Kyberturvallisuuskeskus on suositellut suomalaisia ottamaan salasana­ohjelmia käyttöön, jotta omaperäiset salasanat pysyvät muistissa.

Henkilötietojen suojaamisesta on tullut yhä tärkeämpää, koska verkossa tehtävät kyberhyökkäykset ovat yleistyneet myös Suomessa. Kuva: Emmi Korhonen / Lehtikuva

Tietoturvaviranomaiset suosittelevat suomalaisia käyttämään salasanan hallintaohjelmia. STT:n haastatteleman tietoturva-asiantuntijan Benjamin Särkän mukaan palveluiden käytössä on myös huonot puolensa.

Lähes kaikki verkkopalvelut vaativat käyttäjätunnusta ja salasanaa, on sitten kyse verkkokaupasta, sosiaalisen median palvelusta tai jopa verkkopankista. Henkilötietojen suojaamisesta on tullut yhä tärkeämpää, koska verkossa tehtävät kyberhyökkäykset ovat yleistyneet myös Suomessa.

Liikenne- ja viestintävirasto Traficomin yhteydessä toimiva kyberturvallisuuskeskus neuvoo suomalaisia kirjautumaan joka palveluun eri salasanalla. Näin kaikkien palveluiden tietoturva ei vaarannu, jos tiedot vuotavat yhdestä palvelusta. Salasanan pitäisi myös olla mahdollisimman pitkä ja monimutkainen, jotta se olisi vaikea murtaa. Muisti alkaa kuitenkin rasittua äärimmilleen, kun palveluita on kymmeniä, ja jotkin verkkopalvelut vaativat salasanan vaihtamista tietyin määräajoin.

Markkinoilla on käyttäjätunnusten ja salasanojen hallinnointia varten erilaisia sovelluksia, joiden käyttöön ohjaa myös kyberturvallisuuskeskus. Kuva: Vesa Moilanen / Lehtikuva

Herkästi voi alkaa käyttää samaa salasanaa monessa palvelussa, tai salasanoja alkaa kirjata muistiin yhteen ja samaan paikkaan. Käyttäjätunnusten ja salasanojen hallinnointia varten on markkinoilla myös erilaisia sovelluksia, joiden käyttöön ohjaa myös kyberturvallisuuskeskus.

Herää kuitenkin kysymys, onko tietoturvallista laittaa jokaisen palvelun avaavat salasanat yhden ohjelman taakse.

Tietoturva-asiantuntija ja hakkeri Benjamin Särkkä arvioi STT:lle, että salasanojen hallintaohjelmat eli niin sanotut salasanamanagerit ovat lähtökohtaisesti hyviä kuluttajille, vaikka niissäkin on omat ongelmansa.

-?Salasanamanagerin avulla sinulla on kaikki yhden master-salasanan (pääsalasanan) takana. Silloin salasanamanagerin turvaaminen muuttuu tosi tärkeäksi, Särkkä sanoo.

Monet verkkoselaimet myös tarjoavat mahdollisuutta siihen, että selain muistaa salasanan. Tietoturvamedia Wiredin mukaan selainten salasanan tallennusominaisuudet eivät kuitenkaan ole yhtä turvallisia kuin ohjelmat, jotka ovat erikoistuneet pelkästään salasanojen hallintaan. Samaa sanoo Särkkä.

Arkisia verkkopalveluita käyttävälle liian monimutkaiset suojaustavat voivat olla liian vaikeita omaksua, arvioi Benjamin Särkkä. Kuva: Emmi Korhonen / Lehtikuva

Särkän mukaan tietoturva paranee, mitä useammalla eri tavalla tietoja on suojannut. Arkisia verkkopalveluita käyttävälle liian monimutkaiset suojaustavat voivat olla hänestä liian vaikeita omaksua. Siksi hänen mukaansa salasanaohjelma on hyvä vaihtoehto, kunhan se on helppo käyttää.

-?Mahdollisimman helppokäyttöinen manageri on oikeampi ratkaisu kuin sen monimutkaisuuden tuominen, Särkkä sanoo.

Kaupallisia salasanojen suojausohjelmia on markkinoilla useita. Tällä hetkellä käytettyjä ovat muun muassa 1Password ja Bitwarden, mutta myös monissa älypuhelimissa on omat salasanapalvelunsa. Moni palvelu myös luo käyttäjän puolesta itse vahvoja ja yksilöllisiä salasanoja eri verkkopalveluihin.

Tällä hetkellä markkinoilla olevat suositut kaupalliset vaihtoehdot ovat Särkän mukaan kuluttajille riittävän tietoturvallisia. Tämä siitä huolimatta, että salasanapalveluita kehittävät yhtiöt ovat samalla tavalla alttiita verkkohyökkäyksille kuin muutkin. Särkän mukaan niitä vastaan myös hyökätään.

Yksisuurista palveluista, LastPass, kertoi loppukesästä joutuneensa itse verkkohyökkäyksen kohteeksi. Hyökkäyksessä ei kuitenkaan yhtiön mukaan vuotanut yhdenkään asiakkaan salasanatietoja.

LastPassiin kohdistunut tietoturvahyökkäyskään ei heikentänyt Särkän luottamusta palveluun, koska yhtiö viesti mahdollisimman avoimesti, mitä oli tapahtunut ja sen, että asiakkaiden salasanat pysyivät suojassa. Tärkeää hänen mukaansa on myös ymmärtää heikkoudet siinä salaustavassa, jota käyttää.

-?Oman turvallisuuden vieminen sellaiselle tasolle, että sitä alkaa ylipäänsä miettiä, on jo hyvä asia.

Tietoturva-asiantuntijat ovat myös pohtineet sitä, voisiko olla muita tietojen suojaamistapoja kuin salasanat. Toistaiseksi ne ovat kuitenkin niin käytettyjä, että niiltä on mahdoton välttyä.