Arkipäivän tietoturvaa: salasanahygienia ja KeePass



Samankaltaiset tiedostot
Arkipäivän tietoturvaa: TrueCryptillä salaat kiintolevyn helposti

Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Autentikoivan lähtevän postin palvelimen asetukset

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

F-Secure KEY salasanojenhallintaohjelman käyttöönotto Mac -laitteella

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

3. Ryhdy kirjoittamaan ja anna kaiken tulla paperille. Vääriä vastauksia ei ole.

Wilman käyttöopas. huoltajille. > Wilma

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

F-Secure KEY salasanojenhallintaohjelman käyttöönotto PC -laitteella

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

Sähköpostilaatikoiden perustaminen

Visma Nova. Visma Nova ASP käyttö ja ohjeet

Vastuuhenkilön ohje. TIEKE

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

Tietosuojaseloste. Trimedia Oy

Luottamuksellinen sähköposti Trafissa

SÄHKÖPOSTIN SALAUSPALVELU

1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat

TIETOTURVALLISUUDESTA

HUOLTAJAN OHJE TIETOJEN PÄIVITTÄMINEN HUOLTAJAKSI ILMOITTAUTUMINEN REKISTERÖITYMINEN

Mukaan.fi on oma verkkopalvelu juuri sinulle, joka olet kiinnostunut erityistä tukea käyttävien lasten, nuorten ja aikuisten elämästä.

ohjeita kirjautumiseen ja käyttöön

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

OPISKELIJAN REKISTERÖITYMINEN JA TYÖTILA-AVAIMEN KÄYTTÖ. 1. Mitä kaikkea saan käyttööni samoilla tunnuksilla?

Wilman pikaopas huoltajille

Kanta-palvelut vauvasta vaariin ja mummiin

Ruotsalaisten henkilöluottotietojen tarkistaminen edellyttää vahvaa tunnistamista

Voit käyttää tunnuksiasi tilataksesi materiaaleja Sanoma Pron verkkokaupasta.

DNSSec. Turvallisen internetin puolesta

Etäkoulu Kulkurin tieto- ja viestintätekniikan opetussuunnitelma

Oma kartta Google Maps -palveluun

Sähköposti ja uutisryhmät

Korkeakoulujen prosessipalvelin: mallintajan palvelinohje Versio 0.2

SUBSTANTIIVIT 1/6. juttu. joukkue. vaali. kaupunki. syy. alku. kokous. asukas. tapaus. kysymys. lapsi. kauppa. pankki. miljoona. keskiviikko.

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android Ice Cream Sandwichissä.

Ristijärven metsästysseura tysseura osti lisenssin jahtipaikat.fi verkkopalveluun, jotta seuran

Lemonsoft SaaS -pilvipalvelu OHJEET

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Tuplaturvan tilaus ja asennusohje

Facebook-sivun luominen

FyKe-Mopin opettajanohje

Jos haluat viestittää ja toimia aktiivisesti internetissä, tarvitset sähköpostiosoitteen. Sähköpostiosoitteen hankkiminen on maksutonta.

Toimittajaportaalin rekisteröityminen Toimittajaportaalin sisäänkirjautuminen Laskun luonti Liitteen lisääminen laskulle Asiakkaiden hallinta Uuden

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Ohje sähköiseen osallistumiseen

Vakuutusmeklarin ja Finanssivalvonnan välinen suojattu sähköpostiyhteys

Piippolan Metsästysyhdistys Ry Anttilantie 4 Rek.Nro Piippola

OHJE TOIMINTARYHMILLE

Windows Phone. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Windows Phone 8 -puhelimessa.

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Sähköpostitilin käyttöönotto

KÄYTTÖÖNOTTO-OHJE KONSULTEILLE

INTERNETSELAIMEN ASETUKSET. Kuinka saan parhaan irti selaimesta

ProNetti -sähköpostijärjestelmä

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

1 (5) VUOKRALISENSSIN KÄYTTÖÖNOTTO JA PILVIPISTEET AUTODESK ACCOUNTISSA. Milloin vuokra-aika alkaa?

Toimittajaportaali: Usein kysyttyjä kysymyksiä e-laskuista

KAMPUSSALASANAN VAIHTAMINEN (SAVONIA-AMK KÄYTTÄJÄT)

VIP Mobile Windows Phone. Opas asennukseen ja tärkeimpien toimintojen käyttöön

Tietoturvavinkkejä pilvitallennuspalveluiden

OPPITUNTIMATERIAALIT MEDIAKASVATUS Netiketti Säännöt

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Lapsilukko HUOMAUTUS VANHEMMILLE. Vita-järjestelmän lapsilukko, ennen kuin annat lapsesi pelata. Määritä PlayStation (1)

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään.

