TIETOTURVA
Jouni Junkkaala, Johanna Puustinen, 27.5.2009, 12:26F-Securella välähti: laita salasanat muistilapulle!
Tietoturvayhtiö F-Securen blogissa
annetaan erikoinen neuvo vaikeiden salasanojen muistamiseksi: Kirjoita
salasanasi muistilapulle ja säilytä lappua lompakossasi!
Facebookin satoihin miljooniin nousevat käyttäjämäärät ovat tehneet siitä verkkorikollisten uuden suosikkikohteen. Salasanat ovat usein lyhyitä, helppoja arvata ja ihmiset käyttävät usein samaa salasanaa useassa paikassa. Jos Facebook-salasanasi on sama kuin sähköpostisi, pääsee Facebook-tilisi murtanut rikollinen helposti käsiksi posteihisi ja sen myötä moneen muuhunkin tärkeään tietoon.
Salasanojen pitäisi siis olla riittävän erilaiset jokaisessa palvelussa. Mutta miten muistaa edes tärkeimpien palveluiden salasanat? F-Secure ehdottaa blogissaan näppärää mallia, joka sisältää kätevästi mukana kuljetettavan muistilapun.
Yleensä suositellaan, ettei salasanoja pitäisi kirjoittaa muistiin. F-Securen mukaan lompakko on kuitenkin hyvä paikka säilyttää salasanalappua, kulkeehan siellä rahan ja muun arvokkaan lisäksi myös pankkikorttisi. Kortilla ei kuitenkaan voi nostaa rahaa, ellei tiedä siihen liitettyä pin-koodia. (Mitä ei tietenkään pidä kuljettaa lompakossa.)
F-Securen malli perustuu samantyyppiseen ideaan. Kirjoita muistilapulle palvelun nimi hieman muunnettuna ja paina yleinen "pin-koodi" muistiisi. Et tarvitse kuin yhden koodin ja muistilapun. Lapusta kannattaa ottaa varmuuden vuoksi myös kopio ja säilyttää sitä varmassa paikassa.
Näin teet turvallisen salasanan
F-Securen ehdottama turvallinen muistisalasanalappu tehdään näin:
Muodosta salasanasi kolmesta osasta. Ensimmäisesta osasta tunnistat, mihin palveluun salasana kuluu. Esimerkiksi gMa = GMail, tVi = Tietoviikko. Käytä isoja ja pieniä kirjaimia aina saman kaavan mukaan, se helpottaa muistamista.
Tee toisesta osasta täysin "satunnainen", esimerkiksi 22w3 tai wU93. Käytä jokaisessa salanassa erilaista satunnaisosaa. Tarvitset muistilappua juuri tämän osan muistamiseksi.
Käytä kaikkien salasanojen kolmantena osana samaa merkkijonoa, esimerkiksi !q2 tai Jp9. Älä kirjoita tätä osaa muistilappuun vaan paina se mieleesi sopivan muistisäännön avulla. Näin lompakon löytäjä ei voi käyttää lappua suoraan, vaikka arvaisikin ensimmäisestä osasta, mihin palveluun salasana kuuluu.
tVi |
22w3 |
!q2 |
1. palvelun tunniste |
2. satunnainen koodi |
3. pin-koodi |
Tee lopuksi tästä mallista oma versiosi, jossa kolmas osa onkin keskellä tai alussa tai varioi menetelmää jotenkin muuten. Kirjoita muistilappuusi vain osat 1 ja 2. Paina osa 3 mieleesi.
Kuten yleensäkin salasanoissa, älä käytä sanakirjasta löytyviä sanoja. Käytä sen sijaan isoja ja pieniä kirjaimia sekä numeroita ja muita merkkejä.
Ohjeen lähde: F-Secure Weblog - Put Your Passwords on a Post-it
Ihan kelpo vaihtoehto
http://keepass.info/
Näin opetimme jo aikoja sitten TKK:n sisäisessä koulutuksessa.
Kai salasanat useimmilla ihmisillä ovat paperille kirjoitettuna. Mukana niitä kuljetetaan siinä kuin kannettavaa teitokonettakin. Jos käytössä on vain pöytäkone, niin salasanatkin ovat siinä käden ulottuvilla pöytälaatikossa tai hiirimaton alla.
Toinen vaihtoehto on käyttää samaa käyttäjätunnusta ja salasanaa joka paikassa ja valita ne sillä tavoin, että muistaminen on lähes idioottivarmaa.
Periaatteessa F-Securen tavassa on ideaa. Riesaa on kuitenkin siitä että eri paikkoihin on salasanoille erilaiset säännöt, loppupinnin joutuu siksi tekemään vain numeroista ja kirjaimista ja vielä joku viritys numerosalasanojen merkitsemiseksi yms.
Mutta varsinainen riesa on siitä, että salasanan lisäksi on muistettava kohteen osoite ja käytettävä tunnus.
Itselläni sen sata eri salasanaa, joista osa varsin pitkiä, sisältäen erikoismerkkejä, ei oikeita sanoja, jne. Olen ihan kiukulla painanut ne mieleeni muistisääntöjen avulla. Kaikista kriittisimpien kohdalla paperilta löytyy vähän muistiapua, ja paperi taatusti turvallisessa paikassa.
