Pahin pelko on toteutunut: maksukorttien pin-koodeja hakkeroidaan, varoitetaan uutisissa. Asian vakavuus korostuu kaiken aikaa, kun erilaisten maksukorttien määrä kasvaa. Lue uutisista lisää.

Koko maailma pyörii eräiden melko lyhyinen, mutta silti todella tärkeiden tekstinpätkien varassa, nimittäin salasanojen. Salasanoja ja pin-koodeja taitaapi olla jo lähes jokaisella suomalaisella ja aika monella niitä on jo ongelmaksi asti. Moni yksinkertainenkin palvelu, jossa oikeastaan ei ole mitään salaista saatika laskutusperustetta taikka käytännön palvelua vaatii rekisteröitymistä ja salasanaa. Tällaisia ovat esimerkiksi jotkin paikallislehdet (kuten Suur-Keuruu) ja erilaiset ohjelmistojen lataussivut. Näiden käytännössä tarpeettomien salasanojen lisäksi Internetissä liikkuva ihminen tarvitsee salasanoja foorumeille, sähköposteihin, kauppoihin, pankkeihin, kotisivupalveluihin, sanomalehtiin, jne jne jne. Muutama salasana on vielä helppoa muistaa, mutta kun salasanoja alkaa olla useampi kymmenen kasvaa houkus käyttää samaa salasanaa useammassakin palvelussa.

Using the same password for multiple Web pages is the Internet-era equivalent of having the same key for your home, car and bank safe-deposit box.

AP — Jordan Robertsson

Eli ei siis mitään yleissalasanoja! Pidemmänpäälle kannataa lyhentää salasanalistaa miettimällä mitkä palvelut oikeasti ovat tarpeellisia. Hyvät 30 hyvää salasanaa on helpompi muistaa kuin 31 hyvää salasanaa. Niin ja salasanan vahvuutta ei kannata testata netistä löytyvillä salasanatestereillä, sillä eihän sitä koskaan tiedä vaikka ne keräisivät salasanoja – myönnän olevani ehkä hieman paranoidinen tässä suhteessa. Tietenkin palveluiden salasanan vaihdoin yhteydesä olevia testereitä kannattaa käyttää ja niiden arvioita myös kuunnella.

Hyvän salasanan kriteereitä

Kaikki seuraavat kriteerit tulee täyttyä, jotta salasana olisi hyvä

1. Salasana ei saa olla missään merkityksessä tulkittava
• Ei kirja- tai yleispuhekieltä
• harvinaiset murteet vielä menettelevät, jos yhdistetään muihin salasanaa sekoittaviin tekijöihin
• Ei ammattislangia
• Ei lyhenteitä, kuten esimerkiksi RKP tms.
• Nämä pätevät kaikkiin kieliin.
• On siis ihan sama onko salasana tulkittavissa suomeksi tai vaikka kymriksi
2. Hyvä salasana on mahdollisimman pitkä (usein salasanan pituus on rajoitettu, joten käytä pisintä mahdollista salasanaa)
3. Hyvässä salasanassa on erilaisia kirjaimia, numeroita, välimerkkejä ja erikoismerkkejä
• Valitettavasti palvelut rajoittavat etenkin erilaisten erikoismerkkien käyttöä, mutta usein myös välimerkkien käyttöä
• Kirjaimista tulee käyttää sekä IsoJa että PiEniä kirjaimia ja kieleen sidonnaisia kirjaimia (suomessa å,ö,ä) – aina skandien yms. merkkien käyttö ei ole sallittua
• Kirjaimet ja numerot olisi hyvä sekoittaa keskenään, etenkin jos kaikesta huolimatta on halunnut käyttää salasanaa, joka on jossain määrin ymmärrettävää kieltä.

Jos nyt kuitenkin haluat käyttää jotakin ymmärrettävää tai ainakin lähes ymmärrettävää sanaa salasananasi, niin voit tehdä siitä vähemmän arvattavan seuraavasti

• Valitse sana, joka on mahdollisimman epäselvä ja sellainen ettei sitä todennäköisesti löydy sanakirjoista tai korpuksista.
• eli ei luonollista taikka kirjakieltä, erikoiset murresanat kelpaavat
• Valitsemasi sanan tulee olla sellainen, ettei se liity mitenkään Sinuun itseesi.
• Tee valitsemaasi salasanaan tarkoituksella joku hämäävä, mutta Sinun kannaltasi helposti muistettava kirjoitusvirhe tai kirjoita sana vaikka takaperin (huom! Kirjoitus virheen jälkeenkään sana ei saa näyttää luonnolliselta tai kirjakieliseltä).
• Lisää salasanaasi numeroita eteen, sisään taikka loppuun. Mieluiten ainakin kahteen erilliseen saarekkeeseen (jaat siis kirjaimet 2 – 3 osaan).

