Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta

Samankaltaiset tiedostot
IT-palvelujen ka yttö sa a nnö t

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Ruotsalaisten henkilöluottotietojen tarkistaminen edellyttää vahvaa tunnistamista

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat

Vahva vs heikko tunnistaminen

RUOTSALAISTEN HENKILÖLUOTTOTIETOJEN TARKISTAMINEN EDELLYTTÄÄ VAHVAA TUNNISTAUTUMISTA

Rovaniemen koulutuskuntayhtymän ICT-palveluiden käyttösäännöt

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään.

Navigator ja Siemens ID

Lapin yliopiston ICT-palveluiden käyttösäännöt

Työsähköpostin sisällön siirto uuteen postijärjestelmään

Emmi-sovelluksen kirjautumisohje

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

IT-palvelut. IT-palvelut ja käytännön asioita

Fi-verkkotunnus yksilöllinen ja suomalainen

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

Wilman pikaopas huoltajille

Yritys nimeltä Redicom

Kemikaalitieto yhdestä palvelusta

Laurea-ammattikorkeakoulu. tietotekniikkapalvelujen kayttosaannot versio 2.0

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Huom! Tunnuksesi pitää olla aktivoitu ennen tilin luomista ja sen yhteydessä näet sähköpostiosoitteesi tarkan muodon.

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Kemikaalitieto yhdestä palvelusta

Ohje Emmi-sovellukseen kirjautumista varten

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

Lemonsoft SaaS -pilvipalvelu OHJEET

SG550. Riistakameran MMS- ja GPRS- asetukset

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

Kiekun käyttövaltuushallinnan uuden välineen tuomat muutokset alkaen

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Tietotekniikkakeskuksen palvelut ja opiskelijan tietoturva

Tonttihakemuksen tekeminen

Sähköpostitilin käyttöönotto

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

käyttöönotto opiskelijalle

KAMPUSSALASANAN VAIHTAMINEN (SAVONIA-AMK KÄYTTÄJÄT)

Kirjautuminen sähköisiin palveluihin jälkeen

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

Effican käyttö - Yleiset asiat

Sähköpostilaatikoiden perustaminen

2. Kirjoita sähköpostiosoitteesi sille varattuun kenttään ja paina Lähetä varmistusviesti -painiketta.

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

käyttöönotto työpaikkaohjaajalle

Sähköpostitilin luonti

asti. Kampanjakoodi mainittava tilauksessa. yli 200 itse muokattavaa raporttimallia paperille, PDF- tai CSV-muotoon

TAY MOODLEEN KIRJAUTUMINEN

OHJE TYÖPAIKKAHAKEMUKSEN JÄTTÄMISEEN EREKRY-JÄRJESTELMÄN KAUTTA

KVH YLEISTILANNE VJ hankkeen- Kick Off Teemu Pukarinen, projektipäällikkö, Vimana. Julkinen

SuomiCom-sähköpostiasetukset Microsoft Outlook 2016

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Yliopistohaku.fi -palvelun Oma haku -palvelu

OSA 1 LUKON ASENNUS JA KYTKENTÄ. Lukon asennusosat

Tietoturvan haasteet grideille

KATSO-PALVELUN KÄYTTÖOHJE

POSTI KONSERNIN HANKINTAPORTAALI LYHYT ESITTELY

Tekstiviestipalvelun rajapintakuvaus

JOVISION IP-KAMERA Käyttöohje

Tietoturvan haasteet grideille

KÄYTTÖÖNOTTO-OHJE KONSULTEILLE

Sähköpostisäännöt lyhyesti

Kaislanet-käyttöohjeet

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Asiointipalvelu. Asiakkaan sisäänkirjautumisohje

KESKI-POHJANMAAN IT-ALUEKESKUKSEN TIETOTURVAOHJEET

AsioEduERP v12 - Tietoturvaparannukset

ProNetti -sähköpostijärjestelmä

HAMINAKOTKA SATAMA OY:N VISY ACCESS GATE- KULUNVALVONTAOHJELMISTON REKISTERISELOSTE

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

1 (5) OPISKELIJAN KÄYTTÖLIITTYMÄ

TitePK. Tietoturvallisuus. Jari Seppälä TTY tietoturva-asiantuntija

@PHPOINT Sähköpostitilin asetukset

Uovision UM565 ohjelmistoversio V2.04

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yliopiston sähköiset järjestelmät

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

1 (5) OPISKELIJAN KÄYTTÖLIITTYMÄ

VR Yrityssovellus 06/12

1 (5) TYÖNANTAJAN / TYÖPAIKKAKOULUTTAJAN KÄYTTÖLIITTYMÄ

Virtun käyttöönotto valtiovarainministeriössä. Tietohallintoasiantuntija Erno Kyttänen

