G07ajkjG# – eihän tätä kukaan muista

Julkaistu:

Nettipalveluiden salasanarumba hirvittää jo tavallista käyttäjää. Tietoturva-asiantuntijoiden mukaan pelkistä salasanoista pitäisikin päästä jo eroon. Mitkä ovat vaihtoehdot?


– Haluaisin nähdä, että salasanat korvattaisiin jollain muulla, sanoo tietoturvayhtiö Tectian perustaja ja toimitusjohtaja Tatu Ylönen.

Ylösen mukaan hetkessä tämä ei kuitenkaan tapahdu.

– Tarve korvata salasanat on iso, mutta se tulee kestämään useita vuosia. Teknologioita, millä ne korvataan, tulee todennäköisesti olemaan useita. Kyseessä voi olla jonkinlainen salasana ja siihen yhdistettynä matkapuhelin, laite tai avainlukulista, hän arvioi.

Ylösen mukaan varsinkin pelkkien salasanojen käytöstä pitäisi luopua.

– Jopa ihmiset, joiden pitäisi tietää paremmin, kuten minä, käyttävät samoja salasanoja liian pitkään, huokaisee Ylönen.

Hyvä salasana
ei ole sana 


Ylönen muistuttaa, että hyvä salasana on vähintään kahdeksan merkkiä. Se sisältää suurin piirtein yhtä paljon isoja ja pieniä kirjaimia, lisäksi on oltava yksi tai kaksi erikoismerkkiä. Salasanasta ei saisi muodostua mitään tunnistettavia sanoja.

– Kovin monta tällaista salasanaa ei voi muistaa, myöntää Ylönen.

Helposti muistettavat salasanat ovat usein huonoja. Ylösen mukaan varsinkin sellaisia salasanoja, joissa on käytetty oikeita sanoja ja vaikkapa vuosilukuja pystytään yllättävän tehokkaasti murtamaan käyttäjien koneilta.

Viestintäviraston tietoturvayksikkö Cert-fi ohjeisti hiljattain, että hyvässä salasanassa pitäisi olla vähintään 15 merkkiä ja jokaisessa verkkopalvelussa pitäisi käyttää eri salasanaa.

– Jos salasanassa on käytetty oikeita sanoja, niin silloin 15 merkkiä. Jos on käytetty satunnaisia merkkejä, niin kahdeksan on vielä hyvä, vaikka alkaakin olla siellä alarajoilla, Ylönen arvioi.

It-asiantuntija Petteri Järvinen pitää tilannetta mahdottomana käyttäjän kannalta.

– Kun salasanat otettiin alunperin tietokoneissa käyttöön, niin ihmisellä oli vain yksi järjestelmä mihin hän kirjautui. Oli yksi käyttäjätunnus ja yksi salasana. Nyt kun nettipalveluita on käytössä kymmeniä, niin eihän se enää toimi. Joka paikkaan pitäisi olla vähintään 15 merkkiä pitkät salasanat ja vaihtaa säännöllisesti, sehän on täysin mahdotonta.

Matkapuhelin
avuksi 


Mitä sitten tilalle? Yksi keino on varmentaa salasana ja käyttäjätunnus vielä erikseen matkapuhelimen avulla.

Esimerkiksi hakukonejätti Google tarjoaa tileilleen kaksivaiheista vahvistusta, jolloin palveluun sisäänkirjautumiseen tarvitaan käyttäjänimen ja salasanan lisäksi matkapuhelinta, johon lähetetään tekstiviestitse tarvittava koodi.

– Jos siis joku varastaa tai arvaa salasanasi, tilin kaappaaja ei silti pääse kirjautumaan tiliisi, koska hänellä ei ole käytössään puhelintasi, Google toteaa verkko-ohjeissaan.

Petteri Järvisen mukaan mobiilitekniikan käyttö on hyvä asia ja lisää turvallisuutta. Vahva todennus kun vaatii vaatii salasanan lisäksi toisenkin tekijän.

Tectia puolestaan kauppaa Mobile ID -tuotetta, jossa käytetään myös hyväksi tekstiviestejä kännykkään. Kun palveluun kirjautuu, kännykkään tulee muutamassa sekunnissa flash-viestinä viisinumeroinen koodi, joka pitää syöttää palveluun normaalin salasanan lisäksi. Ylösen mukaan Tectian Mobile ID:n ovat ostaneet muun muassa Stockmann ja Sisu sekä Singaporen hallitus.

– Paitsi, että pitää tietää se salasana, pitää olla hallussa myös käyttäjän matkapuhelin, Ylönen sanoo.

Yrityksiä ratkaista asia ovat matkapuhelimien tekstiviestien lisäksi sim-kortteja hyödyntävät mobiilivarmenteet, älykortit siruineen, muut erilliset laitteet ja biotunnisteet.

– Mobillivarmenteet eivät käytännössä tänä päivänä toimi. Ne ovat liian vaikeita integroida järjestelmiin. Ne eivät toimi massoille, eivätkä tule toimimaan ainakaan seuraavan kolmen vuoden kuluessa, Ylönen arvioi.

Ylönen huomauttaa, että matkapuhelimien sim-kortteja ei yleensä vaihdella kuin ehkä 3–5 vuoden välein. Monissa palveluissa mobiilivarmennetta ei voi ottaa käyttöön ennen kuin ne ovat tarpeeksi laajalla joukolla käytössä.

HST-korttiin
käytettiin isot rahat


Suomessa pankit tarjoavat eri nettipalveluille maksusta tupas-tunnisteita, eli verkkopalveluun kirjautuessa käyttäjä ohjataan oman pankin tunnistautumissivulle, josta palaudutaan tunnistautumisen jälkeen takaisin verkkopalveluun.