Salasanojen käyttämiseen/muistamiseen on muutama helpottava keino olemassa

1. Kirjoita salasanat muistiin.
   Siis tämähän kielletään melkein joka paikassa, mutta mielestäni tämä on paljon parempi tapa kuin käyttää samaa salasanaa jokapaikassa taikka käyttää samoja salasanoja pitkään (ja ehdottomasti parempi keino kuin käyttää selkokielisiä salasanoja). Tunnuksiesi turvallisuus on tässä tapauksessa yhtä hyvä kuin sen listan säilytyspaikan turvallisuus. Tätä vaihtoehtoa käyttäville suosittelen salasanojen kirjoittamista paperille (ilman käyttäjätunnuksia ja käyttökohteita) ja paperin säilyttämistä varmassa paikassa. On myös hyvä pistää jatkuvasti käytettävät salasanat eripaperille kuin ne harvemmin tarvittavat. Tällöin usein tarvittujen luettelon voi pistää vaikka lompakkoonsa (sehän yleensä on hyvin vartioitu paikka) ja harvemmin käytetyt vaikka lukollisen kirjoituspöydänlaatikon peräseinään teipattuna.
2. Näennäisesti satunnaiset salasanat
   Luo satunnaisen näköinen salasana jonkun rimpsun perusteella. Esim. Patriarkka Jaakobilla oli 12 poikaa: Ruuben, Simeon, Leevi, Juuda, Daan, Naftali, Gaad, Asser, Isaskar, Sebulon, Josef, Benjamin. Valitaan tästä rimpsusta vaikka joka kolmas (Ruuben-nimen ensimmäisen tavun kirjainten määrä) kirjain (tummennetut) ja saadaan: RbSeLvuDnflaAeskSusBji. Valitaan nyt saadusta ripsusta joka kolmas merkki alkaen toisesta merkistä (tummennetut) ja saadaan: bLDleSBi. Tämä näyttää jo melko hyvältä eikös vain. Tähän sitten lisätään numerot 6 (Jaakob-sanan kirjainten määrä) ja 12 (arvaatte varmaan mistä). Numerot kannattaa laittaa vähintäänkin kahteen paikkaan eli esim. 6bLD12leSBi.
   Periaatteessa salasanan voi ottaa jo tuosta ensimmäisestä kirjainten poiminnastakin, mutta tämä toinen poiminta tekee salasanan etsinnästä monimutkaisemman (siis jos joku alkaa pähkäilemään jotain ripsua saatuaan tietää, että kyseessä on näennäisesti satunnainen salasana – nykyteknologian ollessa kyseessä on tosin hieman kyseenalaista, että tällaista tapahtuu)
3. Salasanojen tallennus koneelle, helpperit yms
   Salasanojen tallentaminen koneelle ja helpperien käyttäminen on joskus ihan kätevää salasanojen käsittelyssä, kun salasanaan liittyvä tili on vain luku-oikeuksilla (esim. sanomalehden nettiversion lukeminen) eivätkä salasanan takana olevat tiedot ole luottamuksellisia. Tällöin ei periaatteessa tapahdu suurta katastrofia vaikka salasana päätyisikin jonkun haltuun esimerkiksi viruksen (tai muun haittaohjelman) tai vaikka selaimessa/helpperissä olevan reiän kautta. Salasanojen tallentamisessa on sellainen huono puoli, että ne ovat tallennettuja vain siihen yhteen järjestelmään, jolloin niitä täytyisi kuitenkin kaivella jostain käyttäessä toista järjestelmää. On syytä tallentaa nämä salasanat vain sellaisissa järjestelmissä, joissa ei ole muita käyttäjiä!
4. Harvoin käytettyjen salasanojen tilaaminen sähköpostiin
   Jos käytät jotain palvelua (esim. verkkokauppaa) vain harvoin ja palvelu tukee unohtuneen salasanan lähettämistä, kannattaa salasana suosista unohtaa ja tilata se uudelleen aina palvelua käytettäessä. Tämä tosin edellyttää palveluun ilmoitetun sähköpostiosoitteen jatkuvaa validiutta.

Kommentteja ja parannusehdotuksia otetaan mielellään vastaan, niitä myös toteutetaan mikäli ovat tarpeeksi hyviä.

