Blogi

”aN4NA$” alas salasanana

Kirjoittanut Ville Pekkarinen | 9.11.2020

Kaksivaiheinen tunnistautuminen (2FA, two-factor authentication) on tapa varmistua käyttäjän identiteetistä yhdistämällä kaksi eri tunnistautumiskeinoa. Arkipäiväisenä esimerkkinä voitaisiin käyttää vaikkapa pankkiautomaatilla asiointia: sinulla tulee olla hallussasi sekä fyysinen avain – pankkikortti – että salasana, jonka vain sinä tiedät, eli PIN-koodi. Ilman jompaa kumpaa asiointi ei onnistu.

Hubspot on tarjonnut kaksivaiheista tunnistautumista vuodesta 2018, ja tämän käyttöön ottaminen parantaa merkittävästi Hubspot-tilisi tietoturvaa. Tilin pääkäyttäjä voi myös asettaa kaksivaiheisen tunnistautumisen pakolliseksi.

Näin otat käyttöön kaksivaiheisen tunnistautumisen Hubspotissa

Kirjaudu tilillesi ja avaa käyttäjäkohtaiset asetuksesi oikeasta yläkulmasta. Valitse vasemmalta valikosta ”security” ja seuraa two-factor authentication -osion ohjeita. Voit valita käytätkö Google Authenticator -sovellusta puhelimellasi vai saatko aina kertakäyttöisen koodin tekstiviestinä puhelinnumeroosi.

Sovelluksen käyttö on myös turvallisempaa kuin tekstiviesti, jonka lähettämisessä tai vastaanottamisessa saattaa olla viivettä, ja jonka kaappaaminen on suhteellisen yksinkertaista. Tekstiviesti on kuitenkin ratkaisu mikäli käyttäjällä ei ole älypuhelinta käytössään.

Lue lisää: https://knowledge.hubspot.com/account/how-can-i-set-up-two-factor-authentication-for-my-hubspot-login

Sananen salasanoista ja niiden hallinnasta

Jo muinaiset roomalaiset käyttivät salasanoja, mutta tietokoneiden käyttöjärjestelmissä niitä on ollut vasta vuodesta 1961. Muistan opiskeluajoiltani kun sain koulun palvelimelle oman käyttäjätunnuksen ja tehtäväksi laatia vähintään kahdeksan merkin mittainen salasana, jossa on sekä isoja että pieniä kirjaimia, useampi numero ja vähintään yksi erikoismerkki, eikä se saisi olla mikään oikea sana tai sellaisen variantti. Siitä tuli upea ja olin siitä pitkään ylpeä.

Vuosi oli kuitenkin 1998, minkähänlaisen tehtävänannon keksisin itselleni 2020?

Salasanan tulisi olla tarpeeksi pitkä, 12-15 merkkiä on hyvä lähtökohta. Salasanan pituuden kasvaessa sen murtaminen muodostuu epätaloudellisemmaksi. Sen pitäisi kuitenkin olla myös muistettavissa, mutta kuinka muistaa DZ!y@!$476XcF$6?

Voit aivan hyvin muodostaa salasanasi jostakin absurdista lauseesta, joka on helpompi muistaa. Käytetään esimerkiksi osoitteesta https://www.palabrasaleatorias.com/satunnaiset-sanat.php löytyvää sanageneraattoria, joka tarjoaa meille sanat ”sateenkaari”, ”kirves” sekä ”sarvikuono”. Tässä meillä on jo 27 merkkiä! www.passwordmeter.com antaa meille 89%.

 


Kuva xkcd.com


Salasanan arvaamisen vaikeutta voi myös kasvattaa käyttämällä sekä isoja että pieniä kirjaimia, numeroita, ja erikoismerkkejä, ja usein palvelu vaatii salasanan sisältävän näitä.

Mikäli salasanamme olisi vain yksi sana, esimerkiksi ”ananas”, ei yksinkertaisella merkkien korvaamisella olisi hyökkääjän kannalta juurikaan merkitystä – siksi aN4n4$ ei ole sen turvallisempi, on helppo kokeilla yleisimpiä vaihtoehtoisia merkkejä sanakirjahyökkäystä suorittaessa.

Meilläpä on kuitenkin jo kolme sanaa, joista kaksi yhdyssanoja, joten voimme lisätä hieman kierrettä palloon mungeamalla salasanaa: $at2enk2ari,Kirve2Sarvikuon0!, ja saamme täydet 5/5  prosenttia sadasta prosentista 🏆.

Salasanan tulisi olla uniikki. Samaa salasanaa, tai sen variantteja (salasana1, salasana2...) ei tulisi käyttää useammassa palvelussa. Mikäli joku saa salasanasi selville, on triviaalia kokeilla samaa salasanaa muissa palveluissa. Voit tarkistaa sähköpostiosoitteesi, ja eri tilien joissa sitä on käytetty F-Securen palvelussa tai osoitteessa haveibeenpwned.com.

Salasanojen hallintaohjelmat

Kuinka muistaa useampi uniikki, pitkä, turvallinen salasana kaikkiin lukuisiin palveluihin joita käytät? Selaimesi saattaa tarjota sinulle mahdollisuutta tallentaa salasanasi, mutta tähän ei tulisi luottaa useastakaan eri syystä.

Sen sijaan kannattaa kääntyä salasanamanagerin puoleen, joita on nykyään markkinoilla useampia. Itse käytän omassa elämässäni avoimen lähdekoodin Bitwardenia, muita aikaisemmin käyttämiäni ovat 1Password sekä LastPass (lopetin LastPassin käytön tietomurron jälkeen mutta YMMV). Kotimainen vaihtoehto salasanojen hallintaan on ainakin F-Securen ID PROTECTION.

Salasanan hallintaohjelmaan kirjaudutaan yhtä tunnusta käyttäen, joka avaa salasanaholvisi. Holvista löytyvät kaikki käyttäjätunnuksesi jotka olet ohjelmaan tallentanut, ja sovellus tarjoaa usein myös mahdollisuuden täyttää eri palveluiden kirjautumistiedot parilla klikkauksella.

Luodessasi johonkin palveluun uutta salasanaa, voit sovelluksen avulla generoida haluamasi mittaisen salasanan haluamillasi mausteilla, joka myös muistaa sen puolestasi. Tämä mahdollistaa kirjan pitämisen käyttämistäsi palveluista ja sen, että jokaiseen näistä palveluista on oma, turvallinen salasana, eikä sinun tarvitse tätä varten muistaa kuin yksi salasana.

Salasana itsessään – lopulta mikään – ei kuitenkaan koskaan ole täysin turvallinen, mutta yhdistettynä kaksivaiheiseen tunnistautumiseen ovat digitaaliset luukkumme jo melko hyvin säpissä. Usein riittää kun lukitus on tarpeeksi hyvä että potentiaalinen roisto ei jaksa vaivaantua.

Tietoturvan ylläpitäminen saattaa tuntua hieman vaikealta ja aikaavievältä, mutta kun sen on omaksunut on se kuin hyvä käsihygienia, ja sitten sitä vain ihmettelee miten huolettomasti - ja vaivalloisesti - sitä onkaan aikaisemmin toiminut.