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Perusopetuksen tieto ja viestintätekniikan käytön taitotavoitteet

Hgin kaupungin opetusvirasto Wilma opas huoltajille 1(10) HAKE/Tiepa KKa

2. Modeemi- ja ISDN-yhteyden käyttöönotto

Ohjeistus yhdistysten internetpäivittäjille

Ohje sähköiseen osallistumiseen

Nordea Tunnusluvut -sovelluksen käyttöönotto

Asentaminen Android-laitteeseen

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Luottamuksellinen sähköposti Lapin yliopistossa. Ilmoitusviesti

Langaton Tampere yrityskäyttäjän asetukset

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

ILMOITUSSOVELLUS 4.1. Rahanpesun selvittelykeskus REKISTERÖINTIOHJE. SOVELLUS: 2014 UNODC, versio

SÄHKÖPOSTIOHJE. Opiskelijoiden Office 365 for Education -palveluun

Webkoulutus

Kuinka tasa-arvoinen ruotsinsuomalainen nainen/mies on kotona?

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

BLOGGER. ohjeita blogin pitämiseen Googlen Bloggerilla

Toimittajaportaalin pikaohje

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Peltotuki Pron Lohkotietopankkimoduli tärkkelysperunalle

Tiedostojen siirto ja FTP - 1

PÄIVITÄ TIETOKONEESI

Movendos mclinicetävastaanottopalvelun. käyttöohje terveydenhuollon asiakkaalle. Versio 1.0, maaliskuu 2019

Windows Live Turvallisesti netissä

EU Login. EU Login kirjautuminen. EU Login tilin luominen

Sähköpostitilin käyttöönotto. Versio 2.0

Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen

POSTI KONSERNIN HANKINTAPORTAALI LYHYT ESITTELY

Transkriptio:

Arkipäivän tietoturvaa: salasanahygienia ja KeePass Artikkelin on kirjoittanut Otto Kekäläinen. Edellisissä Turvallisuus-lehden numerossa on esitelty erilaisia ohjelmia salauskäyttöön, joissa kaikissa turvallisuuden perustana on ollut salasana. Salasanat ovat kuitenkin ihmisille oikeastaan ihan luonnottomia. Eihän ihminen voi muistaa merkin tarkkuudella pitkiä koodijonoja, eikä pysty unohtamaan vanhaa salasanaa pyydettäessä. Ihminen on paljon parempi tunnistamaan kuin muistamaan. Salasanojen suhteen pitää noudattaa tiettyjä luonnottomaltakin tuntuvia periaatteita, mutta se onkin helppoa, kun käytössä on sopiva työkalu. Salasanahygienia? Kaikki tuntevat käsihygienian: kädet pestään saippualla aina ennen ruokailua jne. Samalla tavalla kuin käsien peseminen ehkäisee tautien tarttumista, voidaan salasanahygienialla ehkäistä omien käyttäjätunnusten ja salasanojen väärinkäyttöä. Salasanahygienia voi tuntua turhalta kun hyötyä ei näe heti, mutta se on tärkeää varsinkin nykyisessä digiyhteiskunnassa, jossa niin paljon on kiinni salasanoista. Opettele siis noudattamaan seuraavia salasanahygienian periaatteita. 1. Säilytä salasanat turvallisesti Salasanat tulisi säilyttää paikassa, johon vain sinä itse pääset. Paras tapa olisi tietysti säilyttää kaikki salasanat päänsä sisällä, mutta koska nykypäivänä ihmisillä on lukuisia salasanoja ja PIN-koodeja muistettavanaan, ei kaiken muistaminen ole yksinkertaisesti mahdollista. Yksi hyvä paikka säilyttää salasanoja on lompakko. Lompakossa säilytetään rahaa, joten ihmiset ovat tottuneet pitämään huolta lompakostaan. Salasanat voi koodata paperilla pienellä yksinkertaisella kikalla, että vain itse osaa lukea niitä: käytä kaikissa salasanoissa yhteistä alkua jonka muistat, esimerkiksi Ma55i, ja kirjoita paperille vain salasanan loppuosa. Näin jos paperilla lukee hu8kkp, tiedät itse että oikea salasana on Ma55ihU8kkP. Lompakossa olevasta listasta tulee muistaa pitää myös kopiota, jotta lompakon hukkaamisen myötä ei hukkaa myös salasanoja. Kopiolle täytyy luonnollisesti keksiä myös turvallinen säilytyspaikka. Tähänkin voi soveltaa raha-analogiaa ja laittaa listan kassakaappiin. Lompakon lisäksi matkapuhelin on jatkuvasti mukana. Matkapuhelimille on jopa saatavilla ohjelmia, jotka on tarkoitettu nimenomaan salasanojen säilytykseen. Ohjelmien periaate on, että yhdellä pääsalasanalla suojataan salasanaluettelo, jolloin ulkoa muistettavien salasanojen määrä supistuu yhteen. Muilta osin matkapuhelimessa oleva luettelo ei ole juuri paperia parempi, koska salasanat joutuu edelleen tihrustamaan näytöltä ja näpyttelemään itse käsin tietokoneeseen, kun kirjautuu johonkin sisään. Suositeltavin vaihtoehto on salasanojen säilytysohjelman käyttö tietokoneessa. Esimerkki tällaisesta ohjelmasta on KeePass. Sen käyttö on erittäin helppoa, koska pääsalasanan syöttämisen jälkeen voi salasanaluettelosta helposti kopioida sekä käyttäjätunnuksen, että salasanan leikepöydälle ja sitä kautta viedä mihin tahansa toiseen tietokoneohjelmaan, joka vaatii salasanaa, ilman että itse joutuu näpyttelemään mitään. KeePass on saatavina useille eri käyttöjärjestelmille, kuten Windows, MacOS X, Linux ja useat älypuhelimet. Ohjelman kryptografiset toteutukset ja muu toiminta on luotettavaa, koska lähdekoodi on avointa ja se on ilmainen vapaan lisenssinsä vuoksi. KeePass on myös suomennettu. Myös Internet-selaimissa on salasanojen tallennusmahdollisuus ja esimerkiksi Firefoxissa voi asettaa myös pääsalasanan, jolla suojataan salasanaluettelo. Toiminto on hyvä lisä KeePassin ohella käytettäväksi, mutta kaikki salasanathan eivät liity verkkopalveluihin ja osassa verkkopalveluitakin selaimen salasanamuistin käyttö on estetty verkkopalvelun itsensä toimesta. 1 of 5 04.04.2011 14:36

