3.6 Salasanat ja autentikointi arjessa
3.6 Salasanat ja autentikointi arjessa
Kuuntele tämä osuus:
Suurin osa internetin palveluista käyttää käyttäjän tunnistamisessa salasanoja, joilla vahvistetaan palveluun kirjautuvan henkilön identiteetti.
On erittäin suositeltavaa käyttää jokaisessa verkkopalvelussa uniikkia salasanaa. Tällöin yhden palvelun salasanan vuotamisella ei ole vaikutuksia toisen palvelun tunnuksiin. Lisäksi on suositeltavaa luoda uniikeista salasanoista mahdollisimman pitkiä, jotta ne ovat vaikeammin murrettavissa teknisin menetelmin. Pidä salasanasi myös vain omassa tiedossasi, sillä jaettu tieto lisää huomattavasti mahdollisuutta salasanan vuotamiseen ulkopuolisille tahoille.
Mikäli käytät lukuisia Internetin palveluja, on ymmärrettävää, että jokaisen yksilöllisen salasanan muistaminen on haastavaa. Tällöin voit käyttää apunasi salasananhallintaohjelmia, jotka tallentavat salasanasi yhteen sovellukseen ja suojelevat niitä teknisillä ratkaisuilla. Toisaalta salasananhallintaohjelman käyttö luo teoreettisen mahdollisuuden, että kaikki salasanasi vuotavat rikollisten käyttöön, mikäli ohjelma onnistutaan hakkeroimaan. On jokaisen oma valinta, haluaako käyttäjä keventää salasanojen muistamisen vaatimuksia, vai minimoida salasanoihin kohdistuvia riskejä.
Monet internetin palvelut tarjoavat monivaiheisen tunnistautumisen käyttöä palveluissaan. Monivaiheinen tunnistautuminen (engl. “multi-factor authentication” eli MFA) tarkoittaa, että palveluun kirjautumisessa käytetään useita tapoja käyttäjän henkilöllisyyden vahvistamiseen. Yleisimpiä tapoja monivaiheisen tunnistautumisen toteutuksessa on vahvistaa henkilöllisyys erillisellä mobiililaitteen sovelluksella sen jälkeen, kun käyttäjä on ensin syöttänyt salasanansa oikein palveluun. Esimerkiksi suomalaisissa pankkien verkkopalveluissa käytetään kaksivaiheista tunnistautumista, ja EU-laki velvoittaa pankkeja käyttämään tämänkaltaista tunnistautumista palveluissaan.
Internetin rikolliset tahot voivat pyrkiä keräämään salasanasi muun muassa hakkeroimalla tai kysymällä salasanojasi suoraan sinulta. Salasanoja kysellessään he usein pyrkivät naamioimaan itsensä luotettavaksi tahoksi, kuten esimerkiksi pankkiyhtiöiksi, luotettavaksi tuttavaksi tai tunnetuksi palveluntarjoajaksi. Mikäli esimerkiksi pankkiyhtiöltä vaikuttavalta taholta saapuu epätavallisia sähköpostiviestejä, on erittäin suositeltavaa välttää viestin sisältämien linkkien ja liitteiden klikkaamista ja olla vastaamatta viestiin. Voit tarkistaa viestin luotettavuuden kirjautumalla pankkiyhtiösi sivuille sinulle normaalia kautta tai ottamalla yhteyttä pankkiin itseensä.
Katso seuraavaksi alla olevaa kuvakaappausta tietojenkalasteluviestistä. Mistä viestin voi tunnistaa tietojenkalasteluksi?
Kyseinen viesti sekä kalastelee käyttäjän pankkitunnuksia että kärttää tältä rahaa. Viesti on tulevinaan kuljetuspalvelu FedExiltä, mutta viesti on helppo tunnistaa huijaukseksi esimerkiksi lukuisten kirjoitusvirheiden avulla. Viesti myös uhkailee vastaanottajaa oikeustoimilla ja "oikeuspoliisilla". Vastaavissa viesteissä olevia linkkejä ei pidä avata, mutta niiden oikean osoitteen voi tarkistaa viemällä hiiren kursorin hetkeksi linkin päälle, jolloin osoite tulee näkyviin. Huijausosoite voi olla hyvin lähellä oikeaa osoitetta. Esimerkiksi kuvitteellisen verkkopankki.fi -sivuston sijaan linkki voi viedä sinut aidon näköiselle sivustolle verkkopankki-fi.com.