Skip to main content

 



Tämä on tiedostettua että ihminen ei voi muistaa ainakaan yli 10 salasanaa. Se on mahdottomuus, en edes minäkään. On PIN-koodeja pankkikorttiin, mobiilivarmenteen tunnuslukuja, salasanoja verkkopankkiin, sähköpostiin ja vielä tänne yhteisöön. Siinä jo tuli 5 eri mitä ainakin osa on jo lukijoilla käytössä. Nämä vielä pystyy muistamaan mutta sitten tulee sosiaalisen median tilit yms. Nyt alkaa olemaan jo käyttössä samoja salasanoja! Tässä ongelmana on se että jos johonkin palveluntarjoajan palveluun murtaudutaan ja viedään salasanat, ovat ne rikollisen käsissä. Näin on jo tapahtunutkin, esimerkiksi Yahoo:n tai Adoben tapaus. En lähde saarnaamaan koska se ei muuta tilannetta vaan tiedostetaan riskit ja etsitään miellyttävä ratkaisu, kultainen keskitie.



 



Itsellä tosiaan salasanani varastettiin Adoben murrossa jo vuonna 2013. Minua suojasi murrossa kaksivaiheinen kirjautumiset tärkeimmissä verkkopalveluissa mutta moni verkkopalveluun olisi pääsy silti ollut. Vasta vähän reilu vuosi sitten lähdin käyttämään salasanan hallintatyökalua ja vaihtamaan salasanoja noin 100:n verkkopalveluun. En edes tiedostanut aikaisemmin kuinka monta käyttäjätunnusta siis oli minulla saman salasanan takana aikaisemmin.



 



On turha käskeä tekemään 16-merkkistä salasanaa ihme erikoismerkeillä, joka pitää vaihtaa 30 päivän välein. Näin ei voi toimia, tämä ei ole ratkaisu sillä se salasana on sielä paperilla jossakin työpöydän laatikossa. En edes itsekään pystyisi tähän niin en usko että kukaan muukaan. Luo salasanasta sellainen jonka muistat mutta kukaan muu ei muista. Yksinkertaista? Noh ei ihan joten suosittelen käyttämään salasana hallintatyökaluja ja kaksivaiheista tunnistautumista (2FA):ta. Näillä pääsee pitkälle. 



 



Suosittelen kaikkia tutustumaan tarkemmin blogini artikkeliin täälä: https://mt-tech.fi/salasana-miten-tanapaivana/



 



 



 

Hyvä ja tärkeä aihe @olkitu!



 



Salasanoihin ei voi kiinnittää liikaa huomiota. Itse ainakin olen laiska keksimään kymmeniin ja kymmeniin palveluihin uusia uniikkeja salasanoja. Pitäisi kyllä. Ja niitä pitäisi myös päivittää. Kaikki vinkit asian tiimoilta on enemmän kuin tervetullutta.


Myöskin ei kannata tehdä liian vaikeaksi salasanojen kanssa. Vaan käyttää kaksivaiheista tunnistautumista ja salasanan hallintatyökaluja. Näin pääsee paljon helpommalla ja turvallisemmin kuin kirjoittaa ihme salasanaa paperille.



 



Yrityksille muistutuksena ettei salasanaa kannata pakottaa vaihtamaan 30 päivän välein sillä ei sitä kukaan muista ja se on paperilla työpöydän laatikossa. Pakottakaa mielummin kaksivaiheinen kirjautuminen.


Totta @TeroRe!



 



Nykyisin on yleistynyt myös esim. Facebook- ja Google-tunnuksella kirjautuminen palveluihin, joka on mielestäni näppärää. Joissakin arkaluontoisissa palveluissa (mm. laina) käytän pelkästään mobiilivarmennetta ja/tai pankkitunnistautumista ja muutamalla sivustolla on käytössä kaksivaiheinen tunnistautuminen.



