Salasanat haltuun - Kuka käyttää tiliäsi?

Kirjaudut palveluihin käyttäjätunnuksen ja salasanan avulla. Kirjautumisen tarkoitus on valvoa ja rajata palvelun käyttäjät. Käyttäjätunnus ja salasana -parilla käyttäjät tunnistetaan ja todennetaan. Käyttäjätunnuksena käytetään usein esimerkiksi sähköpostiosoitetta, joka on helppo arvata. Panosta siis hyvään salasanaan, joka on vain sinun tiedossasi.

Salasana on vain sinun tiedossasi oleva merkkisarja, jonka tarkoitus on estää käyttäjätunnuksesi luvaton käyttö. Hyvä salasana on sellainen, ettei sivullinen kykene arvaamaan tai selvittämään sitä. Yleensä käyttäjä voi valita salasanansa melko vapaasti, mutta usein palveluissa on salasanan pituutta ja merkkivalikoimaa koskevia vaatimuksia, joilla lisätään palvelun turvallisuutta. Pitkä ja yksilöllinen salasana on lyhyttä parempi, koska sen arvaaminen on vaikeaa. 15 merkkiä riittää jo moneen palveluun. Koska pitkien salasanojen muistaminen voi olla vaikeaa, salasanojen sijaan tulisikin käyttää salalauseita.

Käytä eri palveluissa eri salasanaa. Näin estät sen, että mikäli salasanasi vuotaa yhdestä palvelusta, sillä ei voi kirjautua muihin palveluihin. Erityisesti siinä sähköpostitilissä, jota käytät kirjautumiseen ja salasanan palauttamiseen, tulee olla mahdollisimman hyvä salasana. Suojaa tämä sähköposti myös monivaiheisella tunnistautumisella. Joihinkin verkkopalveluihin rekisteröidyttäessä järjestelmä luo käyttäjälle tilapäiseksi tarkoitetun salasanan. Se kannattaa välittömästi vaihtaa omavalintaiseen salasanaan.

Jos käytät jotakin palvelua todella harvoin, esimerkiksi kerran vuodessa, voit pyytää jokaisella kerralla uuden salasanan sähköpostiisi.

Hyvä salasana:

• on pitkä, nyrkkisääntönä 15 merkkiä 
• mieluummin lause kuin sana
• sisältää erikoismerkkejä; %&//()=

Älä käytä:

• laiskanhelppoja salasanoja kuten oma nimi, kissa123, qwerty, syntymäaika
• yleisimpiä korvaavuuksia i=1 3=E

Älä koskaan anna salasanaasi kenelläkään.

Jos käytät yhteiskäyttötietokoneisa esimerkiksi kirjastossa, muista tyhjentää selainhistoriasi.

Monivaiheisella tunnistautumisella tarkoitetaan sitä, että henkilöllisyytesi varmistetaan kahta tai useampaa eri tunnistautumistapaa käyttämällä.  Niitä voivat olla esimerkiksi:

• Jotain mitä tiedät (PIN-koodi, salasana, sekä kirjalliset tai graafiset turvallisuuskysymykset- ja vastaukset
• Jotakin mitä omistat (esimerkiksi matkapuhelimeen lähetettävä muuttuva koodi, kuten mobiilivarmenne)
• Jotakin mitä olet (esimerkiksi sormenjälkesi tai kuva iiriksestäsi)

Monivaiheisen tunnistautumisen hienous piilee siinä, että vaikka rikollinen saisi tietoonsa käyttäjätunnuksesi ja salasanasi, palveluun ei pääse kirjautumaan ilman lisätunnistetta. Microsoftin mukaan (Ulkoinen linkki) lähes kaikki tilien kaappausyritykset voidaan estää monivaiheista tunnistautumista käyttämällä.

Poikkeavista kirjautumisista ilmoitetaan käyttäjälle. Näin on mahdollista reagoida nopeammin väärinkäytöksiin ja ilmoittaa todennustietojen joutumisesta vääriin käsiin. Parhaassa tapauksessa käyttäjä ehtii itse estää tilinsä vakavamman väärinkäytön.

Salasanaohjelmat auttavat salasanojen luomisessa ja säilyttämisessä. Salasanoja voi muodostaa ja tallentaa salasanaohjelmiin. Näin yksittäisiä salasanoja ei tarvitse muistaa ulkoa, kunhan muistaa apuohjelman salasanan.

Salasanojen hallintasovellukseen on mahdollista tallentaa salasanoja salatussa muodossa siten, että salasanat ovat yhden pääsalasanan takana saatavilla. Useimmilla hallintasovelluksilla voidaan myös luoda laadukkaita ja erilaisia salasanoja eri palveluihin, ja siten pienentää tietomurron riskiä.

Salasananhallintaohjelmaa valitessa, on hyvä tietää, että tietyt sovellukset tallentavat salasanat salatussa muodossa pilvipalveluun ja toiset tallentavat ne paikalliselle tietokoneelle tai sille päätelaitteelle, jolle ohjelma on asennettu. Pilvipalvelua käyttävän palvelun salasanat ovat helposti saatavilla eri päätelaitteilta. Jos pääsalasana häviää tai sitä käytetään väärin, kaikki salasanat voivat päätyä ulkopuolisen käsiin. Paikallisessa ohjelmassa salasanat harvemmin joutuvat ulkopuolisten ulottuville, mutta päätelaitteen toiminta, varmuuskopioiden ajantasaisuus ja turvallinen säilöminen voivat vaikuttaa salasanojen käytettävyyteen.

