G07ajkjG# – eihän tätä kukaan muista

Julkaistu:

Nettipalveluiden salasanarumba hirvittää jo tavallista käyttäjää. Tietoturva-asiantuntijoiden mukaan pelkistä salasanoista pitäisikin päästä jo eroon. Mitkä ovat vaihtoehdot?


– Haluaisin nähdä, että salasanat korvattaisiin jollain muulla, sanoo tietoturvayhtiö Tectian perustaja ja toimitusjohtaja Tatu Ylönen.

Ylösen mukaan hetkessä tämä ei kuitenkaan tapahdu.

– Tarve korvata salasanat on iso, mutta se tulee kestämään useita vuosia. Teknologioita, millä ne korvataan, tulee todennäköisesti olemaan useita. Kyseessä voi olla jonkinlainen salasana ja siihen yhdistettynä matkapuhelin, laite tai avainlukulista, hän arvioi.

Ylösen mukaan varsinkin pelkkien salasanojen käytöstä pitäisi luopua.

– Jopa ihmiset, joiden pitäisi tietää paremmin, kuten minä, käyttävät samoja salasanoja liian pitkään, huokaisee Ylönen.

Hyvä salasana
ei ole sana 


Ylönen muistuttaa, että hyvä salasana on vähintään kahdeksan merkkiä. Se sisältää suurin piirtein yhtä paljon isoja ja pieniä kirjaimia, lisäksi on oltava yksi tai kaksi erikoismerkkiä. Salasanasta ei saisi muodostua mitään tunnistettavia sanoja.

– Kovin monta tällaista salasanaa ei voi muistaa, myöntää Ylönen.

Helposti muistettavat salasanat ovat usein huonoja. Ylösen mukaan varsinkin sellaisia salasanoja, joissa on käytetty oikeita sanoja ja vaikkapa vuosilukuja pystytään yllättävän tehokkaasti murtamaan käyttäjien koneilta.

Viestintäviraston tietoturvayksikkö Cert-fi ohjeisti hiljattain, että hyvässä salasanassa pitäisi olla vähintään 15 merkkiä ja jokaisessa verkkopalvelussa pitäisi käyttää eri salasanaa.

– Jos salasanassa on käytetty oikeita sanoja, niin silloin 15 merkkiä. Jos on käytetty satunnaisia merkkejä, niin kahdeksan on vielä hyvä, vaikka alkaakin olla siellä alarajoilla, Ylönen arvioi.

It-asiantuntija Petteri Järvinen pitää tilannetta mahdottomana käyttäjän kannalta.

– Kun salasanat otettiin alunperin tietokoneissa käyttöön, niin ihmisellä oli vain yksi järjestelmä mihin hän kirjautui. Oli yksi käyttäjätunnus ja yksi salasana. Nyt kun nettipalveluita on käytössä kymmeniä, niin eihän se enää toimi. Joka paikkaan pitäisi olla vähintään 15 merkkiä pitkät salasanat ja vaihtaa säännöllisesti, sehän on täysin mahdotonta.

Matkapuhelin
avuksi 


Mitä sitten tilalle? Yksi keino on varmentaa salasana ja käyttäjätunnus vielä erikseen matkapuhelimen avulla.

Esimerkiksi hakukonejätti Google tarjoaa tileilleen kaksivaiheista vahvistusta, jolloin palveluun sisäänkirjautumiseen tarvitaan käyttäjänimen ja salasanan lisäksi matkapuhelinta, johon lähetetään tekstiviestitse tarvittava koodi.

– Jos siis joku varastaa tai arvaa salasanasi, tilin kaappaaja ei silti pääse kirjautumaan tiliisi, koska hänellä ei ole käytössään puhelintasi, Google toteaa verkko-ohjeissaan.

Petteri Järvisen mukaan mobiilitekniikan käyttö on hyvä asia ja lisää turvallisuutta. Vahva todennus kun vaatii vaatii salasanan lisäksi toisenkin tekijän.

Tectia puolestaan kauppaa Mobile ID -tuotetta, jossa käytetään myös hyväksi tekstiviestejä kännykkään. Kun palveluun kirjautuu, kännykkään tulee muutamassa sekunnissa flash-viestinä viisinumeroinen koodi, joka pitää syöttää palveluun normaalin salasanan lisäksi. Ylösen mukaan Tectian Mobile ID:n ovat ostaneet muun muassa Stockmann ja Sisu sekä Singaporen hallitus.

– Paitsi, että pitää tietää se salasana, pitää olla hallussa myös käyttäjän matkapuhelin, Ylönen sanoo.

Yrityksiä ratkaista asia ovat matkapuhelimien tekstiviestien lisäksi sim-kortteja hyödyntävät mobiilivarmenteet, älykortit siruineen, muut erilliset laitteet ja biotunnisteet.

– Mobillivarmenteet eivät käytännössä tänä päivänä toimi. Ne ovat liian vaikeita integroida järjestelmiin. Ne eivät toimi massoille, eivätkä tule toimimaan ainakaan seuraavan kolmen vuoden kuluessa, Ylönen arvioi.

Ylönen huomauttaa, että matkapuhelimien sim-kortteja ei yleensä vaihdella kuin ehkä 3–5 vuoden välein. Monissa palveluissa mobiilivarmennetta ei voi ottaa käyttöön ennen kuin ne ovat tarpeeksi laajalla joukolla käytössä.