 



Aikoinaan loin kryptatun salasanalistan jonka avulla muistin parhaiten. Nykyään käytän F-secure Key -sovellusta tarvittaessa mikäli muisti pettää. Muutamissa paikoissa käytän selaimen salasanan hallintatyökalua jotka eivät ole niinkään tärkeitä kohteita eikä salasanoilla pääse käsiksi muihin palveluihin. Loppujen lopuksi onneksi on olemassa "Unohditko salasanan?" :smileyvery-happy:


Niinpä @olkitu. Ei kannata tosiaan vaikeaa salasanaa tehdä. Useissa palveluissa tosiaan vaaditaan vähintään 8 merkkiä, joista vähintään 1 isolla kirjaimella ja 1 numerolla. Joissakin pitää olla lisäksi erikoismerkki.


@Sekunti muistathan varmistaa että kukaan muu ei voisi käyttää tätä "Unohditko salasanan?" vaihtoehtoa eli suojata hyvin sähköpostinkin. Suurinosa palveluista tukevat tätä kaksivaiheisuutta hyvin mutta tulee muistaa että tekstiviestillä tämä ei välttämättä ole turvallista Suomen ulkopuolella sillä viestithän ovat salaamattomia. Lisäksi niiden saaminen on välillä epäluotettavaa joten suosittelen noihin kertakäyttökoodin generointityökalua kuten Google Authenticator tai Authy.



 



F-Secure keys on osittain kätevä ja itse testannut mutta harmillisesti on puutteellinen sillä ei sisällä esimerkiksi ryhmittäytymistä. Tarkoitatko salasanalistalla että sinulla 2-5 salasanaa jota kierrätät palveluissa? Vaikka tärkeysasteen mukaisesti?


Joo, sähköpostit on aika hyvin suojattu. Lisäksi tulee ilmoitus toiseen sähköpostiin ja puhelimeen mikäli kirjaudutaan tuntemattomasta selaimesta.



 



Salasanalistallani on 2-5 salasanaa, joita kierrätän ja muutamien kuukausien välein vaihdan uuteen salasanaan. Sitten on lisäksi huomaamaton viittaus mihin se kuuluu, mutta ei voi yhdistää tiettyyn sivustoon. Näiden lisäksi on hyvä pitää tietokoneen päivitykset ja tietoturva ajantasalla :smileyhappy:


Itselläni on ollut tapana käyttää erästä lausetta josta muodostan salasanan, käyttäen pieniä/isoja kirjaimia, numeroita sekä erikoismerkkejä. Sitä sitten tarpeen vaatiessa muokataan aina hieman, aina olen muistanut salasanat. Tiedä sitten onko hyvä vai huono ratkaisu.


Ei tosiaan kannata luoda mitään muistilistaa tms. pilvipalveluihin, jos käyttätunnus/sähköposti murretaan. Lisäksi palvelimet sijaitsevat jossakin päin maailmaa ja palveluntarjoajilla on oikeus päästä käsiksi asiakkaan tiedostoihin tarvittaessa.


@tilasto kirjoitti:
Itselläni on ollut tapana käyttää erästä lausetta josta muodostan salasanan, käyttäen pieniä/isoja kirjaimia, numeroita sekä erikoismerkkejä. Sitä sitten tarpeen vaatiessa muokataan aina hieman, aina olen muistanut salasanat. Tiedä sitten onko hyvä vai huono ratkaisu.


Tällaista lausetekniikkaa käytän itsekin ja olen todennut sen hyväksi. Tosin salasanoja on niiin paljon ja erilaisia lauseitakin tarvitaan paljon ja niiden muisteleminen, että missä yhteydessä mikäkin lause oli käytössä, on haasteellista :)


Muistaako joku vielä tämän keissin:



http://www.talouselama.fi/uutiset/sony-tietomurto-nousemassa-eeppisiin-korkeuksiin-3363662



 



Itseäni vieläkin huvituttaa tapaus. No, tästä oli hyvä ottaa opiksi :smileyhappy:


@tilasto käytin itse tuota tapaa vuosi sitten mutta siitä luopunut. Ei kukaan niin typerä ettei osasii vaihtaa yksinkertaisesti yhden merkin 🙂 Mutta onhan se sekunnin ohitus toki... Siksi en neuvo tässä artikkelissa käyttämään tätä tapaa vaikka onhan se helpoin tapa muistaa. Mieluiten 2-5 salasanaa jota käyttää tärkeimmissä palveluissa missä tietenkin kaksivaiheinen kirjautuminen ja sitten salasana hallintatyökalut muihin palveluihin.



