autentikointi

Ajateltavaa tietoturvasta

James internet, säkerhet, sosiaalinen media , , , , , , , , , , , , , , , ,

Edelliseen blogimerkintääni liittyen tahdon antaa lukijoilleni mietittäväksi muutaman tietoturvaan liittyvän asian. Ensin käskymuotoon otsikoituna pari perusasiaa tarkasteluineen, jotka kaikki toivottavasti tietävät (?) ja sen jälkeen pieni listaus ihan jokapäiväisistä asioista, jotka Sinullakin pitäisi olla kunnossa.

Sinun ei pidä itseäsi toistaman

Älä koskaan käytä samaa salasanaa usemmassa palvelussa. Jos muistaminen on haaste, niin voit antaa sen tehtävän sovellukselle, joka lukitsee ne yhden pääsalasanan taakse tai säilyttää ne salakirjoitettuna tähän tarkoitukseen varatulla muistitikulla tai ihan yksinkertaisesti paperilla kassakaapissa.

Macro computer screen shot with binary code and password tex, great concept for computer, technology and online security.

Salasanassa ei tarvitse olla loputtomasti erikoismerkkejä. Vahvaan salasanaan päästään valitsemalla esimerkiksi satunnaisesti 4-5 sanaa ja korvaamalla 1-2 merkkiä numeroilla ja erikoismerkeillä. Murresanat ja muut, jotka eivät löydy sanakirjasta ovat parhaimpia. Tarkastellaan esimerkkinä kahden fiktiivisen Spotify-palvelun salasanan vahvuutta:

  1. nelj4ih4n$47unnais7a$4naa (lue: ”neljä ihan satunnaista sanaa”)
  2. $pO7I§µ (nuorille tyypillistä nettikirjoittelua, kirj. huom.)

Ensimmäiselle salasanalle on käytettyyn merkkiavaruuteen perustuen vähintään noin 6,49×1045 kombinaatiota. Maailman tehokkain supertietokone pystyy kokeilemaan 16,32×1012 kombinaatiota sekunnissa. Yhteen vuoteen mahtuu 31 536 000 sekuntia. Tietokone työskentelee siis 1,26×1025 vuotta. A++ energiatehokkuudella tämä toimitus vaatisi energiamonopolisopimuksen auringon kanssa 140 000 vuodeksi.

Vertailun vuoksi: maailmankaikkeuden ikä on noin 4,35×1017 sekuntia.

P.S. Toinen salasana murtuu 5 sekunnissa…

Sinun pitää sekä esinettä kantaman että salasana muistaman

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta:

  1. salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;
  2. sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai
  3. sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen;

Pankkiautomaatilla todennus tapahtuu sekä kortin että PIN-koodin avulla. Perinteisesti internetin eri palvelut käyttävät käyttäjänimeä ja salasanaa. Käyttäjänimi on useimmiten julkinen tai ainakin huonosti suojattu. Jotkut yleiset ja suositut palvelut tarjoavat vahvaa tunnistamista. Tartu tarjoukseen ja käytä vahvaa tunnistamista ainakin tärkeimmissä palveluissa. Verkkopalvelujen vahva tunnistaminen perustuu yleensä sekä salasanaan, jonka syötät ja esineeseen, joka on hallussasi (esim. puhelin tai tietokone). Jos et edellisestä salasanoihin liittyvästä varoituksesta ottanut vaarin, niin laita nyt heti yksi turvataso lisää tärkeimpiin palveluihin.

P.S. Lue http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ ja mieti miten helppoa Sinun sähköisen minäsi hakkerointi olisi.

Laita perusasiasi kuntoon!

Tässä listamuodossa muutamia vinkkejä.