Näin salasanasi murretaan jopa muutamassa minuutissa ja se on yllättävän helppoa, sanoo asiantuntija

MIKÄ ON KYBERPUOLUSTUKSESSA RIITTÄVÄ TASO? Riittävän ratkaisun rakentaminen

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

LOVe-verkkokoulutuksen käyttöohje Opiskelijan osio

SÄHKÖPOSTIOHJE Mikkelin ammattikorkeakoulu

TIEDOTE 33/ (7) Ops-työkalun käyttöönotto ja käyttöoikeuksien anominen. eperusteet palvelun Ops-työkalu avattu opetuksen järjestäjille

Mobiililaitteiden WiFi-vahvistin WN1000RP Asennusopas

Yliopiston sähköiset järjestelmät

Tässä ohjeessa kerrotaan, miten alkaen käyttöönotettavaan AIPAL aikuiskoulutuksen palautejärjestelmään myönnetään käyttöoikeuksia.

Secure hubiin kirjautuminen

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

Elisa Toimisto 365. Pääkäyttäjän pikaopas

LUPAHANKKEET RAKENNUSVALVONNAN SAHKÖISESSÄ ASIOINTIPALVELUSSA

VTJ-YLLÄPITO. Vastuukäyttäjän ohje

Tietotekniikkakeskuksen palvelut ja opiskelijan tietoturva

OPISKELIJAN PIKAOPAS

1 (5) VUOKRALISENSSIN KÄYTTÖÖNOTTO JA PILVIPISTEET AUTODESK ACCOUNTISSA. Milloin vuokra-aika alkaa?

Transkriptio:

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta Tommi Simula, Valtori, Riskienhallintapäällikkö Kimmo Janhunen, ORK, Kehittämispäällikkö

Agenda Yleistä salasanoista Salasanoihin kohdistuvat hyökkäykset Salasanojen vahvuus Salasanasuosituksia Käyttäjätunnusten hallinta Käyttövaltuuksien hallinta 2

The way in which they secure the passing round of the watchword for the night is as follows: from the tenth maniple of each class of infantry and cavalry, the maniple which is encamped at the lower end of the street, a man is chosen who is relieved from guard duty, and he attends every day at sunset at the tent of the tribune, and receiving from him the watchword that is a wooden tablet with the word inscribed on it takes his leave, and on returning to his quarters passes on the watchword and tablet before witnesses to the commander of the next maniple, who in turn passes it to the one next him. -- Polybius on the Roman Military, ca. 220 146 BC 3

Yleistä salasanoista Salasanan tarkoitus on tunnistaa käyttäjä salasanan (tai tunnus-salasana parin) on oltava yksilöllinen Salasana muodostuu merkkijonosta, jonka tietää vain käyttäjä itse Käyttäjätunnus + salasana on ns. heikko tunnistamismenetelmä, vahva tunnistaminen edellyttää ainakin kahta seuraavista: 1. Käyttäjän tiedossa oleva asia (esim. salasana) 2. Käyttäjän hallussa oleva asia (esim. sirukortti tai USB-tunnistelaite) 3. Käyttäjän ominaisuus (esim. sormenjälki tai iiris) 4

Salasanoihin kohdistuvat hyökkäykset Salakuuntelu/-katselu (tekninen/analoginen) Social engineering Haavoittuvuudet tunnistusjärjestelmissä Brute force -hyökkäys (arvaaminen) Dictionary attack (sanakirjahyökkäys) Rainbow table (sateenkaaritaulut) 5

Salasanojen vahvuus Salasanan tulee siis olla sellainen ja suojattu niin, että se ei ole altis salakuuntelulle, sanakirjahyökkäyksille tai sateenkaaritauluille Brute force hyökkäyksiä vastaan salasanan vahvuus riippuu sen erilaisten mahdollisten yhdistelmien määrästä (entropia) Yhdistelmien määrää voidaan lisätä pidentämällä salasanaa tai laajentamalla käytettyä merkistöä: Pelkät numerot 0-9 Pienet kirjaimet a-z (a-ö) Isot kirjaimet Erikoismerkit (!&? ) 6

Esimerkkejä haavoittuvuudesta brute force - hyökkäyksille Salasana Murtoaika (moderni PC) Murtoaika (klusteri) salasana 8.3 kuukautta 2.17 sekuntia S4las4n@ 2130 vuotta 18.6 tuntia ThxQJ##!09 (VAHTI-suositus) 19.2 milj. vuotta 19.24 vuotta K2jTTvz%ZwHz/6S 150000 mrd vuotta 150 mrd vuotta entten tentten teelikamentten 732 miljoonaa triljoonaa triljoonaa vuotta 7