 



Muuten, muistakaa tarkistaa onko tilinne murrettu täältä: https://haveibeenpwned.com/ ja rekisteröityä sinne niin saatte ilmoituksia uusista vuodoista. Muistakaa jos käytätte samaa salasanaa useammassa palvelussa niin vuoto aiheuttaa että joudutte vaihtamaan salasanoja ja se on yleensä aika kivulias prosessi... Varsinkin kun tilejä alkaa olemaan yleensä todella paljon.


@olkitu Onhan se noinkin, kahden merkin vaihtaminen sensijaan tuo jo huomattavasti lisäturvaa ja hidastaa ainakin. Riippuu toki mistä kohtaa salasanaa ne merkit vaihtaa, ja onko vaihto tyyliä 1 -> 2 tai 10 -> 20. Mutta täytyy kyllä tutustua artikkeliin ja alkaa käyttämään varsinkin kaksivaiheista tunnistusta silloin kun se on mahdollista. Microsoft tilissä sitä aiemmin käytinkin, mutta luovuin sitten kun päivittäisessä käytössä koin sen hidasteena. Noh, näinhän se on että tietoturvaa edistävät asiat saattavat hidastaa toimintaa alkuun kunnes niistä tulee rutiinia ja lakkaa kiinnittämästä erityistä huomiota siihen.


@tilasto tosiaan kaksivaiheinen tunnistautuminen on hidaste mutta voit huoletta laittamaan muistamaan omassa kotikoneella sen. Sen tärkein tehtävä estää kirjautuminen muista tietokoneista jos tunnuksesi murretaan. Näin ollen vaan joudut kerran syöttämään omalla kotikoneella esimerkiksi sen kertakäyttökoodin.



 



Mutta tietoturva != käytettävyys ei koskaan oikein kohtaa eli jommasta kummasta päästä tulee tinkiä aina.


Todellisuudessa muutaman merkin vaihtaminen ei vahvista salasanaa koneellista hyökkäystä vastaan. Se on muutamassa sekunnissa ratkaistu, varsinkin jos edellinen salasana on tiedossa.

 

Väittäisin ainoaksi oikeasti tietoturvalliseksi tavaksi täysin satunnaisten salasanojen käyttämisen. Tähän avuksi vaikka ilmainen KeePass, pienellä vaivalla tietoturva nousee täysin eri tasolle.

 

Ja sallikaa minun laittaa foliohattu päähäni, mutta itse en myöskään kertoisi miten salasanani muodostan. Pahimmillaan ne vinkit pystyy antamaan suoraan syötteeksi brute force -ohjelmalle, joka muodostaa niiden perusteella miljoonia salasanavaihtoehtoja. Joku niistä tärppää.

 

Pahoittelut hieman negatiivissävytteisestä viestistä, taitaa olla paras minun mennä nyt nukkumaan ?


@jessenic Kyllä se juuri noin että muutaman merkin muutokset eivät konetta pysäytä kun on loput merkeistä selvitetty. Itse suosittelen tosiaan satunnaisesti generoituja salasanoja mutta niiden käyttäminen on useille todellakin vaikea vaihtoehto joten ensisijaisesti kaksivaiheinen tunnistautuminen tuo turvaa.



