Salasanamanagerin käyttö - uhka vai mahdollisuus?

Koska meidän on nykyään muistettava valtava määrä verkkotilejä ja salasanoja, on suunnitelmallisesta salasanojen hallinnasta tullut ehdoton välttämättömyys. Oletko kuullut salasanamanagereista? Salasanamanageri-ohjelma suojaa tilitietosi turvallisesti tallentamalla ne salattuun tietokantaan joko tietokoneellesi, mobiililaitteellesi, pilveen, tai kaikkiin kolmeen. Salasanamanagerilla hallinnoit kaikkia salasanojasi yhdellä pääsalasanalla joka sinun pitää itse muistaa.

Kolme hyvää syytä ottaa salasanamanageri käyttöön:

#1 Lisääntynyt turvallisuus

Salasanahallinta luo automaattisesti vahvat salasanat kaikille tileillesi, mikä vaikeuttaa huomattavasti verkkorikollisten pääsyä niihin. Sinun ei tarvitse enää huolehtia heikkojen tai helposti arvattavien salasanojen käytöstä!

#2 Parempi organisointi

Kunkin tilin käyttäjätunnuksen ja salasanan seuraaminen voi olla todella hankalaa. Mutta salasanahallinnan avulla kaikki nämä tiedot ovat saatavilla yhdessä paikassa, jolloin säästät aikaa ja vaivaa jatkuvalta kirjautumiselta eri tileille.

#3 Käyttäjäystävälliset työkalut

Monet salasanahallintaohjelmat tarjoavat käyttäjäystävällisiä työkaluja, kuten kaksivaiheisen tunnistautumisen ja automaattiset täyttöehdotukset selaimeen (sen jälkeen kun olet avannut salasanamanageriohjelman tunnuksillasi).

Miksei salasanamanageri ole siis jo jokaisen netin käyttäjän työkalupakin vakiokalustoa?

Ennakkoluuloja ja uhkakuvia

Salasanamanagerit herättää monessa tervettä skeptisyyttä, mutta myös ihan suoranaisia salaliittoajatuksia ja turhiakin uhkakuvia. Mainitsen tässä pari hiljattain LinkedIn-keskustelussa noussutta väittämää:

#1 "Salasanamanagerit on hirveä riski, koska silloin kun menettää yhden salasanan menettää ne kaikki, parempi pitää kaikki erillään."

Tavallaan väittämässä on perää, mutta ei kuten väittäjä kuvittelee. Yhden salasanan menettäminen on vaarallista silloin kun käytössä ei ole salasanoista huolehtivaa ohjelmaa joka mahdollistaa vahvat uniikit salasanat joka palveluun, vaan käyttää suoraan yhtä helposti muistettavaa joka palvelussa. Silloin kun yksi palvelu vuotaa, salasana vuotaa ja pahimmillaan käyttäjätunnuksena toimiva sähköpostikin - tällöin murtoa hyödyntävä hyökkääjä voi suoraan kirjautua tunnuksilla kaikkialle missä ne on käytössä.

Jos salasanamanagerin pääsalasana varastetaan, pitää useiden ohjelmien tapauksessa kuitenkin silläkin kirjautua tietyltä hyväksytyltä laitteelta, eli mahdollisen hyökkääjän pitäisi saada haltuunsa myös esimerkiksi pöytäkoneesi kotonasi jotta voisi hyödyntää varastettua salasanaa mitenkään.

Vastaavasti jos salasanamanagerilla luotu uniikki vahva salasana yhdestä palvelusta vuotaa esimerkiksi tietomurron yhteydessä niin muut salasanat on täysin turvassa, koska manageri mahdollistaa niiden täysin erilaisina pitämisen.

#2 "Parempi vaan muistaa kaikki eikä kirjata mihinkään, oma polla on varmin holvi!"

Jopa 90% tietomurroista tehdään ainakin osittain jonkun pollan kautta. Eli se "varmin holvi" tavalla tai toisella on osallisena yhdeksässä kymmenestä tietomurrosta. Usein näissä on kyse joko omista inhimillisistä virheistä, laiskuudesta, tai taitavasta tiedustelijasta joka onnistuu taivuttelemaan kohteensa auttamaan murtotyössä. Ihminen on usein näiden ketjujen heikoin lenkki.

Heikon tietoturvan lisäksi omassa päässä tunnusten pitäminen, kun tunnuksia on useita satoja, on todella uuvuttavaa puuhaa. Uuvuttavaa on myös nollailla salasanoja kaiken aikaa kun ne ehtii unohtumaan kirjautumisten välissä.

#3 "Entä jos salasanaohjelma murretaan ja salasanat vuotaa maailmalle?"

Tämä on aivan aiheellinen pelko, sillä hiljattain esimerkiksi Last Pass joutui murron kohteeksi. Hyökkääjät tässäkin tapauksessa kuitenkin saivat vain salattuja tietoja, jotka vaativat käyttäjän oman pääsalasanan jotta niitä voi avata. Mikäli pääsalasana oli turvallinen, ei pitäisi olla syytä huoleen. Silti on parempi varmuuden vuoksi vaihtaa salasana joka kerta kun tietoa vuotaa jostain, olipa vuoto kuinka vähäpätöinen tahansa.