  • Käytä internetpalveluita varten keskitettyä salasanojen hallintaa. Esimerkiksi F-Secure Key tai KeePass. Näillä voit helposti hallinnoida ja generoida uusia tehokkaita salasanoja. Muista kuitenkin vaihtaa salasanat säännöllisesti!
  • Kommentti: Snowdenin jälkeisessä maailmassa pelkäämme helposti salasanojen luovuttamista keskitettyyn hallintaan. Tästä huolesta voit helposti vapautua tutustumalla siihen, miten salaus toimii. Tärkeintä on, että valitset palvelun, jossa sekä yhteys että tiedot ovat vahvasti salattuja. Yllä mainitut ovat sellaisia. En yleensä mainosta tai suosittele, mutta F-Secure PC:lle ja mobiilille on jäätävän kova. Itse käytän paria muuta ratkaisua, johtuen nörttimäisestä kaikkien asetusten ja toimintojen hallitsemisen tarpeesta (ja sen myötä tulevasta tuskasta), mutta käyttäessäni aiemmin F-Securea en koskaan pettynyt. Vuoden 2011 jälkeen konetta hidastava vaikutus ja muistin käyttö on saatiin ohjelmistossa hyvin hallintaan. Suosi siis tässä suomalaista, jos haluat jotain helppoa, varmaa ja luotettavaa.
  • Varmistukset ovat tärkeitä ja ne on syytä suojata. Tähän voit esimerkiksi käyttää TrueCrypt ohjelmistoa. Tämä tosin ei ikinä poista salasanaan kohdistuvaa ”brute force” -tyyppisen hyökkäyksen uhkaa.
  • Käytä aina salasanojen kanssa niin sanottua ”kahdensuuntaista” autentikaatiota, jossa salasanan lisäksi sinun pitää antaa vielä erillinen vahvistus. Tämä voi olla vastaus tekstiviestiin tai YubiKey-autentikaatio.
  • Perinteiset virustorjuntaohjelmistot (anti-virus) eivät nykyään enää riitä. Haittaohjelmistojen havaitsemiseen ja poistamiseen on kuitenkin hyviä ohjelmistoja kuten, MalwareBytes, SpyBot jne.
  • Selaimiin on myös saatavilla lisäosina (add-on) mainosesto, mikä on hyvä olla varsinkin, jos laite on yhteiskäytössä (lapset klikkaavat helposti mainoksia). Yksi tällainen ohjelmisto on AdBlock.
  • Yhteiskäyttöisessä selaimessa kannattaa aina käyttää ns. turvamoodia, jolloin historiaa ja muita tietoja ei talleneta. Muista kuitenkin sulkea istunnon jälkeen selain kokonaan, sillä istunnon aikana tietyt tiedot tallentuvat levylle tietyissä selaimissa.
  • Muista myös älypuhelimen ja tabletin tieoturva! Kyseisiin laitteisiin löytyy samat ohjelmat tai vastaavat ratkaisut ja ne on syytä hankkia.
  • Muista säännöllinen päivitys ja varmistus. Automatisoi mielellään tämä rutiini, jolloin kone tekee sen niin usein kuin Sinä määräät. Tarkista välillä myös varmistusten eheys.
  • Turvaa sosiaalisen median käyttö. Some on nykypäivää ja antaa lisää mahdollisuuksia ja ulottuvuuksia yhteydenpitoon. Muista kuitenkin suojata yhteystietosi. Somessa ei myöskään kannata kovin arkaluontoista tai provosoivaa mielipidettä esitää.
  • IRL: Pankkiautomaatilla Sinun pitää toisella kädellä suojata PIN-koodin syöttäminen.
  • Sähköposteihin voi tulee niin sanottuja salasanojen ja tunnusten kalasteluhyökkäyksiä (phishing). Älä koskaan avaa näitä.

Tässä näitä yksinkertaisen sotilaan ajatuksia ja vinkkejä muille yksinkertaisille peruskäyttäjille. Korjauksia ja tarkennuksia sekä lisää vinkkejä saa mielellään lisätä kommenttikenttään. Seuraavassa merkinnässä vastaan tarkemmin kysymykseen miksi?

Pidetään maailma turvallisena!