 



Salasana hallintatyökalun käyttö kun vaatii jo totuttelua mutta keepass on loistava neuvo. Juuri niin, älä tietenkään kerro miten muodostat salasanasi. Mutta tärkein neuvoni on että se pitää olla sellainen jonka itse muistaa mutta kukaan muu ei :)



 



Turhaan miettii liian vaikeita sääntöjä kun ei erikoismerkki oikeasti tuo paljon lisäarvoa, esimerkiksi p@ssw0rd? Ei merkitystä... Mutta kaksivaiheinen tunnistautuminen pysäyttää usein jo ja tietenkin siitä ilmoitus jos joku yrittää.


Erikoismerkki ei ehkä tuo lisäarvoa salasanaan p@ssword mutta muihin geneerisiin kyllä.


@TeroRe ehkä oli nyt huono esimerkki M!TtiM2eikal@inen nyt voisi olla hyvä esimerkki saada salasanasta paremman kuin alkuperäinen, mutta yleistä sanaa ei nyt silti kannata käyttää pohjana. Puolet merkeistä kuitenkin tunnettuja niin jää ei silläkään pitkätie ole. Eikä missään nimessä mikä liittyy sinuun eli omaa nimeä tai s.postin osaa yms...



 



Edelleen painioita kaksivaiheista kirjautumista verkkosivustoilla kun se on todella monessa mahdollinen estämään kirjautumisia uusista järjestelmistä. Ja lisäksi salasanan hallintatyökalua kuten Keepass tai F-Secure key. Muistaa että pilveen tallentaessa ne on aina tietomurtajian ykköskohde.



 



Verkkopankkiin kannattaa laittaa kirjautumisrajoituksiin Suomi sekä käyttörajoituksena Suomi korteilleen niin estää kopioitujen korttien käytön ulkomailla. Sinne ne siirretään kun sielä rahaa ei voi niin hienosti jäljentää ja se on hidasta monen viranomaisketjun kautta. Suomessa saadaan heti selville mistä on maksettu ja jäljitettyä tekijän paljon varmemmin.


Kaksivaiheinen kirjautuminen on kyllä hyvä juttu. Esim Google tiliin kun kirjautuu uudella laitteella, niin kertakäyttöisen salasanan (koodin, joka tulee puhelimeesi) lisäksi aina tulee ilmoitus itselle : Oletko kirjautunut tiliisi tällä laitteella (laitteen nimi ja aika jne tiedot näkyvät myös).



Vanhemmat ihmiset eivät välttämättä osaa kaikkea hienouksia, mitä nykyään salasanojen turvaamiseksi on. Heillä voi olla käytössään vielä sellainen systeemi, että eri salasanat eri palveluihin kirjoitetaan paperilapulle tai vihkoon ylös.



Ei sinällään ihan hullumpi idea, jos salasanat ovat tarpeeksi vaikeita (8 merkkiä ja yli sekä erikoismerkkejä, numeroita, isoja ja pieniä kirjaimia yhdistellen). Kunhan ylöskirjoitetut salasanat ovat turvallisessa paikassa, ettei niitä muut saa käsiinsä.


olkitu kirjoitti:

@TeroRe ehkä oli nyt huono esimerkki M!TtiM2eikal@inen nyt voisi olla hyvä esimerkki saada salasanasta paremman kuin alkuperäinen, mutta yleistä sanaa ei nyt silti kannata käyttää pohjana. Puolet merkeistä kuitenkin tunnettuja niin jää ei silläkään pitkätie ole. Eikä missään nimessä mikä liittyy sinuun eli omaa nimeä tai s.postin osaa yms...





Salasanan pitäisi olla juurikin joku geneerinen yhdistelmä kirjaimia + numeroita + erikoismerkkejä. Ymmärrän, että jotkut käyttävät salasanan pohjalla jotain ihan oikeaa sanaa, näin se on helppo muistaa.