KeePass-ohjelmalla voi pitää luetteloa salasanoistaan turvallisesti. 2. Käytä eri salasanoja eri järjestelmissä On vaarallista käyttää samaa salasanaa tai PIN-koodia useissa eri järjestelmissä. Mikäli yhden järjestelmän salasana joutuu vääriin käsiin, päästään sen avulla aiheuttamaan mittavaa haittaa käyttäjätunnuksen omistajalle useissa tietojärjestelmissä. Koska useimmat tietoturvapolitiikat tai käyttöehdot kieltävät saman salasanan käyttämisen useasti, voi itse vahingon lisäksi käyttäjätunnuksen omistajalle tulla lisäseuraamuksia esimerkiksi siitä, ettei vakuutusyhtiö suostu korvaamaan heidän mielestään käyttäjän huolimattomuudesta johtuvaa vahinkoa. Yleisin syy käyttää samaa salasanaa eri paikoissa on käyttäjän laiskuus tai huonomuistisuus. Molempiin auttaa KeePass. Lisäksi KeePassissa on salasanan automaattinen salasanaluomistoiminto, jonka avulla on helppo noudattaa käytäntöä, että jokainen uusi salasana on aina täysin erilainen kuin mikään aikaisempi. KeePassin avaamisessa pitää antaa pääsalasana. Se onkin ainoa salasana minkä tarvitsee muistaa KeePassin käyttöönoton jälkeen. 3. Käytä riittävän monimutkaisia salasanoja Yleensä ihmisillä on nykyisin niin monimutkaiset salasanat, että toinen ihminen ei jaksa kokeilla riittävän montaa vaihtoehtoa löytääkseen toisen käyttäjän salasanaa. Salasanojen kokeilu voidaan kuitenkin suorittaa tietokoneella, joka järjestelmästä riippuen voi kokeilla jopa miljardeja vaihtoehtoja päivässä. Salasanan vahvuus pitäisi olla tietokonekielellä ilmaistuna vähintäänkin 58 bittiä, eli todennäköisyys arvata salasana on yksi sadasta 2 of 5 04.04.2011 14:36

