Täydellistä maailmaa ei olekaan. Adobe on ilmoittanut joutuneensa murron kohteeksi ja on mahdollista, että asiakkaiden AdobeID sekä salasanoja (kryptattuja) on päätynyt murtautujan haltuun. Onkin tärkeää käydä vaihtamassa oma salasana uuteen mahdollisimman pian.
Adobe on ryhtynyt toimiin tilanteen korjaamiseksi ja voit lukea lisää asiasta Adoben blogista http://blogs.adobe.com/conversations/2013/10/important-customer-security-announcement.html Suomenkielisen ilmoituksen ja ohjeet salasanan vaihtamiseksi voit lukea osoitteesta http://helpx.adobe.com/fi/x-productkb/policy-pricing/customer-alert.html
Miten salasanat talletetaan
En mene tekniikkatasolla syvälle mutta muistutan siitä, että murtautujat eivät ole saaneet haltuunsa salasanoja vaan salasanan tarkistamiseen tarvittavan kryptatun koodin. Yksikään ”oikein” toteutettu palvelu ei tallenna salasanoja selväkielisessä muodossaan vaan ”suolatun” ja kryptatun merkkijonon. Oikein toteutettuna tämä kryptausta edeltävä suolaus on jokaiselle käyttäjälle yksilöllinen, jolloin yhden käyttäjän salasanan onnistunut de-kryptaus ei anna keinoa avata muiden käyttäjien salasanoja.
Adobenkin tapauksessa mahdollisesti vuotaneet salasanat ovat näitä ”suolattuja”, kryptattuja merkkisarjoja – ei käyttäjien salasanoja vaan salasanan tarkistamiseen käytettäviä merkkijonoja.
Hyvä Salasana
Nykyään on muistettava salasanoja moniin eri palveluihin. Muutama vinkki salasanan valitsemiseen ja muistamiseen.
1. Älä käytä samaa salasanaa eri palveluissa
En halua loukata lukijoita perustelemalla miksi.
2. Älä käytä tuttuja ja selväkielisiä sanoja salasanoina
Tämä on toki tulkinnan varainen ohje. Salasanan urkkiminen ja selvittäminen voi tapahtua monella tavalla ja erilaiset salasanan muotoa koskevat ohjeet vaikuttavat eri tavoin. Pitäisin kuitenkin ohjeena sitä, ettei salasana ole helposti arvattava eikä selväkielinen sana.
3. Älä käytä eri palveluihin yhtä tunnusta
Nykyisin voi rekisteröityä useisiin palveluihin esimerkiksi Facebook käyttäjätunnuksella. Näissä tapauksissa Facebook suorittaa tunnistamisen ja välittää palvelua käyttävälle taholle vain tiedon siitä oliko kirjautuminen onnistunut. Yhden tunnuksen käytössä on omat ongelmansa. Tätäkään ei liene tarpeen perustella tarkemmin. Jokainen ymmärtää mitä seuraisi siitä, että joku onnistuisi hankkimaan tietoonsa tämän ”Master” kirjautumistunnuksen.
4. Hyvän salasanan muoto
Käytä salasanassa isoja ja pieniä kirjaimia, erikoismerkkejä ja numeroita. Älä tyydy liian lyhyeen ja pelkistä kirjaimista tai numeroista koostuvaan salasanaan. Monet palvelut edellyttävätkin jo salasanalta jotenkin järkevää tasoa mutta useimmat eivät. Vastuu hyvästä salasanasta on siis sinulla. Käytä sitä, se on oikeus ei vastuu ja velvollisuus.
5. Kehitä itsellesi hyvä salasana rakenne ja muistisääntö
Voit kehittää itsellesi säännön, jolla rakennat eri palveluihin yksilöllisen salasanan ja kuitenkin muistat sen. Yksinkertaisimmillaan muodostat salanan esimerkiksi palvelun tunnistavasta osasta ja toistuvasta osasta. Näin ollen esimerkiksi palveluun www.awesomesuperservice.fi salasanan voisi muodostaa domaintunnuksesta. Otetaan esimerkiksi 3 ekaa kirjainta ja kolme seuraavaa konsonanttia isoilla kirjaimilla. Palvelun tunnistava osa olisi aweSMS. Tämän perään liitetään salasanojen toistuva osa; esimerkiksi !91Nood. Eli salasana olisi aweSMS!”91Nood.
Kehittämällä jonkin vastaavan säännön muistat helposti salasanan kaikkiin eri palveluihin. Edellä on vain yksi esimerkki. Kehitä omasi ja kuten huomat; sinun tarvitsee vain muistaa sääntö, jolla tunnistat palvelun sekä aina käyttämästi toistuva osa.
Ja ihan tiedoksi kaikille neropateille, Minulla on käytössä vastaavan tyyppinen järjestelmä ja se on toiminut jo vuosia. Salasanani rakennan kuitenkin eri säännöillä ja rakenteilla kuin edellä kuvasin, joten turha …
6. Salanalle vaihtoehto
On myös olemassa palveluita ja sovelluksia, jotka muistavat salasanasi eri palveluihin ja kirjautuvat niihin puolestasi. Sinun tarvitsee vain muistaa ns. master-salasana. En suosittele nyt yhtään sillä minulla ei ole niistä riittävää kokemusta. Salasanatunnistuksen on ennustettu poistuvan vanhentuneena ja turvattomana muta siihen menee vielä aikaa. Siispä edelleen on tärkeää, käytä hyviä salasanoja.
7. Salasanojen vaihtaminen
Salasana suositellaan vaihdettavaksi ajoittain. Tämä on yksi perustelemattomia tai heikosti perusteltuja ”totuuksia”. Miksi salasana pitäisi vaihtaa ajoittain. Ei se kulu vaikka sitä käytetäänkin. Mikäli salasana on alunpitäen riittävän turvallinen ja palvelua ei ole hakkeroitu, ei salasana muutu turvattomaksi ajan myötä. Ainoa perustelu, joka nyt tulee mieleen on se, että joku on saanut salasanasi tietoon ja käyttää sitä tietämättäsi. Tällöin ajoittainen salasanojen vaihtaminen lopettaisi luvattoman käytön.
Käyttäjätunnuksen valinta
Käyttäjätunnuksen valinta on taas aivan oma tarinansa. Monissa palveluissa sitä ei voi valita vaan on tyydyttävä sähköpostiosoitteeseen. Niissä tapauksissa miettisin joihinkin palveluihin erillisen sähköpostiosoitteen käyttöä; en sitä kaikkein yksityisintäni (onko mulla sellainen) tai työosoitetta.
Mutta kukin tyylillään. Toivottavasti esimerkkini auttaa suunnittelemaan salasanastrategiaa. Lopuksi vielä kehotus: Se AdobeID salasana vaihtoon nyt heti. Varmuuden vuoksi ja siinä samassa voit soveltaa uutta kehittämääsi nerokasta salasanasysteemiä, jolla et enää koskaan unohda salasanaa ja voi silti käyttää vahvoja ja vaikeasti arvattavia salasanoja.
Salasanan vaihtohommiin, Mars.