 



---



 



Vaikka asia on vakava niin laitan pienen kevennöksen liittyen siihen kuinka vaikeita nämä salasanahommat ovat. Pongasin joskus memekuvan jossa luki (en postaa tähän sitä kuvaa koska en muista oliko se julkisesti jaossa):



 





Salasanassa tulee olla vähintään:



 





  • 12 merkkiä


  • Iso kirjain


  • Numero


  • Erikoismerkki


  • Hieroglyfi


  • Joiku


  • Kalevalainen runo


  • Munakuva ja kolme emojia






Hauska, ja on kyllä niin asian ytimessä :)


Ihan hyviä suosituksia mutta jospa sitten muistaisi sen salasanan... ja muistaa joskus senkin vaihtaa... Mutta turhaa se yritysten politiikka että pakottaa 30 päivän välein. Ja tullut välillä sanottua että on kaverilla liian heikko salasana.

Nykyään laitan itelle johonkin ylös salasanat,koska ne on sitten justiis niin vaikeita että vaikka kuinka miettii ja on muistavinaan niin ei.
puhelimen sain totaali lukkoon kun näppäränä tyttönä siihen piirsin ihan helpon kuvion (enkä tietenkään laittanut sitä mihkä muistiin) no oliki sitte niin helppo että joutu pyytää kaverin aukasemaan kännyn,siittä eteepäin en oo piirtäny,käytän vaikeita salasanoja mutta ne on tallessa jos käy vielä samanlailla xD ja kun hätäpäissään laittaa uuden niin täysin mahoton muistaa jotain kauheaa kirjain/numero hässäkkää  

mut siltikään en niitä mistä telkkarissa varotettiin,0000,1234,syntymäaika,lemmikin nimi,eka auto jne jne tai sitten vaan salasana xD 


P.S en ikinä ota pilvipalvelua käyttöön,ihan sama kun näpytät sinne pankkitunnuksen ja pari seuraavaa vapaata tunnusta.


https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2017/08/ttn201708301327.html



Linkataanpas, hyvä artikkeli Viestintävirastolta.

Tärkeä nosto: https://techcrunch.com/2018/07/17/instagram-2-factor/



 



Kaksivaiheinen tunnistautuminen tekstiviesteillä ei ole turvallista kuten olen artikkelissani maininnut. Suositus on käyttää sovelluksen generoimaa koodia, jolloin pitää saada puhelin käsiin. Tämä sovellus toimii usein ilman verkkoyhteyttä. Esimerkkejä näistä sovelluksista on Google Authenticator. 



 



Tätä vaaraa en usko nyt olevan Suomessa, mutta tekstiviestillä tapahtuviin kirjautumisiin ei ole silti suositeltavaa luottaa. Aina voi käydä inhimillisiä virheitä asiakaspalvelun päässä kun puhelimitse on todella vaikea varmistaa käyttäjän todellista henkilöllisyyttä. 



 



Puhelinnumero on yksilöivä tunniste kuten henkilötunnus - sitä ei saisi käyttää todennusvälineenä. Molemmat ovat yhtä julkisia tietoja.


TrueCryptillä luotu pieni salattu taltio salasanoja varten on toiminut monta vuotta täysin moitteetta. Taltiota ei pidetä jatkuvasti avoimena, vaan pelkästään silloin kun tarvitaan. Tarvitsee vain muistaa kyseisen taltion salasana, joka voi olla vaikka niinkin simppeli kuin "abc123" jos käyttää vielä lisänä avaintiedostoa, jolloin salasanan murtaminen ilman avaintiedostoa on yhtä vaikeaa riippumatta salasanan pituudesta. Avaintiedostonahan voi käyttää vaikka satunnaista valokuvaa kymmenien tuhansien joukosta, jolloin ulkopuolinen ei osaa mistään arvata sen olevan avaintiedosto.

 

Sitten jos vielä vetäisee koko käyttöjärjestelmälevyn salatuksi ja opettelee lukitsemaan tietokoneen siitä poistuttaessa, uskaltaa myös selaimen muistiin tallentaa koko joukon salasanoja, ei toki mitään raha-asioihin liittyviä mutta kaikenlaisia muita, esimerkiksi tänne foorumille.


Vastaa