Disclosure: Mainitsen tässä jutussa muutamia kaupallisia tuotteita. Minulla ei ole mitään tekemistä niiden tomittajien kanssa eikä minulle makseta niiden mainostamisesta.
Hajoita ja hallitse
Olen vuosien varrella rekisteröitynyt kymmeniin tai kenties satoihin verkkopalveluihin. Minulla oli ennen muutama eri salasana, joita käytin eri palveluissa sen mukaan, miten tärkeiksi näin niiden turvaamisen. Ongelma salasanojen kierrättämisessä on se, että jos yksi palvelu on vastuuton ja tallentaa salasanat tekstinä eikä tarkistussummana ja juuri se palvelu krakkeroidaan, niin silloin rikollisilla on hallussa salasana, joka käy muihinkin palveluihin mihin olet rekisteröitynyt. Heillä on myös mahdollisesti sähköpostiosoitteesi, mikä on monissa palveluissa käyttäjätunnus. Heillä on helppo työ kokeilla varastamaansa salasanaa ja osoitetta suosituimpiin palveluihin.
Lääke tätä ongelmaa vastaan on käyttää joka paikassa eri salasanaa. Koska eri palveluja on kymmeniä on selvää, että jonkunlainen salasananhallintatyökalu on välttämätön. Minulla se on LastPass. LastPass muistaa kaikki salasanani ja täyttää ne automaattisesti puolestani. Minun tulee muistaa vain yksi turvallinen salasana avatakseni salasanaholvin ja sen jälkeen ohjelma hoitaa loput. LastPass on saatavilla Windowsille, OSX:lle ja Linuxille, sekä useille mobiilialustoille. Mobiilialustojen käyttäminen vaatii tosin maksullisen version, mutta onneksi se on naurettavan halpa, eli 12 USD vuodessa.
Heikko kohta
Jos olet hieman vainoharhainen kuten minä, olet jo varmasti tajunnut, että LastPass-holviisi tunkeutumalla hyökkääjä saisi salasanat kaikkialle. Onneksi se on käynyt mielessä myös palvelun kehittäjillä. Kaikki salasanat kryptataan asiakkaan koneella, jonka jälkeen ne läheteään LastPass-severille, missä ne kryptataan uudestaan (käsittääkseni useampaan kertaan). Heillä siis ei ole missän olosuhteissa pääsyä käsiksi sinun salasanoihisi, eikä siten ole tunkeutujallakaan.
Entä keyloggerit? Niitä tilanteita varten, kun joudut kirjautumaan julkiselta koneelta LastPass antaa useita vaihtoehtoja turvata tilisi. Ensimmäinen vaihtoehto on kuvaruutunäppäimistö. Silloin salasanasi on vain hiiren liikettä ruudulla, eikä keylogger saa sitä. Toinen vaihtoehto on kertakäyttösalasanojen käyttäminen. Ne ovat tosin julmetun pitkiä, eivätkä siten kovin käteviä. Kolmas vaihtoehto kahden tekijän autentikointi. Yubikey on pienen USB-tikun kokoinen laite, joka näkyy tietokoneelle USB-näppäimistönä. Se syöttää yhdellä napin painalluksella 20 merkkiä pitkän kertakäyttösalasanan, joka siis vaaditaan tavallisen salasanasi lisäksi. Hyökkääjän on mahdotonta avata tiliäsi ilman salasanaasi ja Yubikeytäsi. Yubikey maksaa postikuluineen ja veroineen noin 25 EUR.
Nyt voin käyttää jokaisessa palvelussa eri salasanaa, eikä minun tarvitse muistaa niitä, joten ne voivat olla vaikka kymmeniä merkkejä pitkiä. Minun tarvitsee vain muistaa LastPass-salasanani ja pitää visusti huolta Yubikeystani.
Ei kommentteja:
Lähetä kommentti