Innoituksena tähän kirjoitukseen toimivat ChicoER.com’n juttu Most computer users repeat passwords, at their peril sekä Digitodayn juttu Nainen vaihtaa salasanan suklaaseen 4 kertaa miestä useammin. Tuo suklaa juttu on kyllä todella uskomaton, olkoonkin että tutkimuksessa oli haastateltu vain vajaat 600 toimistotyöntekijää lontoolaisella rautatieasemalla. Voisikohan tutkimuksesta vetää johtopäätöksen, ettei ainakaan kannata palkata toimistoon sellaista naispuolista työntekijää, joka pitää suklaasta ja kulkee Liverpoolin aseman kautta.

Muistamme varmaan ne lukuisat uutiset, joissa on viimevuosina kerrottu pankkiautomaatteihin asennetuista lisälaitteista, jotka ovat keränneet sekä kortin tiedot että pin-koodit. Ensiksi nämä viritelmät olivat aika kömpelöitä, mutta sitten ne paranivat ja paranivat. Vasta paripäivää sittenhän Ruotsista kuului, että jonkun Ikean kassajärjestelmään oli asennettu vastaavanlainen viritelmä.

Nyt näyttää kuitenkin siltä, että ehkä varkaat selviäisivät helpommallakin, ainakin jos ovat rahoittamassa omia hakkerointejaan, sillä Network Box ja Information Risk Management kertovat brittiautomaatien kätkevän sisäänsä 90% tapauksista tuiki tavallisen tietokoneen Windows-käyttöjärjestelmällä. Eikä tässä vielä kaikki. Pankkiautomaatit eivät kuulemma salaa siirrettävistä tiedoista mitään muuta kuin kortin pin-koodin, joten hakkeri, joka pääsee kiinni pankkiautomaatin tietoverkkoyhteyteen saa ihan kivasti tietoja näkyviinsä tarvitsematta edes vaivautua dekryptaamiseen. Ja jos luulitte, että tässä oli jo kylliksi kaikkea huolestuttavaa, niin erehdyitte pahemman kerran; paitsi jos olette aikeissa ryöstää pankin. Information Risk Managementin tutkimuksessa on selvinnyt, että 2/3 tutkitusta automaatiin kassakaapista aukesi valmistajan asettamalla oletuskoodilla, joka löytyy Internetistä.

Huoh. Eikö kukaan oikeasti jaksa ajatella asioita vai onko kyse vain siitä, että on liian kallista laittaa joku huoltomies vaihtamaan kassakaappien koodit? Jos minä saisin päättää niin kassakaappien koodit olisivat joisessa kaapissa erilaiset ja vaihtuisivat määräajoin. Niin ja salattu tietoverkkoyhteys voisi olla myös ihan kiva lisä.

Tästä kertoi suomeksi Tietkone.fi. Englanniksi asiasta on kertonut Silicon.com

Mikähän mahtaa olla suomalaisten pankkiautomaattien tilanne? Otto.fi kertoo, että Otto automaattien sisälmykset on tilattu kahdelta eri toimittajalta. Osa automaateista on peräisen skotlantilaiselta NCR:ltä  ja muut ovat saksalaiselta Wincorilta. Sovellusohjelmana molemmissa tapauksissa on Fujitsu Invia Oy:n maahan tuoma ja siten kaiketi NCR:n toimittama, sillä Fujitsu Invia on NCR:n edustaja Suomessa. TietoEnator on valmistanut itse Otto-järjestelmän; muistuu mieleeni, että tämä samainen TietoEnator ei onnistunut kovin hyvin Eduskunnan uuden äänestysjärjestelmän valmistamisessakaan.

Lue lisää:

• Tietoja NCR:n automaattivalikoimasta -valmistajan esite
• Inside Edge:  ATM security leaves customers vulnerable to hackers -blogi

Olethan vaihtanut kännykkäsi pin-koodin? Se on turvakoodi, joka voi estää asiattoman puhelimesi käytön katoamistilanteissa. 35% suomalaisista ei ole viitsinyt nähdä minuutin vaivaa, vaan kännykän pin-koodi on joko 0000 tai 1234. Pidäthän huolen, että kohdallasi asia on hoidettu kuntoon?!

Toinen asia, joka kannattaa muistaa: älä yritä soittaa takaisin tuntemattomaan numeroon. Usein niiden soittojen tarkoitus on ollut, että soitat takaisin – maksulliseen numeroon! Jos jollakulla on oikeasti asiaa, hän soittaa uudelleen (salaisennumeron haltijat yms. joiden numero ei näy)