Salasanat haltuun - Kuka käyttää tiliäsi?

Kuka käyttää tiliäsi? Ei ole sattumaa, että verkkopankkiin kirjautuessasi käytät järeämpää tunnistautumista kuin vaikkapa keskustelupalstalle kirjautuessasi. Tärkeät tiedot ja digitaalinen omaisuus kannattaa suojata mahdollisimman huolellisesti, jotta ne eivät päädy vääriin käsiin. Tässä ohjeessa kerromme turvallisista tunnistautumiskäytännöistä ja annetaan vinkkejä salasanojen hallintaan.

Todennäköisesti sinäkin käytät kymmeniä kirjautumisen vaativia verkkopalveluita. Jotta voit olla varma, että joku toinen ei käytä palveluitasi, varasta tietojasi ja rahojasi tai esiinny sinuna, nappaa tästä tehokkaat keinot salasanojen käyttöön ja hallintaan.

Salasanojen  määräaikaishuolto on hyvä tapa. Toisaalta hyvää salasanaa ei tarvitse vaihtaa yhtenään. Ja kolmanneksi, hyvät ja vankasti suojatut salasanat saattavat joutua tietomurrossa ja -vuodoissa rikollisten haltuun ilman, että olet tehnyt mitään väärää.  

Jatka lukemista, jos haluat tietää:

  • millainen on hyvä salasana
  • miten monivaiheinen tunnistatuminen toimii ja miksi se kannattaa ottaa käyttöön
  • miten salasanarepertuaaria voi hallita
  • mistä voin selvittää, käyttääkö joku tiliäni
  • mitä tehdä, jos huomaan tai epäilen salasanani joutuneen vääriin käsiin.

Näin käytät tilejäsi turvallisesti

1: Hommaa hyvä salasana

Kirjaudut palveluihin käyttäjätunnuksen ja salasanan avulla. Kirjautumisen tarkoitus on valvoa ja rajata palvelun käyttäjät. Käyttäjätunnus ja salasana -parilla käyttäjät tunnistetaan ja todennetaan. Käyttäjätunnuksena käytetään usein esimerkiksi sähköpostiosoitetta, joka on helppo arvata. Panosta siis hyvään salasanaan, joka on vain sinun tiedossasi.

Salasana on vain sinun tiedossasi oleva merkkisarja, jonka tarkoitus on estää käyttäjätunnuksesi luvaton käyttö. Hyvä salasana on sellainen, ettei sivullinen kykene arvaamaan tai selvittämään sitä. Yleensä käyttäjä voi valita salasanansa melko vapaasti, mutta usein palveluissa on salasanan pituutta ja merkkivalikoimaa koskevia vaatimuksia, joilla lisätään palvelun turvallisuutta. Pitkä ja yksilöllinen salasana on lyhyttä parempi, koska sen arvaaminen on vaikeaa. 15 merkkiä riittää jo moneen palveluun. Koska pitkien salasanojen muistaminen voi olla vaikeaa, salasanojen sijaan tulisikin käyttää salalauseita.

Käytä eri palveluissa eri salasanaa. Näin estät sen, että mikäli salasanasi vuotaa yhdestä palvelusta, sillä ei voi kirjautua muihin palveluihin. Erityisesti kannattaa huolehtia, että siinä sähköpostitilissä, jota käytät kirjautumiseen ja salasanan palauttamiseen, on mahdollisimman hyvä salasana. Suojaa tämä sähköposti myös monivaiheisella tunnistautumisella. Joihinkin verkkopalveluihin rekisteröidyttäessä järjestelmä luo käyttäjälle tilapäiseksi tarkoitetun salasanan. Se kannattaa välittömästi vaihtaa omavalintaiseen salasanaan.

Jos käytät jotakin palvelua todella harvoin, esimerkiksi kerran vuodessa, voit pyytää jokaisella kerralla uuden salasanan sähköpostiisi.

Hyvä salasana:

  • on pitkä, nyrkkisääntönä 15 merkkiä 
  • mieluummin lause kuin sana
  • sisältää erikoismerkkejä; %&//()=

Älä käytä:

  • laiskanhelppoja salasanoja kuten oma nimi, kissa123, qwerty, syntymäaika
  • yleisimpiä korvaavuuksia i=1 3=E

Älä koskaan anna salasanaasi kenelläkään.

Jos käytät yhteiskäyttötietokoneisa esimerkiksi kirjastossa, muista tyhjentää selainhistoriasi.