Salasanojen hallintaan tarkoitettuja sovelluksia ovat muun 1Password, Bitwardn, Dashlane, Enpass, F-Secure ID PROTECTION, Password Safe, Keepass ja KeepassX, Keeper, Keychain, LastPass ja RoboForm.

Liikenne- ja viestintävirasto Traficom ei ole tarkastanut edellä mainittuja ohjelmistoja, eikä ota kantaa siihen, toimivatko ohjelmistot valmistajien kuvausten mukaisesti.

Jos salasanojen hallintaohjelmistot eivät sovi sinulle, voit saada apua salasanojen muistamiseen esimerkiksi niin, että

• kirjoitat salasanasi muistilapulle joko kokonaan tai osittain. Säilytä lappu turvallisessa paikassa. Kirjaa tieto niin, ettei siitä ulkopuoliselle selviä, minkä palvelun tai kenen salasanasta on kyse, jos lappu katoaa
• tallennat salasanasi salatussa muodossa tiedostoon tietokoneelle, sähköpostiin tai USB-muistitikulle.

Kirjautumisilmoituksiin kannattaa ehdottomasti tutustua. Kun otat kirjoittautumisilmoitukset käyttöösi, saat ilmoituksen, jos palveluasi käytetään tavanomaisesta poikkeavasta paikasta tai uudella laitteella. Opit helposti lukemaan kirjautumisilmoituksia ja toteamaan, oletko itse kirjautunut palveluun eri laitteella kuin yleensä, tai käyttääkö perheenjäsenesi palvelua vaikkapa Tiibetissä. Jos läheisesi ei ole Tiibetissä, tutustu kirjautumisilmoitukseen tarkemmin ja ota selvää, onko kirjautuminen oikeutettu.

Lähes kaikissa verkkopalveluissa on itsepalvelutoiminto uuden salasanan tilaamiseksi unohtuneen tilalle. Yleensä linkki salasanan nollaamista ja uusimista varten lähetetään siihen sähköpostiosoitteeseen, jonka olet ilmoittanut palveluun rekisteröityessäsi. Sähköpostitilin salasana onkin erityisen tärkeä myös muiden palvelujen hallinnassa.

Huolehdi erityisen hyvin pääsalasanasta, jota käytät salasanojen hallintaohjelmaan. Sen unohtaminen tarkoittaa useimmissa tilanteissa sitä, että et voi käyttää enää mitään tallentamistasi tiedoista. Joissakin hallintaohjelmissa uuden salasanan tilaaminen on mahdollista, mutta tietojesi turvallisuuden vuoksi se tehdään huomattavasti mutkikkaammalla ja tarkemmalla tavalla kuin muiden palveluiden salasanojen palautus. Sähköpostiosoitteen ja salasanan hallintaohjelman pääsalasanan paljastuminen avaisi mahdollisuuden kirjautua ja vaihtaa myös muiden käyttämiesi palveluiden salasanoja.

Mieti tarkkaan, avaatko sellaisten viestien linkkejä, joiden väitetään olevan unohtuneen salasanan palauttamiseksi lähetettyjä. Rikolliset nimittäin lähettävät myös sellaisiksi naamioituja kalasteluviestejä ja toivovat, että ihmiset syöttäisivät kalastelusivuille toimivia käyttäjätunnus- ja salasanapareja. Klikkaa linkkiä vain, jos olet itse tilannut salasanan nollauksen.

Huijarit yrittävät saada haltuunsa käyttäjien salasanoja, koska ne ovat digitaalista valuuttaa, joista joku maksaa. Niitä yritetään kalastella sähköpostilla, puhelimitse ja tekstiviesteillä. Niitä yritetään onkia suoraan selaintiedostoista ja näppäimistön lukijoiden avulla. Huijari saattaa myös yrittää asentaa koneellesi ohjelmiston, joka varastaa tietojasi.

Salasanojen kalastelijoilta voit suojautua niin, että et koskaan luovuta salasanaasi toiselle, millään verukkeella. Selaimen kautta tietojasi haalivia rikollisia vastaan voit varustautua pitämällä ohjelmistosi ajan tasalla. Kolmas hyvä keino on olla klikkaamatta sähköpostin liitteinä tulevia tiedostoja, joiden sisällöstä et ole varma.

Toisinaan suosittujen palveluiden salasanoja varastetaan palveluntarjoajalta. Jos kuulet, että käyttämäsi palvelun salasanat ovat joutuneet vääriin käsiin, vaihda oma salasanasi välittömästi. Jos sinulla on murretussa palvelussa käytössä kaksivaiheinen tunnistaminen, tietosi ovat turvassa.

Tarjolla on myös palveluita, joista voi tarkistaa, ovatko tietosi mahdollisesti joutuneet vääriin käsiin. Se ei välttämättä tarkoita, että varastettua tietoa olisi käytetty väärin. Niissä palveluissa, jotka on ilmoitettu tietovuodon kohteeksi ja joissa käytät samaa salasanaa, on syytä vaihtaa salasana. 

•  https://haveibeenpwned.com/ (Ulkoinen linkki)

Salasana voi joskus syystä tai toisesta joutua vääriin käsiin. Jos huomaat, että salasanasi on joutunut vääriin käsiin, vaihda salasanasi välittömästi. Näin voit estää väärinkäytön.

Jos olet antanut pankkitietoja huijarille, ota välittömästi yhteys pankkiisi. Jos epäilet rikosta, tee myös rikosilmoitus (Ulkoinen linkki).