Kirjaudu ▼
 

G07ajkjG# – eihän tätä kukaan muista

Heini Karjanmaa
G07ajkjG# – eihän tätä kukaan muista
Nettipalveluiden salasanarumba hirvittää jo tavallista käyttäjää. Tietoturva-asiantuntijoiden mukaan pelkistä salasanoista pitäisikin päästä jo eroon. Mitkä ovat vaihtoehdot?
Lisää suosikkeihin

Henkilökohtaiselle suosikkilistalle tallentaminen vaatii kirjautumista.

KirjauduRekisteröidy
Lähetä kaverille
Tulosta (HTML)
Tallenna (PDF)

– Haluaisin nähdä, että salasanat korvattaisiin jollain muulla, sanoo tietoturvayhtiö Tectian perustaja ja toimitusjohtaja Tatu Ylönen.

Ylösen mukaan hetkessä tämä ei kuitenkaan tapahdu.

– Tarve korvata salasanat on iso, mutta se tulee kestämään useita vuosia. Teknologioita, millä ne korvataan, tulee todennäköisesti olemaan useita. Kyseessä voi olla jonkinlainen salasana ja siihen yhdistettynä matkapuhelin, laite tai avainlukulista, hän arvioi.

Ylösen mukaan varsinkin pelkkien salasanojen käytöstä pitäisi luopua.

Taloustiedot

– Jopa ihmiset, joiden pitäisi tietää paremmin, kuten minä, käyttävät samoja salasanoja liian pitkään, huokaisee Ylönen.

Hyvä salasana
ei ole sana 

Ylönen muistuttaa, että hyvä salasana on vähintään kahdeksan merkkiä. Se sisältää suurin piirtein yhtä paljon isoja ja pieniä kirjaimia, lisäksi on oltava yksi tai kaksi erikoismerkkiä. Salasanasta ei saisi muodostua mitään tunnistettavia sanoja.

– Kovin monta tällaista salasanaa ei voi muistaa, myöntää Ylönen.

Helposti muistettavat salasanat ovat usein huonoja. Ylösen mukaan varsinkin sellaisia salasanoja, joissa on käytetty oikeita sanoja ja vaikkapa vuosilukuja pystytään yllättävän tehokkaasti murtamaan käyttäjien koneilta.

Viestintäviraston tietoturvayksikkö Cert-fi ohjeisti hiljattain, että hyvässä salasanassa pitäisi olla vähintään 15 merkkiä ja jokaisessa verkkopalvelussa pitäisi käyttää eri salasanaa.

– Jos salasanassa on käytetty oikeita sanoja, niin silloin 15 merkkiä. Jos on käytetty satunnaisia merkkejä, niin kahdeksan on vielä hyvä, vaikka alkaakin olla siellä alarajoilla, Ylönen arvioi.

It-asiantuntija Petteri Järvinen pitää tilannetta mahdottomana käyttäjän kannalta.

– Kun salasanat otettiin alunperin tietokoneissa käyttöön, niin ihmisellä oli vain yksi järjestelmä mihin hän kirjautui. Oli yksi käyttäjätunnus ja yksi salasana. Nyt kun nettipalveluita on käytössä kymmeniä, niin eihän se enää toimi. Joka paikkaan pitäisi olla vähintään 15 merkkiä pitkät salasanat ja vaihtaa säännöllisesti, sehän on täysin mahdotonta.

Matkapuhelin
avuksi 

Mitä sitten tilalle? Yksi keino on varmentaa salasana ja käyttäjätunnus vielä erikseen matkapuhelimen avulla.

Esimerkiksi hakukonejätti Google tarjoaa tileilleen kaksivaiheista vahvistusta, jolloin palveluun sisäänkirjautumiseen tarvitaan käyttäjänimen ja salasanan lisäksi matkapuhelinta, johon lähetetään tekstiviestitse tarvittava koodi.

– Jos siis joku varastaa tai arvaa salasanasi, tilin kaappaaja ei silti pääse kirjautumaan tiliisi, koska hänellä ei ole käytössään puhelintasi, Google toteaa verkko-ohjeissaan.

Petteri Järvisen mukaan mobiilitekniikan käyttö on hyvä asia ja lisää turvallisuutta. Vahva todennus kun vaatii vaatii salasanan lisäksi toisenkin tekijän.

∇ Mainos, artikkeli jatkuu alempana ∇ ∇ Artikkeli jatkuu ∇

Tectia puolestaan kauppaa Mobile ID -tuotetta, jossa käytetään myös hyväksi tekstiviestejä kännykkään. Kun palveluun kirjautuu, kännykkään tulee muutamassa sekunnissa flash-viestinä viisinumeroinen koodi, joka pitää syöttää palveluun normaalin salasanan lisäksi. Ylösen mukaan Tectian Mobile ID:n ovat ostaneet muun muassa Stockmann ja Sisu sekä Singaporen hallitus.

– Paitsi, että pitää tietää se salasana, pitää olla hallussa myös käyttäjän matkapuhelin, Ylönen sanoo.

Yrityksiä ratkaista asia ovat matkapuhelimien tekstiviestien lisäksi sim-kortteja hyödyntävät mobiilivarmenteet, älykortit siruineen, muut erilliset laitteet ja biotunnisteet.

– Mobillivarmenteet eivät käytännössä tänä päivänä toimi. Ne ovat liian vaikeita integroida järjestelmiin. Ne eivät toimi massoille, eivätkä tule toimimaan ainakaan seuraavan kolmen vuoden kuluessa, Ylönen arvioi.

