Insinööri-lehti

Vaihda usein, älä vilauttele

Kansainväliset tutkimukset ja luvut kertovat karua sanomaa: vuosittain miljardeja käyttäjätunnuksia ja salasanoja joutuu vääriin käsiin. Vuonna 2017 tehtiin tietomurroista tutkimus, jossa tutkittiin 338 erilaista tietomurtotapausta ympäri maailman. Kävi ilmi, että näissä tapauksissa yhteensä reilu kymmenen miljardia käyttäjätunnusta ja salasanaa oli saatu hakkeroimalla haltuun.

Suomessa tietomurtoja tapahtuu samaan tahtiin kuin muualla maailmassa, mutta ajantasaista tilastotietoa on saatavilla toistaiseksi heikommin. Viestintäviraston mukaan yksityishenkilöiden viisi yleisintä tietoturvauhkaa vuonna 2017 olivat kiristysohjelmat, yksityisyys, älylaitteiden ailahteleva tietoturva, ihmisten herkkäuskoisuus sekä heikot salasanat.

Näistä ei-niin-hilpeistä asioista voi siirtyä siihen, mitä ongelmalle voi tehdä.

Oppi ei kaatunut ojaan, vaan heräsin tarkastelemaan omia salasanakäytäntöjäni. Olen mukavuudenhaluinen ja innostunut it:n kuluttaja, joten foliohattu ei jatkossakaan istu päähäni. Terveestä itsesuojeluvaistosta ei liene kuitenkaan haittaa.

Kyberrikosten toteuttaminen ei enää vaadi päätähuimaavaa teknistä osaamista. Ei tarvitse olla kovakaan koodari, mutta harrastuneisuus ja taipuvuus rikollisuuteen katsotaan eduksi. Ja jos et halua koodata, löytyy netistä valmiita, ilmaisia ja melko helppokäyttöisiä sovelluksia, jotka saattavat sisältää ihan toimivan asiakastuenkin.

Hyvä muistisääntö salasanoihin liittyen on: “Password is like your underware, change often and never share”. Eli salasanaa pitää ajatella kuin alusvaatteita, niitä pitää vaihtaa usein eikä vilautella toisille. Ja kun maailma on kylmä paikka, kannattaa vielä suosia sekä pitkiä kalsareita että pitkiä salasanoja.

Viestintäviraston suosituksen mukaan turvallinen salasana on vähintään 15 merkkiä pitkä. Tuo voi tuntua tuskaiseltakin toteuttaa, mutta olen ratkaissut hankaluuden yhdistelemällä kahta eri sanaa tai käyttämällä lyhyttä lausetta, jotka yleensä liittyvät käytettävään palveluun.

Monimutkaisuutta salasanaan tuovat kirjoitusvirheet ja slangisanat. Hakkereilla on käytössään erilaisia tauluja ja sanastoja. Tällöin normaaleihin sanoihin pohjautuvat salasanat ovat vaarassa ensimmäisenä. Valitettavasti yksittäisten kirjainten korvaaminen samanmuotoisilla numeroilla tai erikoismerkeillä ei hakkerin suoritusta juuri hidasta.

Lisää turvallisuutta voi hakea monissa palveluissa tarjolla olevalla tunnistautumisen kaksivaiheisella vahvistuksella, ammattikielellä 2FA:lla. Kaksivaiheinen vahvistus tarkoittaa käytännössä sitä, että kirjautuminen ei ole pelkästään
salasanan varassa. Lisäksi voi olla esimerkiksi kertakäyttöinen, tekstiviestillä tilattava pin-koodi tai biometrinen tunnistautuminen, kuten sormenjälki.

Tuplavarmennus tulee käyttöön silloin, kun palveluun kirjaudutaan sille entuudestaan uudella laitteella. Tätä tunnistautumista tarjoavat ainakin Google, Apple, Microsoft, Facebook ja PlayStation. Mitä tärkeämpi palvelu, sitä enemmän kannattaa panostaa salasanaan ja lisävarmistuksiin.

Tietosuojan tärkeydestä ei puhuta turhaan. Jokainen nettiin kytkeytynyt on vaarassa, kaikki salasanasuojaukset voidaan hakkeroida. Erittäin kyvykäs hakkeri murtaa suojatun, suolatun ja tiivisteen sisältämän salasanan alle kuudessa tunnissa. Normisalasanan avaaminen on vain sekuntien haaste.

Voin vakuuttaa, että salasanan kuukausittainen pähkäileminen ja pin-koodien tilailu on vaivan arvoista. Hakkerin elämä kannattaa tehdä hankalaksi. Jo salasanan pidentäminen ja monimutkaistaminen parantavat turvallisuutta. Viimeistään kirjautumisen kaksivaiheinen vahvistus latistaa hakkerin tunnelman.

Turha pelko pois, käytetään reippaasti kaikkia erilaisia palveluja, joita atk-jumalat meille suovat. Mutta ei suin päin, muistetaan pitkät kalsarit ja 2FA.

Tuire Siitonen
Insinööriliiton järjestelmäasiantuntija