”Älä käytä samaa salasanaa useilla sivustoilla” ja yhdeksän muuta neuvoa, joilla turvaat käyttäjätilisi

Uutiset salasanavuodoista ja tietomurroista saattavat huolestuttaa, mutta voimme suojella tunnuksiamme monin tavoin.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: huhtikuu 27, 2017
Lukuaika: 3 Minuuttia

Suuret tietomurrot ovat jatkuvasti otsikoissa. Murroissa on viety miljardeja käyttäjätunnuksia suosittuihin palveluihin kuten Yahoo!:hon ja LinkedIniin. Käyttäjätunnuksia on myös myyty suuria määriä verkossa kuukausia tai jopa vuosia murtojen jälkeen. Mitä tavallisen käyttäjän pitäisi tehdä suojatakseen tilinsä?

10 turvavinkkiä käyttäjätunnuksiesi suojaamiseen

1.Älä käytä samaa salasanaa eri palveluissa.

Jos yhteen palveluun murtaudutaan ja salasanat vuotavat julkisuuteen, joku kokeilee varmasti niitä myös muihin palveluihin. Jos käytät samaa salasanaa useammassa palvelussa, vanhoissa murroissa viedyt tiedot ovat käyttökelpoisia vielä vuosien päästäkin. Jos luot salasanoja helposti arvattavalla tavalla, yhden salasanan paljastuminen voi auttaa päättelemään myös muiden palvelujen salasanat.

2. Suojaa sähköpostitilisi.

Monet palvelut sallivat salasanojen nollaamislinkkien tai väliaikaisten salasanojen lähettämisen ilmoittamaasi sähköpostiin. Käytä eri sähköpostiosoitteita salasanojen palauttamiseen ja arkiseen viestittelyyn.

3. Käytä aina kaksivaiheista tunnistamista, jos mahdollista.

Monet palvelut tarjoavat lisätunnistusmahdollisuutta lähettämällä puhelimeesi varmistuskoodin, kun tunnuksillasi yritetään kirjautua palveluun. Kaksivaiheinen tunnistus vaikeuttaa huomattavasti asiattomien pääsyä tilillesi.

 4. Pidennä salasanojasi.

Yksinkertaiset ja pitkät lauseet ovat parempia kuin lyhyet ja vaikeasti muistettavat salasanat. Esimerkiksi lauseen “1 like that you are protecting my Passw0rds” murtaminen Tianhe-2:lla, yhdellä maailman nopeimmista supertietokoneista, veisi useita tuhansia vuosisatoja.

5. Vältä salasanoja, jotka liittyvät elämääsi, tapoihisi tai jotka voi päätellä julkisesti saatavilla olevista tiedoista.

 Mieti yleisesti ottaen tarkkaan, minkälaista tietoa jaat itsestäsi verkossa.

6. Valitse salasanoja, jotka eivät nolostuta.

Jos tekstimuotoon tallennetut salasanat vuotavat verkkoon tai tiivisteeksi muunnetut salasanatiedostot murretaan, ne voivat olla yhtäkkiä julkisia koko maailmalle.

7.  Luo pitkiä ja vaikeasti murrettavia salasanoja salasanojen hallintasovelluksilla.

Kun luot salasanat sovelluksella, sinun ei tarvitse keksiä niitä itse. Voit luoda jopa 32 merkin mittaisia satunnaisia salasanoja, joiden murtaminen on käytännössä mahdotonta. Kun salasana on riittävän vahva, se voi päätyä asiattomien käyttöön ainoastaan, jos salasanat varastoidaan palveluun tavallisena tekstinä.

8. Käytä hälytyspalvelua, kuten Have I Been Pwned?

Hälytyspalvelut seuraavat tietomurtojen yhteydessä julkisuuteen vuotanutta aineistoa ja varoittavat jos sähköpostisi löytyy tietojen joukosta.

9. Älä anna selaimesi muistaa salasanoja puolestasi.

Usein selaimet ehdottavat salasanasi automaattista tallentamista verkkosivustolle, mutta salasanan tallentaminen selaimeen on aina riski.

10. Jos käytät sormenjälkitunnistusta, tunnistaudu sormella, jolla et yleensä käytä laitteita.

Tunnistaudu mieluummin peukalolla tai pikkusormella, jotta sormenjälkiesi tallentaminen vaikeutuu.

Minkälaisilla hyökkäyksillä tunnuksia hankitaan?

Käyttäjätunnusten ja salasanojen keräämiseen on useita erilaisia keinoja. Tässä esittelemme yleisimmin käytetyt tekniikat.

Verkossa tapahtuva koneellinen läpikäynti

Hyökkääjä yrittää kirjautua verkkopalveluun käyttämällä yleisimmin käytettyjä salasanoja ja arvaamalla salasanasi verkosta löytyvän tiedon perusteella.

Tiivisteen murtaminen

Jos hyökkääjä saa käsiinsä verkkopalvelun salasanatiedot, jotka on tallennettu suojattuun tiivistemuotoon, hyökkääjän täytyy murtaa suojaus. Käytännössä tämä tehdään esimerkiksi hashcat-sovelluksella luomalla sanalistoista tiivisteitä ja vertailemalla niitä aidon salasanalistan tiivisteisiin. Esimerkiksi tehokkaiden näytönohjainten laskentateho sopii tähän tehtävään.

Käyttäjien manipulointi ja tietojenkalastelu

Hyökkääjä yrittää houkutella käyttäjiä verkkosivustolle, joka näyttää palvelun sivustolta, mutta on todellisuudessa huijaussivusto salasanojen keräämiseen. Huijaussivustolla voidaan kysyä myös vastauksia turvakysymyksiin tai muuta salasanojen vaihtamiseen liittyvää tietoa.

Salasanojen nollaamiseen käytettäviin kysymyksiin vastaaminen

Hyökkääjä yrittää arvata salasanasi vaihtamiseen liittyvien turvakysymysten vastauksia julkisesti saatavilla olevan tiedon perusteella.

Juliste: 10 vinkkiä salasanojen suojaamiseen – lataa omasi!

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s