– Eivät nekään ole kovin turvallisia, niissä on mahdollisuus väärään todentamiseen ja niitä voidaan myös urkkia, arvioi Järvinen.

Järvinen pohdiskelee myös sähköistä HST-älykorttia (henkilön sähköinen tunnistus). Järjestelmää kehitettiin Suomessa kymmenillä miljoonilla euroilla ja sillä tunnistautuminen hoituisi turvallisesti ja tehokkaasti. Älykortti vaatii kuitenkin tietokoneeseen erillisen lukijalaitteen.

– Kaksitoista vuotta hukkaan heitettyä kehitystä. HST-korttia käytetään edelleen jonkin verran julkishallinnon palveluissa, mutta käyttäjämäärät ovat ihan olemattomia.

Halpaa on
vaikea korvata
 

Järvinen arvelee, ettei salasanoista päästä täysin eroon pitkään aikaan. Ne ovat liian halpa menetelmä muihin verrattuna.

– Kun väärinkäytöksiä tulee yhä enemmän ja on yhä isommat taloudelliset arvot kyseessä, salasanojen käyttöön pitää kyllä miettiä vaihtoehtoja, hän sanoo. 

Järvinen arvelee, että mobiilitekniikka tulee ehkä olemaan tärkein väline tunnistuksen parantamisessa.

– Mobiililaite on ihmisillä aina mukana.

Kommentit

    Näytä lisää

    Näitä luetaan!
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Ventovieraiden tarjoama viina ei ollutkaan ilmaista – 1,5 vuotta myöhemmin valtio iski 17 000 euron laskun

    2. 2

      Huoli vanhustenhoivasta on poikinut yli 40 selvityspyyntöä kuolemista

    3. 3

      Uniperin osingot avittivat Fortumia tulosyllätykseen

    4. 4

      Kannattavuutta tehostavan Stora Enson tulos heikkeni – selvittää investointeja Tšekkiin ja Itävaltaan

    5. 5

      Attendon alkuvuosi on ollut ”varsin haastava”

    6. 6

      Microsoftin tulos ylitti selvästi odotukset

    7. 7

      Hoivajättejä vaadittiin panemaan asiat kuntoon – nyt ne kertovat, mitä on tehty

    8. 8

      Haisevien patjojen ongelmista lukuisia yhteydenottoja – Tukes: Terveysoireiden takia jopa lääkäriin

    9. 9

      Sijoittajilla huoli Nordean osinkopolitiikasta – myös Wärtsilän osake painuu

    10. 10

      Esperi Care pestasi saattohoidon huipun kehittämään työnsä laatua

    11. Näytä lisää
    1. 1

      Ventovieraiden tarjoama viina ei ollutkaan ilmaista – 1,5 vuotta myöhemmin valtio iski 17 000 euron laskun

    2. 2

      Huoli vanhustenhoivasta on poikinut yli 40 selvityspyyntöä kuolemista

    3. 3

      Haisevien patjojen ongelmista lukuisia yhteydenottoja – Tukes: Terveysoireiden takia jopa lääkäriin

    4. 4

      Uniperin osingot avittivat Fortumia tulosyllätykseen

    5. 5

      Kannattavuutta tehostavan Stora Enson tulos heikkeni – selvittää investointeja Tšekkiin ja Itävaltaan

    6. 6

      Microsoftin tulos ylitti selvästi odotukset

    7. 7

      Attendon alkuvuosi on ollut ”varsin haastava”

    8. 8

      EU kiistelee omasta ehdokkaasta: ”Vakaa ja pätevä ja mahdollistaa IMF:n pysymisen eurooppalaisissa käsissä”

    9. 9

      G7-maat: Teknojäteille veroja, Facebookin librasta ”vakava huoli”

    10. 10

      Tiedon tulos laskussa – liikevaihto ennallaan

    11. Näytä lisää
    1. 1

      Maatila myynnissä, lähtöhinta euron – tällaisia asumuksia Suomesta saa pikkurahalla

    2. 2

      36 eduskunnan ulkopuolelle jäänyttä löysi käyttöä sopeutumisrahalle – katso, ketkä kaikki hakivat kansanedustajan tilapäistä työttömyysturvaa

    3. 3

      Helsingissä mainostetaan Kallioon avautuvaa viinikauppaa – viranomaisen mukaan kekseliäs idea ei riko Alkon monopolia

    4. 4

      Taksiuudistus lopetti päivystysvelvollisuuden, eteläsavolainen taksiyrittäjä äimistelee kuljettajien reaktiota: ”Menkööt sitten tehtaalle töihin”

    5. 5

      Lukijat paljastivat omat nuukailu­menetelmänsä – Tiskitablettien pilkkomiselle rutkasti vastakaikua

    6. 6

      ”Markalla Mallorcalle, kahdella Kanarialle!” – tällainen oli Keihäsmatkat perustanut ja seksikylää Kihniöön suunnitellut yrittäjälegenda

    7. 7

      Näin ex-kansanedustajat hyödyntävät sopeutumisrahansa – opiskelua, mietiskelyä, sairaan äidin hoitamista...

    8. 8

      Sotilaskotiliitto pahastui, kun yrittäjä myi ”Sotkun munkkeja” ilman lupaa – nyt munkkivaunu seisoo torilla tyhjillään

    9. 9

      Tiskitabletit puoliksi ja hernekeiton herneet uusiokäyttöön – Miksi säästävää nuukailua pidetään nolona?

    10. 10

      Näin asennetaan paskalain vaatima jätevesi­järjestelmä – katso kuvat urakasta vaihe vaiheelta

    11. Näytä lisää