Aukkoja verkkopalveluissa - Digitoday - Ilta-Sanomat

Ketä salasanavuodosta voi syyttää?

Viime viikonlopun salasanasotkusta on turha tyytyä syyllistämään vain niitä, joiden salasanat ovat verkkoon vuotaneet, vaikka käyttäjienkin on katsottava peiliin.

18.10.2007 8:10 | Päivitetty 17.10.2007 23:39

Tuhansien suomalaisten yhteisösivustojen käyttäjien tunnuksia ja salasanoja vuoti viikonloppuna verkkoon.

Salasanoihin pitää suhtautua vakavuudella ja niitä pitää vaihdella usein, se on selvä. Jos käyttää yhtä ja samaa salasanaa kaikkiin mahdollisiin palveluihin, ottaa riskin. Mikäli salasana joutuu vääriin käsiin, samalla menee pääsy useaan palveluun ja tunnusten väärinkäytön mahdollisuudet kasvavat.

Harvalla riittää motivaatio aina vain uusien salasanojen opettelemiseen ja mieleen painamiseen, vaikka pitäisi. On olemassa raja sille, miten pitkiä merkkijonoja ihminen pystyy mieleensä painamaan; paljon sitä ennen tulee kuitenkin vastaan raja sille, miten paljon ihminen viitsii edes yrittää muistaa.

Onneksi salasanojen mieleen painamiseen ja hallintaan on muistisääntöjä ja muita keinoja. Alkuun pääsee vaikkapa Wikihow’n ja Noppawaren avulla.

Varsinaisia syyllisiä salasanasotkuun ovat tietysti ne, jotka ovat hankkineet listat ja julkaisseet ne verkossa. Heitä etsii keskusrikospoliisi. Tietoturva-asiantuntijoiden konsensus tuntuu olevan, että salasanalistan haaliminen ei vaatinut suurta osaamista.

Vastuussa ovat myös ne, jotka ovat ylläpitäneet turvattomia verkkopalveluja. Voi kysyä, miksi esimerkiksi CERT-FI:n sivuilla mainitut Bat.org, Battlefield.fi, Kiekkoliiga.net, Mesenet-galleria.com, Rakkausrunot.fi ja Voitta.net eivät huolehtineet paremmin palvelujensa tietoturvasta ja omista käyttäjistään.

CERT-FI sanoi alkuviikosta, että haavoittuvilla phpBB-, Wordpress- ja SMF (Simple Machines Forum) -ohjelmistoversioilla toteutettuja yhteisöverkkopalveluita on Suomessa käytössä vielä ”huomattava määrä”. Toivottavasti ne, jotka tästä huomattavasta määrästä vastaavat, ovat ottaneet onkeensa.

Yhteisösivustojen käyttäjät päivittävät toivottavasti nyt salasanakäytäntönsä ja harkitsevat varmaankin, mihin palveluihin vastaisuudessa luottavat. Vaikka minkälaisen salasanahirviön itselleen kehittäisi, sillä ei ole merkitystä, jos palvelun tietoturva pettää.

Valitettavasti vain juuri niin taitaa yhä useammin käydä; verkkopalvelujen haavoittuvuuksien hyväksikäyttö ei ole ainakaan vähenemään päin.

Osion tuoreimmat

Luitko jo nämä?