tuhannesta biljoonasta (100 000 000 000 000 000). Tällöin tietokone löytäisi salasanan 50 prosentin todennäköisyydellä 50 tuhannella biljoonalla yrityksellä ja jos tietokone kokeilee miljardi salasanaa päivässä, menisi yrityksiin 395 tuhatta vuotta. Ihmiskielellä ilmaistuna riittävän monimutkainen salasana on vähintään yhdeksän merkkiä pitkä ja sisältää sekä pieniä kirjaimia, isoja kirjaimia, numeroita ja erikoismerkkejä. Lisäksi salasanan tulee olla mahdollisimman sattumanvaraisesti valittu. Salasanojen murto-ohjelmat eivät nimittäin yritä salasanoja järjestyksessä aaa, aab, aac vaan ne aloittavat käymällä läpi sanakirjan, sitten ne ottavat sanakirjasta sanoja ja yhdistävät niiden alkuun tai loppuun numeroita jne. Salasana Kissa-koira99 täyttää merkki- ja pituusvaatimukset, mutta se ei ole kovin sattumanvarainen koska iso kirjain on alussa, sanakirjasta löytyviä sanoja ja numero lopussa kaikki tyypillisiä piirteitä ihmisten keksimissä salasanoissa ja siksi todennäköisesti juuri sitä mitä salasanojen murto-ohjelmat kokeilevat ensin. Tässäkin tietokoneohjelmasta on hyötyä. KeePass sisältää toiminnon, joka kertoo käyttäjän salasanan vahvuuden ja auttaa luomaan satunnaisia vahvoja salasanoja. KeePass kertoo kuinka vahva salasanasi on, ja sillä voi luoda hyviä salasanoja myös automaattisesti. 4. Vaihda salasana säännöllisesti Mikäli jokin tietokoneohjelma yrittää kokeilla eri salasanavaihtoehtoja käyttäjän salasanan löytämiseksi, joutuu se aloittamaan työn alusta aina kun käyttäjä vaihtaa salasanansa. Jos esimerkiksi Matin salasana on ijhg%68km ja jokin tietokoneohjelma yrittää löytää tämän kokeilemalla miljardia vaihtoehtoa päivässä, on löytymistodennäköisyys kahden vuoden sisällä alle kolme miljoonasta. Näin ollen jos Matti vaihtaa salasanaansa kahden vuoden välein, on salasanan löytymistodennäköisyys pysyvästi lottovoiton tasoa. Mikäli salasana on riittävän hyvä, sopiva salasanan vaihtoväli on yksi tai kaksi vuotta. Jos esimerkissä Matin salasanan olisi huono, kuten vaikkapa matti69, löytäisi samainen tietokone Matin salasanan päivässä vajaan prosentin todennäköisyydellä. Vaikka Matti vaihtaisi salasanansa joka päivä, paljastuisi se varmuudella silti viiden kuukauden sisällä. Tässä mielessä riittävän monimutkainen salasana on ratkaisevaa, eikä pakotettu salasanan vaihto muutaman viikon tai kuukauden välein ole tehokas tapa parantaa tietoturvaa. Pikemminkin päinvastoin, koska salasanan vaihtamiseen liittyy aina vaivannäköä ja omat riskinsä. Jos joku on kurkkinut olkasi yli tai muuten epäilet, että salasanasi on paljastunut, kannattaa se vaihtaa ylimääräisen kerran. Hyvin tehdyt tietojärjestelmät kertovat sinulle sisäänkirjautumisen yhteydessä koska 3 of 5 04.04.2011 14:36

