Aika uusia salasana

security

Lähiaikoina on tehty paljon tutkimusta salasanojen turvallisuudesta. Venäläisten hakkereiden varastettua yli miljardin ihmisen salasanat ja käyttäjätunnukset, alkoi todellinen tutkinta siitä kuinka tämä ylipäätänsä on mahdollista.

Tutkimuksessa selvisi mielenkiintoisia puolia salasanoista ja niiden murtamisesta. Jo ainakin kymmenen vuotta pääasiallisena käsityksenä on ollut se, että mitä kompleksisemman salasanasta saa, sen parempi. Oletus on ollut, että käyttämällä erikoismerkkejä, kirjaimia ja tikkukirjaimia murtautumisyritykset valuvat tyhjiin.

Näin ei kuitenkaan ole. Selvityksessä huomattiin muun muassa että vaikka loppukäyttäjä, esimerkiksi sähköpostin haltija, suunnittelee salasanansa erittäin huolellisesti ja hakkerivarmasti, todellinen murtautuminen tehdään monesti systeemihaltijan päässä. Servereitä ylläpitävät tahot eivät aina jaksa koodata ja salata käyttäjien salasanoja. Näin ollen, mikäli hakkerit pääsevät murtamaan serverin oman salasanan, heillä on vastassaan Ali Baban luola täynnä selvällä tekstillä kirjoittettuja salasanoja joista valita.

Kuinka käyttäjä pystyy itse vaikuttamaan omaan tietoturvaansa, mikäli salasanatkin pystytään murtamaan? Ainakin yksi perussääntö kannattaa pitää mielessä: älä käytä samaa salasanaa kaikissa verkkotunnuksissasi. Ja harkintaa kannattaa käyttää riippuen siitä, kuinka sensitiivistä tietoa käyttäjätunnuksen takaa löytyy. Mikäli kyse on Iltasanomien verkkolehden käyttäjätunnuksesta, S@l@s@n@ voi olla ihan hyvä vaihtoehto. Mutta kaiken henkilökohtaisen tiedon sisältävä Hotmail-tili onkin jo eri asia.

Yksityisen ihmisen vastaaminen omasta tietoturvastaan on haastava tehtävä. Parhaiten siihen pystyy seuraamalla aktiivisesti aiheesta käytävää keskustelua, ja esittämällä omalle palvelutarjoajalleen kysymyksiä askarruttavista aiheista. On esimerkiksi mahdollista tiedustella, onko erityistä salaamista vaativille dokumenteille tai tiedostoille saatavilla jonkinlaisia koodaus- tai salaus palveluita.

Pilvipalveluiden luotettavuuteen kannattaa myös suhtautua lievällä varauksella. Kuten olemme viime viikkojen julkkishakkerointiskandaaleissa todistaneet, edes laadukkaalta tuntuva palveluntarjoaja ei ole tae siitä, että tietoturvahyökkäys ei osuisi omalle kohdalle. Hyvä nyrkkisääntö siis lienee, että mikäli pilvipalveluun tallentamasi materiaali tulee levitessään aiheuttamaan harmia tai ongelmia – varminta on olla tallentamatta sitä sinne.
Vainoharhaiseksi ei kuitenkaan kannata ruveta. Ulkoinen kiintolevy on tietysti varma säilytyspaikka tärkeille dokumenteille ja kuville, mutta senkin saattaa ihan normaali ikkunan rikkova vanhanajan roisto napata murtokeikalla mukaansa. Ehkäpä yksi hyvä nyrkkisääntö turvallisuutta miettiessä on suunnitella vaihtoehtoisia säilitys- ja varastointipaikkoja. Eli jos oma pilvipalvelusi sattuisi hukkaamaan kaikki dokumenttisi, varmuuskopioiduille ei käy kuinkaan. Kuinka sitä sanottiinkaan ennen; ei kaikkia minua samaan koriin.