HST-korttiin
käytettiin isot rahat


Suomessa pankit tarjoavat eri nettipalveluille maksusta tupas-tunnisteita, eli verkkopalveluun kirjautuessa käyttäjä ohjataan oman pankin tunnistautumissivulle, josta palaudutaan tunnistautumisen jälkeen takaisin verkkopalveluun.

– Eivät nekään ole kovin turvallisia, niissä on mahdollisuus väärään todentamiseen ja niitä voidaan myös urkkia, arvioi Järvinen.

Järvinen pohdiskelee myös sähköistä HST-älykorttia (henkilön sähköinen tunnistus). Järjestelmää kehitettiin Suomessa kymmenillä miljoonilla euroilla ja sillä tunnistautuminen hoituisi turvallisesti ja tehokkaasti. Älykortti vaatii kuitenkin tietokoneeseen erillisen lukijalaitteen.

– Kaksitoista vuotta hukkaan heitettyä kehitystä. HST-korttia käytetään edelleen jonkin verran julkishallinnon palveluissa, mutta käyttäjämäärät ovat ihan olemattomia.

Halpaa on
vaikea korvata
 

Järvinen arvelee, ettei salasanoista päästä täysin eroon pitkään aikaan. Ne ovat liian halpa menetelmä muihin verrattuna.

– Kun väärinkäytöksiä tulee yhä enemmän ja on yhä isommat taloudelliset arvot kyseessä, salasanojen käyttöön pitää kyllä miettiä vaihtoehtoja, hän sanoo. 

Järvinen arvelee, että mobiilitekniikka tulee ehkä olemaan tärkein väline tunnistuksen parantamisessa.

– Mobiililaite on ihmisillä aina mukana.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Lomarahoista pois kolmannes: katso, kuinka leikkuri iskee tuloihin

    2. 2

      Palkansaajien reaaliansiot laskivat alkuvuonna – ”Kiky toimii!”

    3. 3

      Lomarahojen leikkaus kiukuttaa työntekijöitä: ”Ihmisiä ahdistetaan nyt joka taholta”

    4. 4

      Asuntokaupoilla ”13 ensimmäistä sekuntia ratkaisee – ainakin itse miettisin, mikä täällä mättää”

    5. 5

      Joka kolmas nuori asuntovelkainen ei tiedä oman lainansa keskeistä lukua

    6. 6

      BMW:n tuotanto osin pysähtynyt jo kolmessa maassa

    7. 7

      ”Miksi kotitalous ei saisi hyötyä asuntojen hintojen noususta?” – Nordea vastustaa lainakaton kiristyksiä

    8. 8

      Saksalaisoikeus päätti: Sony saattaa sittenkin loukata suomalaisen SSH:n patenttia

    9. 9

      Ruotsin talouskasvu hidastui ja jäi odotuksista

    10. 10

      Maineikkaan tanssipaikan yrittäjä pelkää pakkohuutokaupan vievän lattian alta – ”Tähän on niin sielunsa antanut”

    11. Näytä lisää
    1. 1

      Lomarahoista pois kolmannes: katso, kuinka leikkuri iskee tuloihin

    2. 2

      Maineikkaan tanssipaikan yrittäjä pelkää pakkohuutokaupan vievän lattian alta – ”Tähän on niin sielunsa antanut”

    3. 3

      BMW:n tuotanto osin pysähtynyt jo kolmessa maassa

    4. 4

      Palkansaajien reaaliansiot laskivat alkuvuonna – ”Kiky toimii!”

    5. 5

      Asuntokaupoilla ”13 ensimmäistä sekuntia ratkaisee – ainakin itse miettisin, mikä täällä mättää”

    6. 6

      Lomarahojen leikkaus kiukuttaa työntekijöitä: ”Ihmisiä ahdistetaan nyt joka taholta”

    7. 7

      Irkut MC-21 teki ensilentonsa – ensimmäinen iso venäläinen matkustajakone sitten Neuvostoliiton hajoamisen

    8. 8

      Professori: Tästä asuntovelallisten riskistä vaietaan Suomessa

    9. 9

      Työeläkkeelle jäi ennätysmäärä väkeä – keskieläke 1 771 euroa

    10. 10

      Joka kolmas nuori asuntovelkainen ei tiedä oman lainansa keskeistä lukua

    11. Näytä lisää
    1. 1

      Professori: Tästä asuntovelallisten riskistä vaietaan Suomessa

    2. 2

      Lomarahoista pois kolmannes: katso, kuinka leikkuri iskee tuloihin

    3. 3

      Yle: Ravintolan käsittämätön ”kokeilu” paljastui Lahdessa – kaikilla työntekijöillä palkka 0 euroa

    4. 4

      Globaali autoilmiö on jättipotti suomalaisyritykselle – isot rekrytoinnit alkavat ensi vuoden puolella

    5. 5

      Maineikkaan tanssipaikan yrittäjä pelkää pakkohuutokaupan vievän lattian alta – ”Tähän on niin sielunsa antanut”

    6. 6

      Hypo: Uusi ilmiö uhkaa Suomen asuntomarkkinoilla – nollan asunnon loukku

    7. 7

      Liki 60-vuotias sihteeri löysi piilotyöpaikan – viisi vinkkiä täsmähakuun

    8. 8

      Tutkimus vahvisti: suomalainen keksintö auttaa tupakoinnin lopettamisessa – kyselyjä tulvii Suomesta ja maailmalta

    9. 9

      Ehdotus: Eläkeikä pitäisi nostaa vähintään 70 vuoteen

    10. 10

      Johtaja yllättyi Kyösti Kakkosen hyökkäyksestä – toivoo, ettei edusta Suomen yrityskulttuuria

    11. Näytä lisää