kirjauduit sisälle edellisen kerran ja mahdollisesti, miltä tietokoneelta vierailu tuli. Jos järjestelmä kertoo sinun olleen sisällä edellisen kerran juuri silloin kun olit lomalla, osaat päätellä, että jotain on vinossa. Salasanojen iän seurannassakin voi hyödyntää KeePassia. Se näyttää jokaisesta siihen tallennetusta salasanasta päivämäärän jolloin se on otettu käyttöön. 5. Älä koskaan kerro salasanaasi kenellekään Kenelläkään ei ole mitään syytä tietää salasanaasi. Älä siis ikinä paljasta salasanaasi edes ylläpitäjälle, vaikka hänellä olisi kuinka hyvä syy udella salasanaasi. Kaikissa tietojärjestelmissä ylläpitäjä voi aina nollata tai vaihtaa käyttäjän salasanan, jos jostain syystä on tarvetta käyttää jonkin yksittäisen käyttäjän tunnuksia. Yleisin syy tietomurtoihin on se, että käyttäjä on syystä tai toisesta mennyt paljastamaan salasanansa. Ethän sinä lankea kenenkään manipulointiin? 6. Lähetä salasanasi oikealle kohteelle ja vain suojatussa yhteydessä Kun olet aikeissa kirjautua johonkin järjestelmään, tarkista että kohde on oikea. Esimerkiksi verkkopankkiin mennessäsi tarkista osoiteriviltä, että siinä on oikea osoite. Parhaan varmuuden saat kun avaat sivuston kirjoittamalla osoitteen itse tai valitsemalla sen omista kirjainmerkeistäsi sen sijaan, että napsauttaisit osoitteen auki esimerkiksi saamastasi sähköpostiviestistäsi. Tarkista myös, että yhteys on salattu. Internetissä kaikki tietoliikenne on helposti kenen tahansa matkan varrella olevan salakuunneltavissa, ellei se ole kunnolla salattu. Verkkosivustojen osalta tarkista, että osoite alkaa https://www... ja että selaimessasi on asianmukaiset salauksesta kertovat merkit näkyvissä. Kirjain S tulee sanasta secure. Jos käyttää sähköpostin lukemiseen erillistä ohjelmaa, kannattaa tarkistaa sen asetuksista, että saapuva posti haetaan salatulla IMAP-yhteydellä (usein nimeltään IMAPS) ja viestit lähetetään salatulla SMTP-yhteydellä. Tiedostonsiirrot kannattaa hoitaa SFTP-yhteydellä. Lisäksi kannattaa tarkistaa myös minkälaisia yhteyksiä esimerkiksi IP-puhelinohjelmisto tai verkkotulostin käyttää. Salausjärjestelmien käyttöön liittyy myös aina kysymys siitä, onko yhteys salattu oikealla avaimella? Jos yhteys on salattu siten, että salausavain on salakuuntelijan tiedossa tai jopa salakuuntelijalta saatu, ei riitä että tarkistaa salauksen olemassaolon. Salausavaimen oikeellisuuden tarkistaminen vaatii valitettavasti melko paljon asiantuntemusta. Jos pankin verkkosivuille mennessä selainohjelma esimerkiksi ilmoittaa, että varmenne on myönnetty väärälle palvelimelle, voi asian selvittämisen aloittaa soittamalla pankille ja kysyä, ovatko he itse tietoisia asiasta. Kaikkia salatun yhteyden käyttöön liittyviä yksityiskohtia ei voi tässä listata, mutta toisaalta lukijan ei tarvitse niitä yleensä tietääkään. Tärkeintä on periaatteen ymmärtäminen ja että käyttäjällä soi hälytyskellot, mikäli jokin kielii siitä, että yhteys ei ole salattu tai yhteyden toinen puoli on jokin muu kuin mikä sen pitäisi olla. Avoimuus lisää luotettavuutta Miten käyttäjä uskaltaa tallentaa kaikki tärkeät salasanansa yhteen tietokoneohjelmaan? Mistä tietää, ettei tietokoneohjelma lähetä luetteloa jollekin kräkkerille? Tai voiko käyttäjä luottaa siihen, että luettelo on oikeasti kunnolla salattu, ettei sitä pysty avaamaan vaikka se joutuisi vääriin käsiin? KeePass on julkaistu vapaalla lisenssillä ja se perustuu avoimeen lähdekoodiin. Tämän ansiosta kuka tahansa riittävän osaava henkilö voi tarkistaa miten ohjelma toimii ja siten varmentaa, että se tekee mitä sen kuuluukin. Avoin kehitysmalli mahdollistaa myös sen, että mikäli joku maailmassa keksii alkuperäistä tekijää paremman tavan toteuttaa jokin asia, voi tämä lähettää parannuksensa otettavaksi mukaan ohjelmaan. Pitkässä juoksussa kaikki hyötyvät, kun tietokoneohjelman teossa noudatetaan tieteellistä ja avointa toimintatapaa. KeePassin kotisivuilla olevan sitaatin mukaan yksi maailman kuuluisimmista tietoturva-asiantuntijoista, Bruce Schneier on todennut, että avoimuus on turvallisuuden edellytys. Lähde ja lisenssi Tämä artikkeli on alun perin julkaistu Turvallisuus-lehdessä 1/2010. Copyright Otto Kekäläinen ja Turvallisuus-lehti 2010. 4 of 5 04.04.2011 14:36

Artikkeli on julkaistu VALO-CD:llä tekijän ja Turvallisuus-lehden toimituksen luvalla. Artikkelissa mainittu ohjelma on asennettavissa VALO-CD:ltä. 5 of 5 04.04.2011 14:36

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute