Älkää käyttäkö huonoja salasanoja, käyttäkää salasanojen hallinnoijaa.
Stephen Shankland/CNET
Toimittajan huomautus: Maailman salasanapäivän kunniaksi CNET julkaisee uudestaan valikoiman tarinoitamme, jotka käsittelevät salasanojen parantamista ja vaihtamista.
Jos kuulut niihin lukemattomiin ihmisiin, jotka käyttävät harkitsemattomasti helposti arvattavia salasanoja tai käyttävät salasanaa uudelleen useilla tileillä, kyberturvallisuusasiantuntijoilla on sinulle viesti: Se ei ole sinun vikasi. Yksilöllisen, monimutkaisen salasanan muistaminen jokaista tiliä varten on mahdotonta.
Mutta juuri siinä tietokoneet ovat hyviä. Siksi monet kyberturva-asiantuntijat suosittelevat salasanahallinnan käyttöä. Se on ohjelmistoapuohjelma, joka tallentaa salasanat turvallisesti ja täyttää ne automaattisesti kirjautumissivuille. Niiden avulla voit suojata jokaisen verkkotilisi vahvalla salasanalla.
”Suosittelen kaikille sen käyttöä”, sanoo Matias Woloski, Auth0-tunnistusyrityksen teknologiajohtaja ja salasanaturvallisuuden asiantuntija. ”Salasanojen hallinnoijat ovat nykyään paras vaihtoehto.”
Hyötyisit luultavasti salasanahallinta-avusta. Tietomurroissa löydetty käytetyin salasana on edelleen ”123456”, selviää kyberturvallisuusyritys SplashDatan tiedoista, ja toiseksi yleisin salasana on tietysti ”salasana”. Keskivertoihminen käyttää vain 13 yksilöllistä salasanaa, ja lähes kolmannes sanoi käyttävänsä vain kahta tai kolmea salasanaa kaikkiin tileihinsä, ilmenee virustorjuntaohjelmistoyhtiö McAfeen vuonna 2018 tekemästä tutkimuksesta.
Jos haluat laajemman katsauksen, katso CNETin tämän viikon katsaukset salasanaongelmista ja korjauksista, kuten laitteiston turva-avaimista, syistä, joiden vuoksi jotkin vanhat salasanojen poimintasäännöt ovat nyt vanhentuneita, ja varoittava tarina siitä, mikä salasanahallinnassa voi mennä pieleen.
Sinulla on useita salasanahallintavaihtoehtoja. On olemassa erityisiä työkaluja, kuten LastPass, BitWarden, Dashlane, Keeper ja 1Password. Verkkoselaimissa, kuten Safarissa, Chromessa ja Firefoxissa, on myös sisäänrakennettu salasanahallinta, joka on rajoitetumpi, varsinkin jos käytät useita selaimia, mutta ne ovat kehittymässä.
Valitettavasti salasanahallintaohjelmat voivat olla monimutkaisia, eivätkä ne aina toimi sujuvasti verkkosivustojen ja sovellusten kanssa. Tämä saattaa olla syy siihen, miksi vain 3 prosenttia internetin käyttäjistä luottaa ensisijaisesti salasanojen hallintaan, kertoo Pew Research Institute. Woloski ehdottaa, että alkuun pääsee jonkun teknisemmän henkilön avulla.
Salasanahallintaohjelmat voivat silti auttaa sinua liikkumaan internetissä paljon pienemmällä riskillä. Vaikka teknologiateollisuus on vihdoin keksimässä todellisia vaihtoehtoja salasanoille ja tapoja, joilla niistä voi luopua kokonaan, joudut silti vielä vuosien ajan käyttämään kymmeniä tai satoja salasanoja. Salasanojen hallintaohjelmat voivat auttaa, vaikka ne eivät olekaan täydellisiä
Mikä on salasanojen hallintaohjelma?
Salasanahallintaohjelmat luovat yksilöllisiä, monimutkaisia salasanoja jokaista sivustoa varten, tallentavat ne turvallisesti ja syöttävät ne eri selaimilla ja tietoteknisillä laitteilla. Voit käyttää niitä selainlaajennuksina tai mobiilisovelluksina, jotka täyttävät kirjautumissivut käyttäjätunnuksellasi ja salasanallasi puolestasi.