Suosituksia ÄLÄ käytä seuraavia: Älä koskaan kirjoita salasanaasi ylös, kerro sitä kenellekään tai lähetä sitä sähköpostilla Oletussalasanat (esim. laitevalmistajan asettamaa tai asennusvaiheessa määritettyä) Sanakirjasta löytyviä sanoja, millään kielellä (ei, ei edes suomenkielisiä) Yksinkertaisia merkkien lisäyksiä/korvauksia (password1, p4ssw0rd) Sanojen toistoa (salainensalainen, mikkomikko) Numero- tai kirjainsarjoja, vuosilukuja (abcde, 12345) Näppäimistöltä löytyviä sekvenssejä (qwerty, asdfgh, qazwsx) Mitään helposti henkilöön yhdistettävissä olevaa (lemmikin nimi, syntymäajat, urheilujoukkueet ) Vältä palveluissa olevia turvakysymyksiä 8

Suosituksia KÄYTÄ seuraavia: Eri salasanoja eri palveluissa! Salasanalauseita helppo muistaa, vaikea murtaa Single Sign-On (SSO) vähemmän eri salasanoja muistettavana Salasanojen hallintaohjelmistot (KeePass, LastPass, Password Safe jne.) Kaksivaiheista tunnistamista aina jos palvelu sitä tukee Varoituspalveluja, esim. https://haveibeenpwned.com/ 9

10

Miksi tulisi käyttää eri palveluissa myös ainutkertaisia salasanoja? 11

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi TUNNUSTEN JA SALASANOJEN HALLINNASTA Fyysisessä ympäristössä Sähköisessä ympäristössä Fyysinen identiteetti Virkamies Matti Mallikas Työpaikan Työpaikan Työpaikan Työpaikan kulkuavain kulkuavain henkilökortti henkilökortti Sähköinen identiteetti (virkamies) Sähköinen identiteetti Käyttäjätunnus Työtili- Sähköinen ja sähköposti-osoite identiteetti matti.mallikas@virasto.fi Käyttäjätunnus työpalvelussa X 777123456 Kotiavain Pyöränavain Kodin Kodin po postilaatikko Kodin iiiiiiitilaatikko iiiiiiitilaatikko Sähköinen identiteetti (henkilökohtainen) matti.mallikas@kansalainen.fi Sähköinen identiteetti (henkilökohtainen) matti.mallikas@kansalainen.fi Sähköinen identiteetti (henkilökohtainen) 12 hassu@harrastus.fi

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÄJÄTUNNUKSISSA TYÖN JA VAPAA-AJAN EROTTAMINEN Noudata organisaatiosi ohjeita ja käytäntöjä Työsähköpostiosoitetta ei tule käyttää työhön liittymättömissä henkilökohtaisissa palveluissa Työtehtävissä käyttämäsi tunnuksen salasanaa ei tule käyttää työhön liittymättömissä henkilökohtaisissa palveluissa Hanki erillinen henkilökohtainen sähköpostitili ja -osoite henkilökohtaisiin sähköisiin palveluihin käytettäväksi tämä pienentää riskejä ja työsähköpostiin ei tule (niin paljoa) henkilökohtaisiin tunnuksiin tai palveluihin liittyviä huijausyrityksiä tai roskapostia 13

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÄJÄTUNNUKSET OVAT HENKILÖKOHTAISIA VARO IDENTITEETTIVARKAITA Suojaa käyttäjätunnukset ja salasanat - ole varovainen ja valppaana, miten toimitit pankkiautomaatilla tai kotiovella? Käyttäjätunnus-salasana yhdistelmän jakaminen muille ei koskaan missään tilanteessa Huom. palvelun tukipalvelu saattaa kysyä ja tarvita käyttäjätunnustasi tuen kohdentamiseksi, mutta ei salasanaa! Näitä tietoja yritetään urkkia (mm. tietojen kalastelun (phishing) avulla) Välttämättä hyökkääjän kohteena et ole sinä vaan organisaatiosi tai organisaatiosi yhteistyökumppani Tunnustautumistietojen avulla voidaan hankkia arvokasta tietoa sinusta tai organisaatiostasi tai niitä käytetään väylänä hyökättäessä jonnekin toisaalle 14

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÄJÄTUNNUKSET OVAT HENKILÖKOHTAISIA Yhteiskäyttötunnuksia ei tule käyttää Yhteisen sähköpostilaatikon käyttäminen on eri asia Esim. virastosähköpostiin tai palvelun sähköpostiosoitteeseen myönnetään oikeudet nimetyille henkilökohtaisille työkäyttäjätunnuksille Sallittuja poikkeuksia organisaatioissa saattaa olla tähän periaatteeseen hyvin rajatussa käytössä, käyttötarkoituksessa tai verkossa: Langattoman vierailijaverkon käyttäjätunnus- ja salasana saattaa olla yhteiskäyttöinen (mikäli ei ole kertakäyttöiset) Erilliset luokka- ja koulutusympäristöt Erillistunnukset joiden käytöstä pidetään erikseen manuaalisesti kirjanpitoa (kuten tietojärjestelmien ylläpidossa mm. järjestelmän sisäänrakennetut pääkäyttäjätunnukset ja palvelutunnukset joilla tunnistetaan järjestelmä) 15

