Tietoturvaviranomaiset suosittelevat suomalaisille salasanan hallintaohjelmien käyttöä. STT:n haastatteleman tietoturva-asiantuntijan Benjamin Särkän mukaan niiden käytössä on myös huonot puolensa.
Lähes kaikki verkkopalvelut vaativat käyttäjätunnusta ja salasanaa, on sitten kyse verkkokaupasta, sosiaalisen median palvelusta tai jopa verkkopankista. Henkilötietojen suojaamisesta on tullut yhä tärkeämpää, koska verkossa tehtävät kyberhyökkäykset ovat yleistyneet myös Suomessa.
Liikenne- ja viestintävirasto Traficomin yhteydessä toimiva kyberturvallisuuskeskus neuvoo suomalaisia kirjautumaan joka palveluun eri salasanalla. Näin kaikkien palveluiden tietoturva ei vaarannu, jos tiedot vuotavat yhdestä palvelusta. Salasanan pitäisi myös olla mahdollisimman pitkä ja monimutkainen, jotta se olisi vaikea murtaa. Muisti alkaa kuitenkin rasittua äärimmilleen, kun palveluita on kymmeniä, ja jotkin verkkopalvelut vaativat salasanan vaihtamista tietyin määräajoin.
Herkästi voi alkaa käyttää samaa salasanaa monessa palvelussa tai salasanoja alkaa kirjata muistiin yhteen ja samaan paikkaan. Käyttäjätunnusten ja salasanojen hallinnointia varten on markkinoilla myös erilaisia sovelluksia, joiden käyttöön ohjaa myös kyberturvallisuuskeskus.
Herää kuitenkin kysymys, onko tietoturvallista laittaa jokaisen palvelun avaavat salasanat yhden ohjelman taakse.
Hakkeri: Ohjelman suojaus korostuu
Tietoturva-asiantuntija ja hakkeri Benjamin Särkkä arvioi STT:lle, että salasanojen hallintaohjelmat eli niin sanotut salasanamanagerit ovat lähtökohtaisesti hyviä kuluttajille, vaikka niissäkin on omat ongelmansa.
– Salasanamanagerin avulla sinulla on kaikki yhden master-salasanan (pääsalasanan) takana. Silloin salasanamanagerin turvaaminen muuttuu tosi tärkeäksi, Särkkä sanoo.
Monet verkkoselaimet myös tarjoavat mahdollisuutta siihen, että selain muistaa salasanan. Tietoturvamedia Wiredin mukaan selainten salasanan tallennusominaisuudet eivät kuitenkaan ole yhtä turvallisia kuin ohjelmat, jotka ovat erikoistuneet pelkästään salasanojen hallintaan. Samaa sanoo Särkkä.
Särkän mukaan tietoturva paranee, mitä useammalla eri tavalla tietoja on suojannut. Arkisia verkkopalveluita käyttävälle liian monimutkaiset suojaustavat voivat olla hänestä liian vaikeita omaksua. Siksi hänen mukaansa salasanaohjelma on hyvä vaihtoehto, kunhan se on helppo käyttää.
– Mahdollisimman helppokäyttöinen manageri on oikeampi ratkaisu kuin sen monimutkaisuuden tuominen, Särkkä sanoo.
Salasanapalveluakin vastaan voi hyökätä
Kaupallisia salasanojen suojausohjelmia on markkinoilla useita. Tällä hetkellä käytettyjä ovat muun muassa 1Password ja Bitwarden, mutta myös monissa älypuhelimissa on omat salasanapalvelunsa. Moni palvelu myös luo käyttäjän puolesta itse vahvoja ja yksilöllisiä salasanoja eri verkkopalveluihin.
Tällä hetkellä markkinoilla olevat suositut kaupalliset vaihtoehdot ovat Särkän mukaan kuluttajille riittävän tietoturvallisia. Tämä siitä huolimatta, että salasanapalveluita kehittävät yhtiöt ovat samalla tavalla alttiita verkkohyökkäyksille kuin muutkin. Särkän mukaan niitä vastaan myös hyökätään.
Yksi suurista palveluista, LastPass, ker toi loppukesästä joutuneensa itse verkkohyökkäyksen kohteeksi. Hyökkäyksessä ei kuitenkaan yhtiön mukaan vuotanut yhdenkään asiakkaan salasanatietoja.
LastPassiin kohdistunut tietoturvahyökkäyskään ei heikentänyt Särkän luottamusta palveluun, koska yhtiö viesti mahdollisimman avoimesti, mitä oli tapahtunut ja sen, että asiakkaiden salasanat pysyivät suojassa. Tärkeää hänen mukaansa on myös ymmärtää heikkoudet siinä salaustavassa, jota käyttää.
– Oman turvallisuuden vieminen sellaiselle tasolle, että sitä alkaa ylipäänsä miettiä, on jo hyvä asia.
Tietoturva-asiantuntijat ovat myös pohtineet sitä, voisiko olla muita tietojen suojaamistapoja kuin salasanat. Toistaiseksi ne ovat kuitenkin niin käytettyjä, että niiltä on mahdoton välttyä.