""
Salasanoissa pidempi on parempi

2: Ota monivaiheinen tunnistautuminen käyttöön

Monivaiheisella tunnistautumisella tarkoitetaan sitä, että henkilöllisyytesi varmistetaan kahta tai useampaa eri tunnistautumistapaa käyttämällä.  Niitä voivat olla esimerkiksi:

  • Jotain mitä tiedät (PIN-koodi, salasana, sekä kirjalliset tai graafiset turvallisuuskysymykset- ja vastaukset
  • Jotakin mitä omistat (esimerkiksi matkapuhelimeen lähetettävä muuttuva koodi, kuten mobiilivarmenne)
  • Jotakin mitä olet (esimerkiksi sormenjälkesi tai kuva iiriksestäsi)

 

Monivaiheisen tunnistautumisessa hienous piilee siinä, että vaikka rikollinen saisi tietoonsa käyttäjätunnuksesi ja salasanasi, ilman palveluun ei pääse kirjautumaan ilman lisätunnistetta. Microsoftin mukaan (Ulkoinen linkki) lähes kaikki tilien kaappausyritykset voidaan estää monivaiheista tunnistautumista käyttämällä.

Poikkeavista kirjautumisista ilmoitetaan käyttäjälle. Näin on mahdollista reagoida nopeammin väärinkäytöksiin ja ilmoittaa todennustietojen joutumisesta vääriin käsiin. Parhaassa tapauksessa käyttäjä ehtii itse estää tilinsä vakavamman väärinkäytön.

 

Monivaiheisen tunnistautumisen kuva
Monivaiheista tunnistautumista käyttämällä kirjaudut tilillesi turvallisesti

3: Käytä salasanojen hallintaohjelmaa

Salasanaohjelmat auttavat salasanojen luomisessa ja säilyttämisessä. Salasanoja voi muodostaa ja tallentaa salasanaohjelmiin. Näin yksittäisiä salasanoja ei tarvitse muistaa ulkoa, kunhan muistaa apuohjelman salasanan.

Salasanojen hallintasovellukseen on mahdollista tallentaa salasanoja salatussa muodossa siten, että salasanat ovat yhden pääsalasanan takana saatavilla. Useimmilla hallintasovelluksilla voidaan myös luoda laadukkaita ja erilaisia salasanoja eri palveluihin, ja siten pienentää tietomurron riskiä.

Salasananhallintaohjelmaa valitessasi, on hyvät tietää, että tietyt sovellukset tallentavat salasanat salatussa muodossa pilvipalveluun ja toiset tallentavat ne paikalliselle tietokoneelle tai sille päätelaitteelle, jolle ohjelma on asennettu. Pilvipalvelua käyttävän palvelun salasanat ovat ovat helposti saatavilla eri päätelaitteilta. Jos pääsalasana häviää tai sitä käytetään väärin, kaikki salasanat voivat päätyä ulkopuolisen käsiin. Paikallisessa ohjelmassa salasanat harvemmin joutuvat ulkopuolisten ulottuville, mutta päätelaitteen toiminta, varmuuskopioiden ajantasaisuus ja turvallinen säilöminen voivat vaikuttaa salasanojen käytettävyyteen.

Salasanojen hallintaan tarkoitettuja sovelluksia ovat muun 1Password, Bitwardn, Dashlane, Enpass, F-Secure ID PROTECTION, Password Safe, Keepass ja KeepassX, Keeper, Keychain, LastPass ja RoboForm.

Liikenne- ja viestintävirasto Traficom ei ole tarkastanut edellä mainittuja ohjelmistoja, eikä ota kantaa siihen, toimivatko ohjelmistot valmistajien kuvausten mukaisesti.

Jos salasanojen hallintaohjelmistot eivät sovi sinulle, voit saada apua salasanojen muistamiseen esimerkiksi niin, että

  • kirjoitat salasanasi muistilapulle joko kokonaan tai osittain. Säilytä lappu turvallisessa paikassa. Kirjaa tieto niin, ettei siitä ulkopuoliselle selviä, minkä palvelun tai kenen salasanasta on kyse, jos lappu
  • tallennat salasanasi salatussa muodossa tiedostoon tietokoneelle, sähköpostiin tai USB-

4: Ota kirjautumisilmoitukset käyttöön

Kirjautumisilmoituksiin kannattaa ehdottomasti tutustua. Kun otat kirjoittautumisilmoitukset käyttöösi, saat ilmoituksen, jos palveluasi käytetään tavanomaisesta poikkeavasta paikasta tai uudella laitteella. Opit helposti lukemaan kirjautumisilmoituksia ja toteamaan, oletko itse kirjautunut palveluun eri laitteella kuin yleensä, tai käyttääkö perheenjäsenesi palvelua vaikkapa Tiibetissä. Jos läheisesi ei ole Tiibetissä, tutustu kirjautumisilmoitukseen tarkemmin ja ota selvää, onko kirjautuminen oikeutettu.