Hyötyjä on valtavasti. Ensinnäkin sinun ei tarvitse muistaa mitään salasanoja ulkoa (paitsi salasanahallintasi salasanaa). Tämä tarkoittaa, että voit itse asiassa noudattaa epämiellyttäviä mutta hyödyllisiä tietoturvaohjeita, kuten sitä, ettet koskaan käytä salasanaa uudelleen ja käytät aina pitkiä, monimutkaisia salasanoja, kuten $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Seuraavaksi salasanahallinta auttaa suojautumaan phishing-hyökkäyksiltä, jotka ohjaavat sinut vilpillisille verkkosivustoille ja yrittävät huijata sinut syöttämään salasanasi. Salasanahallintaohjelmat tarjoavat kirjautumistietojasi vain silloin, kun olet oikealla verkkosivustolla.
Viimeiseksi monissa salasanahallinnoissa on ominaisuuksia, jotka kertovat, kun sivustolla on tapahtunut tietomurto. Ne voivat myös kertoa, jos käyttämäsi salasana on löytynyt varastettujen käyttäjätietojen varastosta, kuten ainakin 555 miljoonaa salasanaa. Nämä ovat merkkejä siitä, että salasanasi on vaihdettava välittömästi. Salasanojen hallintaohjelmat voivat myös auttaa sinua löytämään heikot tai uudelleen käytetyt salasanat.
Pitäisikö sinun säilyttää kaikki salasanasi yhdessä paikassa?
Vakiovinkkinä on vuosikymmeniä ollut salasanojen ulkoa opetteleminen, joten salasanojen tallentaminen yhteen paikkaan tuntuu hieman väärältä. Ja tietysti olisi kauheaa, jos hakkerit voisivat murtautua salasanahallintaasi ja päästä käsiksi kaikkiin tileihisi.
Siltikin salasanahallintajärjestelmien turvallisuus on osoittautunut kestäväksi. Hakkerit ovat päässeet vain vähän eteenpäin varastamaan käyttäjätietoja salasanahallinnoista – eräässä murroskohteessa päästiin esimerkiksi LastPassin käyttäjien turvakysymysten vihjeiden vaarantamiseen asti – mutta yksikään tunnettu hyökkäys ei ole päässyt käsiksi varsinaisten salasanojen välimuistiin.
Totta kai hakkerit voivat lopulta murtaa tuon suojauksen, mutta on paljon todennäköisempää, että he kohdistavat sinuun phishing-hyökkäyksen salasanojesi varastamiseksi, sanoi Mark Risher, Googlen tiliturvallisuudesta vastaava johtaja. Lisäksi salasanahallinnan käyttäminen rajoittaa mahdollisuuksia joutua phishing-hyökkäyksen kohteeksi.
Video: Huonojen salasanojen maailmassa turva-avain voi olla uusi paras ystäväsi
Tietenkin sinun on oltava varovainen. Kun kaikki salasanamunasi ovat yhdessä salasanahallinnan korissa, varmista, että löydät keinon muistaa pääsalasanasi tai salainen avaimesi. Voit kirjoittaa sen ylös, kunhan säilytät sen jossakin turvallisessa paikassa. Voit myös viedä salasanasi aika ajoin taulukkolaskentataulukkoon, kunhan lukitset sen salaamalla (tai laitat tulostetun kopion lukittuun arkistolaatikkoon).
Jos menetät pääsyn tilillesi, joudut käymään läpi kaikkien muiden tiliesi salasanan palautusprosessin, mikä olisi erittäin suuri päänsärky.
Salasanahallinnan haittapuolia
Salasanahallintaa käytettäessä on valitettavasti varauduttava koviin vastoinkäymisiin. Pelkästään tietojen lisääminen kaikista olemassa olevista tileistäsi palveluun on työtä, vaikka useimmat salasanahallintaohjelmat tarjoavat työkaluja tietojen tuomiseen selaimesta tai muista salasanahallintaohjelmista. Lisäksi salasanahallinnan ottaminen käyttöön puhelimessa vaatii ylimääräisiä vaiheita.
Periaatteessa suurin ongelma on se, että jotkin verkkosivustot eivät pelaa hyvin yhteen salasanahallintaohjelmien kanssa ja aiheuttavat sellaisia hankalia ja vastenmielisiä ongelmia, jotka saavat sinut haluamaan heittää tietokoneesi ulos ikkunasta.
Salasanahallintaohjelmat eivät esimerkiksi joskus huomaa kirjautumiskenttiä. Tai ne voivat haparoida, kun sivustot pyytävät lisätietoja, kuten PIN-koodia tai suosikkielokuvaa.
Joskus verkkosivut eivät pelaa yhteen salasanahallintaohjelmien kanssa.
Brett Pearce/CNET
Kaikkein pahempaa on se, että jotkin verkkosivut estävät automaattisen täyttötoiminnon ja estävät salasanahallintaohjelmia syöttämästä sisäänkirjautumistietojasi. Eräs australialainen pankki, CommBank, neuvoo asiakkaita olemaan tallentamatta pankkitunnuksiaan salasanamanageriin. CommBank sanoi lausunnossaan, että se näkee salasanojen hallinnan arvon, mutta uskoo, että hakkerit löytävät keinoja huijata sen asiakkaita kehittyneillä phishing-menetelmillä, jos he käyttävät salasanojen hallintaa.
”Verkkopankkisalasanoja varten suosittelemme, että asiakkaat luovat vahvan salasanan, joka on yksilöllinen jokaiselle tilille, eivätkä kirjoita sitä ylös”, yhtiön tiedottaja sanoi. Tietoturva-asiantuntijoiden mukaan tämä tekee silti paljon todennäköisemmäksi, että asiakkaat käyttävät heikkoja tai uudelleen käytettyjä salasanoja.
1Password puuttuu automaattisen täyttämisen estämiseen tekemällä yhteistyötä verkkoselaimien valmistajien kanssa, jotka haluavat saada verkkosivut sallimaan ominaisuuden, sanoi yhtiön operatiivinen johtaja Matt Davey.
”He yrittävät ohittaa ne sivustotasolla ja täyttää ne kuitenkin automaattisesti”, Davey sanoi selainvalmistajista. 1Password ottaa myös suoraan yhteyttä verkkosivustoihin ja kertoo niille, että niiden pitäisi päästä mukaan ohjelmaan ja antaa käyttäjiensä kirjautua sisään salasanahallintaohjelmalla.
Jopa teknisesti taitavat ihmiset kamppailevat salasanamanagerien kitkan kanssa. Kimber Dowsett, kyberturva-asiantuntija, joka on aiemmin auttanut NASA:n järjestelmien suojaamisessa ja työskentelee nykyään tietoturvatekniikan johtajana ohjelmistoinfrastruktuuriyritys Trussissa, turhautui hiljattain, kun hän yritti kirjautua pankin verkkosivustolle. Hän joutui kirjoittamaan kirjautumistietonsa manuaalisesti, koska verkkosivusto esti hänen salasanahallintansa.
Tuli vielä yksi ongelma: hän ei osannut sanoa, oliko merkin salasana numero nolla vai O-kirjain, joten hänen oli arvattava.
”Suuri osa kitkasta helpottuisi, jos sovelluskehittäjät vain sallisivat automaattisen täyttämisen ja liittämisen, jotta voisimme todella käyttää salasanahallintaa tarkoitetulla tavalla”, Dowsett sanoi. ”Avaimen heittäminen siihen ei auta ketään meistä.”
Salasanoja käytetään vähemmän
Hyviä uutisia on kahdella rintamalla. Ensimmäinen on se, että Chromen, Safarin ja Firefoxin valmistajat vahvistavat omia salasanahallintojaan. Apple on rakentanut sellaisen iOS:ään ja ottaa sen käyttöön oletusarvoisesti. Näitä ominaisuuksia voi käyttää laitteissa, joita hallitset salasanalla tai biometrisellä kirjautumisella. Lisäksi niiden pitäisi tehdä salasanojen digitaalisesta tallentamisesta yleisempää ja mahdollisesti pakottaa verkkosivustojen kehittäjät käyttämään automaattisen täyttämisen ja liittämisen kaltaisia ominaisuuksia.
Toiseksi, uusien teknologioiden ansiosta salasanoja voi käyttää vähemmän. Biometriikka, kuten sormenjäljet ja kasvot, vähentää tarvetta esittää salasana joka kerta, kun käytät palvelua. Single sign-on -palvelujen avulla voit kirjautua yhdelle sivustolle toisella tilillä, kuten Googlen, Applen tai Facebookin tilillä. Sinun on kuitenkin voitava jakaa enemmän tietoja käyttämistäsi palveluista näiden teknologiajättien kanssa.
Kolmanneksi monitekijätodennus, turva-avaimet ja muut todennustekniikat auttavat parantamaan salasanojen turvallisuuspuutteita. Lopulta sinun ei ehkä tarvitse käyttää salasanoja lainkaan.
Tämä innovaatio ei korvaa salasanoja lähiaikoina, sanoo BigID:n toimitusjohtaja Dimitri Sirota, jonka yritys auttaa yrityksiä suojaamaan henkilötietoja. Se alkaa kuitenkin murtaa salasanojen ensisijaisuutta tilien suojaamisessa. Se on hänen mukaansa hyvä asia.
”Salasanat ovat olleet standardi jo pitkään”, Sirota sanoi. ”Ja sellainen, josta kukaan ei ole erityisen iloinen.”
Julkaistu ensimmäisen kerran 10. maaliskuuta 2020 klo 5.00 PT.