu tekisi sen puolestasi
  • salasanan palauttamiseksi saattaa olla tarjolla vaihtoehtoisia ratkaisuja, jos olet etukäteen syöttänyt profiilitietoihisi puhelinnumerosi (avauskoodi lähetetään puhelimeesi) tai salaisia kysymys/vastaus-pareja
  • käytä kotikoneessakin henkilökohtaisia käyttäjätilejä
  • älä tallenna kotikoneesi selaimen muistiin työsovellusten salasanoja, ellet ole itse koneen ainoa järjestelmänvalvoja.

Turvalliset ja muistettavat tunnukset

Käyttäjätunnus ei ole salainen, se voidaan jopa näyttää julkisesti profiilissasi. Käytännöllisintä on käyttää käyttäjätunnuksena omaa sähköpostiosoitetta tai etunimen ja sukunimen yhdistelmää (etunimisukunimi). Joskus sähköpostiosoitteen käyttö on edellytyksenä, toisinaan taas käyttäjätunnukseen ei hyväksytä @-merkkiä. Kaksi erilaista käyttäjätunnusta on kuitenkin vielä helppo hallita. 

Salasanan tulee yleisimmin olla 8 merkkiä pitkä. Joissakin palveluissa on testeri, joka edellyttää salasanalta tiettyjä kriteereitä, kuten isot ja pienet kirjaimet tai numerot. Ota se huomioon omassa muistisäännössäsi. Jos on mahdollista, käytä aina vähintään kahdeksanmerkkistä salasanaa.
Hyvän ja helpon muistisäännön saa käyttämällä lausetta, jossa on joku numero ja maininta käytettävästä palvelusta.

Seuraavassa esimerkki Facebookin salasanaksi:
  • Palvelu: Facebook
  • lause “asuntoni on kaksi huonetta ja keittiö ” 
  • salasana = ao2hjKfa (alkukirjaimet, jossa viimeisen sanan kirjain olisi aina iso ja palvelun nimestä on otettu myös toinen kirjain sanan loppuun). 
Muistisäännön voit luoda myös vaikkapa pankkikorttisi nelinumeroisen PIN-koodin pohjalle (edellyttäen, että pankkisi ei vaihda tunnusta kortin uusimisen yhteydessä). Se on silloin ainoa, joka sinun pitää opetella ulkoa. Lisää tunnukseen johonkin kohtaan kaksi merkkiä, jotka voit päätellä ko. palvelusta. 

Esimerkki pankkikortin PIN-koodin pohjalta tehdystä salasanasta:
  • Palvelu: Facebook
  • Pankkikorttisi PIN: 1234
  • Salasana = F1234a12 (ensimmäinen kirjain isolla, PIN, toinen kirjain pienellä, PIN-koodin alku uudelleen, kunnes vaadittava merkkimäärä tulee täyteen)
Jos palvelu ei hyväksy salasanaan numeroita, käytä hyväksesi muistelemalla kännykän tekstinsyöttönäppäimistöä. Koska numerolla 1 ei kännykässä ole kirjainvastinetta, korvaa se vaikkapa isolla i-kirjaimella. Silloin tuo salasana olisi FIadgaIa.

Jos taas kaikkien merkkien tulee olla numeroita, tee päinvastoin (31234212). Sovi itsesi kanssa, kumpi kirjaimista merkitään isolla, mihin kohtaan kirjaimet sijoittuvat ja miten toimit, jos salasanan tuleekin olla 8 merkkinen.

Muistisääntöä voi käyttää myös kuukausittain vaihdettavissa tunnuksissa. Silloin voit palvelun nimestä saatavien kirjainten sijasta käyttää avuksi kalenteria. Muunna omalla tavallasi vuosiluvun viimeinen numero ja kuukausi kirjaimiksi. Lisää sitten nämä merkit omaan sääntöösi. Tällä vältyt siltä, että salasanatesteri hylkäisi salasanasi säännöllisen toistuvuuden perusteella.

Esimerkki:
  • Vuosiluku 2012 = kakkosen alapuolella oleva kirjain näppäimistössä (W)
  • Tammikuu = ykkösen alapuolella oleva kirjain näppäimistössä (Q) 
  • Marraskuu = ykkösen alapuolella oleva kirjain näppäimistössä pienellä kirjoitettuna (q)
Kun olet keksinyt oman salasanasääntösi, voit huoletta kirjoittaa säännön muistilapulle, sillä sen ytimenä olevan PIN-koodin opit muistamaan ulkoa. Älä siis kirjoita mihinkään tuota PIN-koodia! PIN-koodin sijasta voit toki käyttää mitä tahansa merkkisarjaa. 
Hyvä muistisääntö on sellainen, josta ulkopuolinen ei arvaa sääntöä, vaikka näkisi salasanan. Jos silloin yksi salasana hukkuisi, ei olisi pelkoa muiden salasanojen paljastumisesta.

Entä jos salasanaa ei voi muuttaa?

Niissäkin verkkopalveluissa, joissa salasanan muuttaminen haluamakseen ei ole mahdollista, on tarjolla linkki, josta unohtuneen salasanan voi tilata sähköpostiin. Usein tuo toiminto myös uusii salasanan. 

Salasanojen muistaminen ei ole ongelma, jos kone tai käyttäjätili on vain omassa käytössäsi. Kunhan koneelle kirjautuminen edellyttää henkilökohtaista salasanaa, voit käyttää hyväksesi selaimien tai sovellusten ominaisuutta muistaa muut kirjautumistunnuksesi. Salasanamuisti kirjautuu silloin oman koneesi henkilökohtaisen käyttäjätilin alle. Silloinkin tulee muistaa, että tietokoneen järjestelmänvalvojalla on pääsy henkilökohtaisiin tileihin.

Salasanojen hallintaan on kehitetty lukuisa joukko sovelluksia, jotka muistavat salasanat puolestasi. Ainakin ilmaiseksi tarjottaviin palveluihin on syytä suhtautua varauksella, toisaalta esimerkiksi kännykkään tallentava salasanapankki vaikuttaa hyvin houkuttelevalta. Kännykkähän kannattaa joka tapauksessa suojata pääsykoodilla. Jos kännykässä on päällä sellainen suojaus, jolla puhelimen muistin voi tyhjentää etänä, voisi pelkkä muistiosovelluskin olla mainio paikka vaikeasti muistettaville salasanoille. Tiedän aktiivikäyttäjiä, jotka tallentavat excel-tiedostoon kaikki salasanansa ja suojaavat tuon tiedoston ulkoa muistettavalla salasanalla.

Salasanat tekevät elämästä hankalaa

Tuo on varmasti totta, kunnes tietojärjestelmät kehittyvät myös tältä osin. Siihen suuntaan ollaan jo menossa, kun moniin palveluihin voi kirjautua esimerkiksi Facebookin tai Googlen tunnuksilla. Silloin on kuitenkin tiedostettava ja hyväksyttävä se, että tällaiset kytkökset keskittävät tiedonkeruuta internetkäytäytymistäsi entisestäänkin. Parempi vaihtoehto olisi riippumattoman Open ID-käytännön leviäminen verkkopalveluihin, mutta sen käyttöönotto näyttää olevan valitettavan takkuista.

Linkkejä

Ei kommentteja:

Lähetä kommentti