5: Tarkkana unohtuneen salasanan palautuksen kanssa

Lähes kaikissa verkkopalveluissa on itsepalvelutoiminto uuden salasanan tilaamiseksi unohtuneen tilalle. Yleensä linkki salasanan nollaamista ja uusimista varten lähetetään siihen sähköpostiosoitteeseen, jonka olet ilmoittanut palveluun rekisteröityessäsi. Sähköpostitilin salasana onkin erityisen tärkeä myös muiden palvelujen hallinnassa.

Huolehdi erityisen hyvin pääsalasanasta, jota käytät salasanojen hallintaohjelmaan. Sen unohtaminen tarkoittaa useimmissa tilanteissa sitä, että et voi käyttää enää mitään tallentamistasi tiedoista. Joissakin hallintaohjelmissa uuden salasanan tilaaminen on mahdollista, mutta tietojesi turvallisuuden vuoksi se tehdään huomattavasti mutkikkaammalla ja tarkemmalla tavalla kuin muiden palveluiden salasanojen palautus. Sähköpostiosoitteen ja salasanan hallintaohjelman pääsalasanan paljastuminen avaisi mahdollisuuden kirjautua ja vaihtaa myös muiden käyttämiesi palveluiden salasanoja.

Mieti tarkkaan, avaatko sellaisten viestien linkkejä, joiden väitetään olevan unohtuneen salasanan palauttamiseksi lähetettyjä. Rikolliset nimittäin lähettävät myös sellaisiksi naamioituja kalasteluviestejä ja toivovat, että ihmiset syöttäisivät kalastelusivuille toimivia käyttäjätunnus- ja salasanapareja. Klikkaa linkkiä vain, jos olet itse tilannut salasanan nollauksen.

6: Sinullakin on rahanarvoista tietoa

Huijarit yrittävät saada haltuunsa käyttäjien salasanoja, koska ne ovat digitaalista valuuttaa, niistä joku maksaa. Niitä yritetään kalastella sähköpostilla, puhelimitse ja tekstiviesteillä. Niitä yritetään onkia suoraan selaintiedostoista ja näppäimistön lukijoiden avulla. Huijari saattaa myös yrittää asentaa koneellesi ohjelmiston, joka varastaa tietojasi.

Salasanojen kalastelijoilta voit suojautua niin, että et koskaan luovuta salasanaasi toiselle, millään verukkeella. Selaimen kautta tietojasi haalivia rikollisia vastaan voit varustautua pitämällä ohjelmistosi ajan tasalla. Kolmas hyvä keino on olla klikkaamatta sähköpostin liitteinä tulevia tiedostoja, joiden sisällöstä et ole varma.

Toisinaan suosittujen palveluiden salasanoja varastetaan palveluntarjoajalta. Jos kuulet, että käyttämäsi palvelun salasanat ovat joutuneet vääriin käsiin, vaihda oma salasanasi välittömästi. Jos sinulla on murretussa palvelussa käytössä kaksivaiheinen tunnistaminen, tietosi ovat turvassa.

Tarjolla on myös palveluita, joista voi tarkistaa, ovatko tietosi mahdollisesti joutuneet vääriin käsiin. Se ei välttämättä tarkoita, että varastettua tietoa olisi käytetty väärin. Niissä palveluissa, jotka on ilmoitettu tietovuodeon kohteeksi ja joissa käytät samaa salasanaa, on syytä vaihtaa salasana. 

7: Toimi ripeästi jos käyttäjätilisi on kaapattu

Salasana voi joskus syystä tai toisesta joutua vääriin käsiin. Jos huomaat, että salasanasi on joutunut vääriin käsiin, vaihda salasanasi välittömästi. Näin voit estää väärinkäytön.

Jos olet antanut pankkitietoja huijairille, ota välittömästi yhteys pankkiisi. Jos epäilet rikosta, tee myös rikosilmoitus (Ulkoinen linkki).