Salasanoista
Yle Kioski julkaisi 28.1.2015 netissä jutun Tarinoita salasanojen taustalla: “Ihmiset ovat ihmetelleet, kenen miehen nimi on salasanassani”, johon oli kerätty ihmisten salasanojen muodostamisiin liittyviä tarinoita.
Ensimmäinen tarinoista on pelottava. Siinä tarinan lähettänyt lukija kertoo, että käyttää käytännössä samaa salasanaa kaikkialla ja että sen on alun perin keksinyt vuonna 1996 nettiliittymän tietokoneeseen asentanut mieshenkilö. Pahinta tarinassa on kohta “Ihmiset, joille olen salasanani kertonut, ovat ihmetelleet, miksi salasanassani on miehen nimi ja kuka tämä mies on.”
EEEIIII NÄIN!
Salasanoja ei koskaan pidä kertoa muille. Edes työpaikan, pankin tai muun vastaavan organisaation tietohallinto ei koskaan tarvitse käyttäjien henkilökohtaisia salasanoja, vaan ylläpitäjät pääsevät kaikkiin tietoihin käsiksi erillisellä pääkäyttäjän salasanallaan. Salasanat ovat salassapidettävä asia eivätkä kahvipöytäkeskustelun aihe.
Salasanaansa ei siis saa kertoa yhtään kenellekään. Ei varsinkaan silloin, jos käyttää samaa salasanaa sähköpostiin, Facebookiin ja työpaikan tietojärjestelmiin. Jos yksikin palveluista murretaan ja siellä käytetty salasana päätyy rikollisen tai muutoin pahaa haluavan käsiin, on identiteettivarkaus todella helppo toteuttaa. Toisen ihmisen elämän voi pilata netissä hyvinkin helposti lukitsemalla oikean omistajan ulos palveluista ja käyttämällä tunnuksia vahingollisten viestien lähettelyyn.
Suositukseni salasanojen hallinnointiin
Vielä ei olla tilanteessa, jossa jokaiseen nettipalveluun kirjauduttaisiin kaksivaiheisella kirjautumisella. Salasanojen käyttö on siis vielä väistämätöntä, joten ihmiset käyttävät sellaista salasanaa, jonka muistavat helposti. Toisin sanoen siis samaa salasanaa kaikkialla.
Suosittelen ottamaan käyttöön salasanamanageriohjelman. Se on ohjelma, joka luo jokaiseen palveluun oman salasanansa, esimerkiksi yli 20 merkkiä pitkän satunnaisen merkkijonon, ja muistaa ne käyttäjän puolesta. Käyttäjän tarvitsee muistaa vain yksi ainut salasana – se jolla managerointiohjelmaan kirjaudutaan!
Vaihtoehtoja ohjelmaksi on useita. Esimerkiksi seuraavat ovat suosittuja:
Kaikista mainituista ohjelmista löytyy toiminto, jonka avulla nettisivustoille voi kirjautua automaattisesti yhdellä klikkauksella tai pikanäppäimellä, kunhan salasanamanageriin on kirjauduttu sisälle sen omalla salasanalla.
Kaksi jälkimmäistä ohjelmaa, LastPass ja F-Secure Key, ovat sellaisia, joista kuukausimaksua maksamalla saa käyttöönsä salasanatietokannan automaattisen synkronoinnin eri laitteiden välillä.
Lisäturvaa saa myös manageriohjelmien mahdollisuuksista käyttää kertakäyttöisiä tunnuslukulistoja nettipankkien tyyliin. Kannattaa kuitenkin tutustua eri vaihtoehtoihin ja valita itselleen ominaisuuksiltaan sopivin vaihtoehto. Joka tapauksessa mikä tahansa salasanamanageri turvallisemmalla kirjautumissalasanalla on parempi vaihtoehto kuin käyttää samaa salasanaa kaikkialla!
Salasanapalvelujen suhteen olen vanha jäärä ja foliohattu istuu liian tiukasti päässä. Myönnän kyllä, etten ole palveluihin sen kummemmin tutustunut ja tietoturvaa varmasti tarkkaillaan jatkuvasti (onhan se heidän elinehtonsa), mutta epätodennäköisen vuodon sattuessa seuraukset olisivat aika makoisat. Toisaalta tuppaan usein myös jättämään koneen auki, joten fyysisen laitteen kadotessa vorolla voisi olla ainakin hetki aikaa hyödyntää yhden klikkauksen kirjautumista – joskaan laitevorolla tuskin on ensisijaisena aikomuksena tällainen kaltaisteni tavallisten pulliaisten suhteen, vaan pikemminkin vain laitteen vaihtaminen rahaksi.
Nykyisellään salasanani eri palveluissa ainakin yleisimmin käytettyjen osalta vaihtelevat jonkin verran, joten ulkopuolinen ei yhden salasanani selvittämisellä kovin pitkälle pötki, mutta jonnekin kuitenkin. Yksi vaihtoehto, johon olen suunnitellut siirtyväni, on pitää sama salasana, mutta sisällyttää jokaiseen myös osuus, joka on jokaiselle palvelulle erilainen. Vaikka monesti haalittuja käyttäjätunnus-salasana-pareja vain tuputetaan massoittain ohjelmallisesti suoraviivaisesti muihin palveluihin lottovoittojen toivossa, en kuitenkaan päättelykyvyn omaavan onnenonkijan tai hieman sivistyneemmän päättelysäännön omaavan automaattikirjautujan pelossa nimeäisi salasanoja kuitenkaan tyyliin “cdon_kissa2” ja “google_kissa2”, vaan ajattelin merkkiruudukkokorttia, jota käyttäen kulloisenkin palvelun nimen voisi koodata vähemmän selväksi. Se, miten korttia luetaan, pysyisi toki vain oman pään sisällä. Myös lisäosan sijainti, salasanan kirjoitussuunta tai jokin muu riittävän vaivattomasti ajateltava seikka kokonaisessa salasanassa voisi määräytyä käytettävän palvelun ja kortin perusteella, jolloin kahden eri palvelun salasanan paljastuminen ei ihan niin ilmeisesti paljastaisi salasanasta kiinteää ja vaihtuvaa osaa.
Kortin, joka yksin vaikuttaa ulkopuoliselle kovin sattumanvaraiselta ja hyödyttömältäkin, on toki hyvä löytyä riittävän monesta paikasta hukkumisten (varkauden ohessa tapahtuva katoaminen, tulipalo..) ja toisaalta helppokäyttöisyyden/tavoitettavuuden kannalta. Muiden varmuuskopiopaikkojen ohella suunnittelin lompakkoa (mukana matkoilla), pikanapilla ruudulle välähtävä kuvajainen ilman koodaukseen liittyvää toiminnallisuutta (mukavasti käsillä pääsääntöisesti käyttämälläni koneella) ja ehkäpä jopa tarvittaessa selaimella tavoitettava versio niitä harvoja kertoja varten, kun lompakko ei syystä tai toisesta ole mukana.
Oman aikaansaamattomuuteni lisäksi toteutus on jäänyt seisomaan lopullisen päätöksen puutteen takia. Kiinteää osuuttakin salasanasta olisi hyvä vähän myllätä, muttei kuitenkaan siten, että se liiaksi vaivaa ajatuksia tai muistia. Toisaalta kyseessä on myös sen verran suuri urakka, että käytetystä menetelmästä haluaisi kerralla varmasti riittävän hyvän.