Ylönen huomauttaa, että matkapuhelimien sim-kortteja ei yleensä vaihdella kuin ehkä 3–5 vuoden välein. Monissa palveluissa mobiilivarmennetta ei voi ottaa käyttöön ennen kuin ne ovat tarpeeksi laajalla joukolla käytössä.

HST-korttiin
käytettiin isot rahat

Suomessa pankit tarjoavat eri nettipalveluille maksusta tupas-tunnisteita, eli verkkopalveluun kirjautuessa käyttäjä ohjataan oman pankin tunnistautumissivulle, josta palaudutaan tunnistautumisen jälkeen takaisin verkkopalveluun.

– Eivät nekään ole kovin turvallisia, niissä on mahdollisuus väärään todentamiseen ja niitä voidaan myös urkkia, arvioi Järvinen.

Järvinen pohdiskelee myös sähköistä HST-älykorttia (henkilön sähköinen tunnistus). Järjestelmää kehitettiin Suomessa kymmenillä miljoonilla euroilla ja sillä tunnistautuminen hoituisi turvallisesti ja tehokkaasti. Älykortti vaatii kuitenkin tietokoneeseen erillisen lukijalaitteen.

– Kaksitoista vuotta hukkaan heitettyä kehitystä. HST-korttia käytetään edelleen jonkin verran julkishallinnon palveluissa, mutta käyttäjämäärät ovat ihan olemattomia.

Halpaa on
vaikea korvata
 

Järvinen arvelee, ettei salasanoista päästä täysin eroon pitkään aikaan. Ne ovat liian halpa menetelmä muihin verrattuna.

– Kun väärinkäytöksiä tulee yhä enemmän ja on yhä isommat taloudelliset arvot kyseessä, salasanojen käyttöön pitää kyllä miettiä vaihtoehtoja, hän sanoo. 

Järvinen arvelee, että mobiilitekniikka tulee ehkä olemaan tärkein väline tunnistuksen parantamisessa.

– Mobiililaite on ihmisillä aina mukana.

Lisää suosikkeihin

Henkilökohtaiselle suosikkilistalle tallentaminen vaatii kirjautumista.

KirjauduRekisteröidy
Lähetä kaverille
Tulosta (HTML)
Tallenna (PDF)
Lisää Aiheesta

Kommentit (78)

Sivut: 1 2 3 4 5 6 ... 8
EdellinenSeuraava

Anonyymi
Yhteen kirjoitetut lauseet toimivat niillä, joilla on lyhyt muisti, vielä kun korvaa kirjaimia numeroilla, niin alkaa olla vahva salasana helposti muistettavissa.
Anonyymi: Johnson 28.11.2011 6:23

Anonyymi
PIN-kalkulaattori ollut Swesbankin sekä yritys- että yksityisasiakkaana mulla käytössä jo vuosia. Nordean salasanakortti on kui kivikaudelta. Se on myös ollut mahdollinen saada kännykkään pientä kuukausimaksua vastaan.

Silti näitä salasanoja ja käyttäjätunnuksia on toden totta vielä hirveesti muihin paikkoihin. Vosi se PIN-kalkulaattori laajentua niihinkin.
Anonyymi: Pöder 28.11.2011 6:39

Anonyymi
TnoLHo5v11 on vahva salasana ja muistina toimii tarina: Tyttäreni nimi on Liisa. Hän on 5 vuotta. 11 on taasen vaihtuva numero, joka täytyy muistaa ja vaihtaa kuukausittain.
Anonyymi: Simple as 28.11.2011 6:55

Anonyymi
Talousuutinen....
Anonyymi: Sillälailla 28.11.2011 7:03

Anonyymi
Yhteen aikaan puhuttiin kovasti sormenjälkitunnistimista, minne ne ovat kadonneet? Eikö se korvaisi aika monta salasanaa (ellei joku sitten leikkaa sormiasi irti ja käytä niitä järjestelmän ohittamiseen)...
Anonyymi: Nimetön 28.11.2011 7:05

Anonyymi
Diceware- tai noppaware-menetelmällä muodostettu kuuden sanan salalause vastaa helposti noin 12 merkin mittaista satunnaisesti muodostettua "perinteistä" turvallista salasanaa ja on huomattavasti helpompi muistaa.

Lisätietoja saa Googlesta hakusanoilla diceware ja noppaware.
Anonyymi: Nimetön 28.11.2011 7:08

Anonyymi
Eikö tietotekniikan pitänyt helpottaa elämää?
Anonyymi: Nimetön 28.11.2011 7:12

Anonyymi
Tämä oli vain piilomainos.
Anonyymi: Nimetön 28.11.2011 7:12

Anonyymi
Mikrosiru ihon alle ja pedon merkki otsaan!
Anonyymi: demon 28.11.2011 7:15

Anonyymi
Enemmän olen huolissani niistä, jotka jättävät koneensa auki mihin tahansa, lukevat työpapereita julkissa liikennevälineissä, puhuvat luottamuksellisia puheluita täpötäydessä bussissa, eivätkä koskaan varmista, että toisessa päässä luuria on henkilö, joka oikeutettu tiedon saamaan, niistä Peijaksen hoitsuista, jotka antoivat minulle viereisen potilaan kotitumispaperit ja reseptit, siitä lääkäristä, joka kipsautti äidiltäni väärän jalan jne....
Anonyymi: täydellinen suoja 28.11.2011 7:25
Sivut: 1 2 3 4 5 6 ... 8
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti Yöaikaan lähetetyt kommentit päätyvät toimituksen tarkistettavaksi. Kommentit tarkistetaan ja hyväksytään seuraavan päivän aikana. Muina aikoina viestit ovat jälkimoderoinnissa.
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Asiakastieto

Yhteistyössä