Last Passin murron kaltaiset harvinaisemmat ikävät tapahtumat eivät kuitenkaan ole syy hylätä ohjelmaa, koko salasanamanagerien ideasta puhumattakaan. Tästä päästään huoleen numero neljä.

#4 "Kaikki missä salasanat menee pilveen on pahasta."

On totta että salasanat netissä, vaikka olisivatkin hyvin salattuina ja turvallisilla palvelimilla, on silti yksi riski lisää verrattuna siihen että ne on vain paikallisesti laitteellasi hyvin salattuina, ja oman laitteen tietoturva tietysti viimeisen päälle kunnossa. Onneksi nykyään löytyy myös vaihtoehtoja joissa salasanat voi halutessaan tallentaa vain paikallisesti omalle laitteelle niin ettei niitä siirretä mihinkään etäsäilöön.

Murtouutisia maineikkaista salasanamanagereista tulee kuitenkin niin harvoin, että monelle käyttäjälle suurempi riski on omien salasanojen unohtaminen tai kadottaminen esimerkiksi paikallisen laiterikon seurauksena, kuin joutua uhriksi murrossa joka on kohdistettu todella tarkoin vartioituihin tietoturva-alan toimijoiden konesaleihin ja järjestelmiin.

Hyviä vaihtoehtoja salasanamanagereiksi

#1. F-Securen ID PROTECTION (entinen F-Secure Key)

Maksullinen, toimiva, kotimainen. F-Secure on ollut vuodesta toiseen luotetuimpien virustorjuntaohjelmien listalla, ja ID PROTECTION jatkaa samaa linjaa. Käyttöönotto on helppoa, mikäli vanhoja salasanoja on muualla ja niitä haluaa tuoda massana sisään, se onnistuu. Jos taas haluaa vaihtaa myöhemmin johonkin toiseen, niin salasanat saa halutessaan myös tuotua ulos massana.

Mikäli hinta kuulostaa kovalta, kannattaa harkita TOTAL-paketin metsästämistä esim. tavarataloissa myytävän kortin muodossa, tai odotella kausittaisia alennuksia (halloween, black friday, cyber monday, etc.).

#2. Edullisempia paketteja tarjoava Dashlane.

Dashlane on suosittu salasanamanageri, jota on kehuttu sen yritysystävällisistä ominaisuuksista. Dashlanen avulla yritykset voivat tallentaa ja hallita salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja turvallisesti yhdessä turvallisessa paikassa. Se tarjoaa myös kehittyneitä tietoturvaominaisuuksia, kuten kaksivaiheisen tunnistautumisen, tallennettujen tietojen salauksen ja mahdollisuuden jakaa salasanoja tiimin jäsenten kanssa. Henkilökohtaiseen käyttöön yhdellä laitteella Dashlane tarjoaa myös ilmaisen version.

#3. Paikallisesti käytettävä avoimen lähdekoodin KeePass.

KeePassista sanotaan että se vaatii hieman enemmän teknistä tietotaitoa käyttäjältä kuin kaupalliset vaihtoehdot, mutta on erinomainen valinta jos haluaa säilyttää salasanat paikallisesti tallentamatta niitä palveluntarjoajan tietokantaan.

Paikallisen säilyttämisen varjopuolena tietysti on että oman laitteen tietoturvan merkitys korostuu entisestään. Menneinä vuosina uutisoitiin laajasti mm. KeePassiin kohdistuneesta KeeFarce-haittaohjelmasta joka tarttui käyttäjän koneeseen ja paikallisesti kaiveli esiin KeePassilla tallennettuja salasanoja ja tunnuksia.

Yhteenveto

Täydellistä ratkaisua ei ole olemassakaan, mutta salasanamanagerin käyttö lisää tietoturvaa ja keventää arkea salasanaviidakon kanssa huomattavasti. Jokaiselle löytyy oma malli - ääripäinä helppo F-Secure jossa salasanoihin mennään vain omalla salasanalla ja vain valtuutetulta laitteelta, ja toisessa päässä KeePass ja esimerkiksi muistitikulla säilötty salasanatietokanta, joka voi kulkea vaikka avainrenkaassa mukana.

Oma valintani on helppo F-Securen ID PROTECTION nyt kolmatta vuotta peräkkäin, mutta myönnän että Dashlane kyllä kiinnostaa myös, ja sen merkitys korostuisi jos olisin hankkimassa koko tiimilleni salasanamanagereita ja salasanojen turvallinen jakaminen olisi tärkeää.

Kirjoittaja: Esa Lappalainen

Wildcard Groupin verkkosivu- ja hakukoneasiantuntija.

Haluatko kuulla uusista artikkeleista ensimmäisten joukossa? Liity uutiskirjeen tilaajaksi!
Emme lähetä roskapostia, ja voit halutessasi lopettaa tilaamisen koska tahansa klikkaamalla jokaisen uutiskirjeen mukana tulevaa linkkiä.
Uutiskirjetilaus