Maailman johtaviin kyberasiantuntijoihin lukeutuva WithSecuren tutkimusjohtaja Mikko Hyppönen opettaa tärkeän läksyn salasanoista. Hyppönen piti Redditissä kysy mitä vaan -tuokion ja yksi kysyjä mietti, parantaako salasanojen säännöllinen vaihtaminen oikeasti turvallisuutta.
– Ei ja sinun pitäisi lopettaa sen tekeminen, Hyppönen kuittasi.
Lue lisää: Mikko Hyppösen 5+2 helppoa vinkkiä: ”Siinä suojaudut muultakin kuin tietomurrolta”
Hyppösen mukaan salasanan vaihtamiseen ei ylipäätään ole tarvetta, ellei salasana ole vuotanut tai on syytä epäillä niin tapahtuneen.
– Salasanan vaihtamiseen pakottaminen pelkän vaihtamisen vuoksi ei paranna tietoturvaa, se itse asiassa saa ihmiset luomaan helposti arvattavia salasanoja, Hyppönen huomauttaa.
Samoilla linjoilla on ollut esimerkiksi Microsoft. Sen mukaan ihmiset turvautuvat uutta salasanaa valitessaan usein hyvin samankaltaiseen salasanaan, jossa on helposti ennustettava muutos vanhaan verrattuna. Toinen ongelma on, että uusi salasana saatetaan silti unohtaa.
Lue lisää: Kaikkien tuntemasta salasanaohjeesta on enemmän haittaa kuin hyötyä – ”antiikkinen ja vanhentunut”
Hyppösen mukaan yksi salasana on kriittisempi kuin mikään muu: sähköpostin salasana. Siitä tulee tehdä pitkä ja monimutkainen, ja useiden kotikäyttäjien kohdalla kyseessä on Googlen Gmail-palvelun salasana.
Gmailin salasana on avain muihinkin Googlen palveluihin, mutta se on vasta jäävuoren huippu. Hyppönen huomauttaa, että sähköpostejasi lukemalla hyökkääjän on mahdollista löytää vaikkapa verkkokauppaan rekisteröitymistä seurannut tervetuliaisviesti kymmenenkin vuoden takaa, jos viestejä ei ole itse poistanut.
”Kun Gmail-tilisi on murrettu, peli on ohitse.
– Nyt hyökkääjä tietää, että sinulla on tilejä tietyissä verkkokaupoissa ja että käyttäjätunnuksesi niihin on Gmail-osoitteesi, Hyppönen kirjoittaa.
Verkkokauppojen salasanoja hyökkääjä ei heti tiedä, mutta niiden selvittäminen on helppoa käyttämällä kauppojen tarjoamaa keinoa unohtuneen salasanan nollaamiseksi. Viestit sen tekemiseksi tulevat samaan Gmail-tiliin, jonka hyökkääjä on murtanut. Tämän vuoksi Gmailista on tullut yhden luukun kirjautuminen koko internetiin, Hyppönen kuvailee.
– Kun Gmail-tilisi on murrettu, peli on ohitse.
Hyppönen neuvoo valitsemaan sähköpostia varten pitkän salasanan, jota ei koskaan käytä missään muualla. Lisäksi kytke Gmailissa tai vastaavassa palvelussa päälle kaksivaiheinen tunnistus, joka edellyttää kirjautumisten varmistamista ylimääräisellä koodilla. Silloin hyökkääjä ei pötki pitkälle pelkällä sähköpostin salasanalla.