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÄJÄTUNNUKSET JA TIETOJÄRJESTELMÄT Uuden tietojärjestelmän käyttöönotossa ei tarvita uusia käyttäjätunnuksia ja salasanoja mikäli käytettävissä on kertakirjautumisratkaisu tai tietojärjestelmät on kytketty luottamaan toisiinsa Riippuu tietohallinnon linjauksista ja tietojärjestelmien teknologioista Käyttäjätunnus-salasana -parin lisäksi on muitakin tunnistautumistapoja tietojärjestelmiin Sormenjälki tai iiris Varmenteella tunnistautuminen (toimikortti, mobiilivarmenne, ) Lisävahvistus tunnistaumisessa käyttäjätunnuksen ja salasanan lisäksi esim. tekstiviestinä kertakäyttökoodi tai avainkoodilista 16

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÖVALTUUKSISTA Noudata organisaatiosi ohjeita ja käytäntöjä Käyttäjätunnuksiin liitetään tietojärjestelmissä erilaisia käyttövaltuuksia riippuen työtehtävistä ja käyttövaltuushallinnan prosesseista Esimiesten ja projektipäälliköiden vastuut käyttövaltuuksien hakemisessa, myöntämisessä ja poistossa Esim. esimies hyväksyy työtekijöilleen tarvittavat käyttövaltuudet Esim. projektipäällikkö hyväksyy käyttövaltuudet projektiryhmälleen yhteiseen työvälineeseen Esim. järjestelmävastaava kytkee käyttäjätunnukset varsinaisiin käyttövaltuuksiin (tai rooleihin) valtuutetun tahon pyynnöstä 17

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÖVALTUUKSISSA HUOMIOITAVAA Käyttövaltuudet voivat muuttua muutos- ja poistoprosessi Tilapäiset laajemmat käyttövaltuudet Työtehtävät muuttuvat Muutoksissa hankala ylläpitää käyttövaltuuksia useisiin tietojärjestelmiin käyttäjätunnuksia ja käyttövaltuuksia saadaan usealta taholta Esim. esimies/projektipäällikkö/organisaatio ilmoittaa muutoksista ja poistoista Käyttövaltuudet olisi syytä katselmoida määräajoin Loppukäyttäjän velvollisuus on ilmoittaa muutostarpeista ja muutoksista esimiehelle ja/tai projektipäällikölle sekä epäillyistä poikkeamista organisaation ohjeiden mukaisesti 18

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÄJÄTUNNUSTEN JA KÄYTTÖVALTUUKSIEN HALLINNASTA Vastuunjako käyttäjätunnusten hallinnassa edellyttää sopimista organisaatiossa, vastuunjakoa sekä ohjeita (sisäisesti ja muiden kanssa yhteistyön tekemiseksi) Sopimuksenmukaisuus, yhteisten tietojärjestelmien käyttäminen Sovitut prosessit (uudet, muutokset, poistot sekä yhteistyön päättyessä) Loppukäyttäjä suojaa hänelle myönnettyjä käyttäjävaltuuksia ja käyttäjätunnuksiaan sekä toimii ohjeiden mukaisesti Loppukäyttäjä ilmoittaa poikkeamista (esim. tietojärjestelmä saattaa pitää kirjaa milloin käyttäjätunnusta on viimeksi käytetty ja miltä laitteelta ja mistä sijainnista) 19

Millainen on hyvä salasana sekä muuta tunnusten ja salasanojen hallinnasta LISÄTIEDOT Kimmo Janhunen kehittämispäällikkö Oikeusrekisterikeskus www.oikeusrekisterikeskus.fi KÄYTTÄJÄTUNNUSTEN JA KÄYTTÖVALTUUKSIEN HALLINNASTA Useiden henkilökohtaisten käyttäjätunnusten hallinta Useissa työtehtävissä saatetaan tarvita kymmeniä henkilökohtaisia käyttäjätunnuksia työtehtävien tekemiseen esim. tietojärjestelmien kehittämisessä, testaamisessa ja ylläpidossa Hallinnassa apuna voi toimia salasanojen hallintaohjelmistot (KeePass, LastPass, Password Safe jne.) mikäli organisaatiossa sallittua internet-selainten salasanasäilö voi olla riskialttiimpi käyttää kuin erillinen hallintaohjelmisto internet-selainten haavoittuvuuksista johtuen 20

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute