Embed Size (px)
Citation preview
SalasanahygieniaEli mitä joka ikinen ihminen
on velvollinen tekemääntietoturvan edistämiseksi.
Otto KekäläinenTampere 4.11.2014
LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
Salasanahygienia
Tietoyhteiskunnan jokamiestaito!
"HandCleaning" by James Heilman, MD - Own work. Licensed under Creative Commons Attribution-Share Alike 3.0 via Wikimedia Commons - https://commons.wikimedia.org/wiki/File:HandCleaning.JPG#mediaviewer/File:HandCleaning.JPG
Salasanahygienia
1. Säilytä salasanat turvallisesti
”Kryptattuna” paperilla
Ulkoa muistettu alku:Ma55i
Salasanat:Ma55ihu8kkpMa55iX37+bLMa55ikorPAkk7Ma55iLerMA6.T
Ohjelmalla, esim KeePass
Salasanahygienia
2. Käytä eri salasanoja eri järjestelmissä
Salasanavuotojavastaan voi
suojautuakäyttämällä
eri salasanojaeri palveuissa
Salasanahygienia
3. Käytä vaikeasti arvattavia, monimutkaisia salasanoja
KeePass ja vahvuusmittari
Salasanahygienia
4. Vaihda salasana säännöllisesti
Salasanahygienia
..tai heti jos uskot että se on vuotanut
Salasanahygienia
5. Älä koskaan kerro salasanaasi kenellekään
Salasanahygienia
6. Lähetä salasanasi oikealle kohteelle ja vain suojatussa yhteydessä
Suojatut yhteydetHTTPS
IMAPS
SMTPS
SSH
SFTP
OpenPGP
XMPPS
Suojatut yhteydet
Salasanahygienia
1. Säilytä salasanat turvallisesti2. Käytä eri salasanoja eri järjestelmissä3. Käytä vaikeasti arvattavia, monimutkaisia salasanoja4. Vaihda salasana säännöllisesti5. Älä koskaan kerro salasanaasi kenellekään6. Lähetä salasanasi oikealle kohteelle ja vain suojatussa yhteydessä
Lähteet
Tämä tietoisku on on alun perin julkaistu Turvallisuus-lehdessä 1/2010.
Lue verkossa koko artikkeli: http://www.valo-cd.fi/oppaat/keepass-opas.pdf
Copyright Otto Kekäläinen ja Turvallisuus-lehti 2010
Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään
Linux-pohjaisia tietojärjestelmiänne
Avaa seravo.fLisävinkkejä blogissamme
SalasanahygieniaEli mitä joka ikinen ihminen
on velvollinen tekemääntietoturvan edistämiseksi.
Otto KekäläinenTampere 4.11.2014
LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
Salasanahygienia
Tietoyhteiskunnan jokamiestaito!
"HandCleaning" by James Heilman, MD - Own work. Licensed under Creative Commons Attribution-Share Alike 3.0 via Wikimedia Commons - https://commons.wikimedia.org/wiki/File:HandCleaning.JPG#mediaviewer/File:HandCleaning.JPG
Kaikki tuntevat käsihygienian: kädet valellaan desinfiointiaineella aina kun mennään sisään sairaalaan.
Samalla tavalla kuin käsien puhtaus ehkäisee tautien tarttumista, voidaan salasanahygienialla ehkäistä omien käyttäjätunnusten väärinkäyttöä. Salasanahygienia voi tuntua turhalta kun hyötyä ei näe heti, mutta se on tärkeää nykyisessä tietoyhteiskunnassa.
Salasanahygienia ei ole yhtään sen vaikeampaa kuin käsien pesu, ja jokainen voi oppia muutaman yksinkertaisen perusperiaatteen, jotka kerron seuraavaksi.
Salasanahygienia
1. Säilytä salasanat turvallisesti
Salasanat tulisi säilyttää turvallisesti. Paras tapa olisi tietysti säilyttää kaikki salasanat päänsä sisällä, mutta kaiken muistaminen ei yksinkertaisesti ole mahdollista, joten toinen hyvä paikka on lompakko.
Lompakossa säilytetään rahaa, joten ihmiset ovat tottuneet pitämään huolta lompakostaan.
”Kryptattuna” paperilla
Ulkoa muistettu alku:Ma55i
Salasanat:Ma55ihu8kkpMa55iX37+bLMa55ikorPAkk7Ma55iLerMA6.T
Salasanat voi salakirjoittaa paperille yksinkertaisella kikalla siten, että vain itse osaa lukea niitä: käytä kaikissa salasanoissa yhteistä alkua jonka muistat, esimerkiksi Ma55i, ja kirjoita paperille vain loppuosa. Näin jos paperilla lukee hU8kkP, tiedät itse että salasana on Ma55ihU8kkP.
Lompakossa olevasta listasta tulee muistaa pitää myös kopiota, jotta lompakon hukkaamisen myötä ei menetä lopullisesti salasanoja. Kopiolle täytyy luonnollisesti keksiä myös turvallinen säilytyspaikka. Tähänkin voi soveltaa raha-analogiaa ja laittaa listan kassakaappiin.
Lompakon lisäksi matkapuhelin on jatkuvasti mukana, ja se on toinen paikka tallentaa salasanat, mutta se ei ole juuri paperia parempi, koska salasanat näpyttelemään käsin tietokoneeseen, kun kirjautuu johonkin sisään.
Ohjelmalla, esim KeePass
Suositeltavin vaihtoehto on salasanojen säilytysohjelman käyttö tietokoneessa. Esimerkki tällaisesta on KeePass. Sen käyttö on erittäin helppoa, koska pääsalasanan syöttämisen jälkeen voi salasanaluettelosta helposti kopioida valitsemansa käyttäjätunnuksen ja salasanan leikepöydälle ja sitä kautta viedä mihin tahansa toiseen tietokoneohjelmaan kopioi-ja-liitä, ilman että itse kirjoittamaan monimutkaista salasasanaa.
KeePass on saatavina useille eri käyttöjärjestelmille, kuten Windows, MacOS X, Linux, Android ja Jolla. Ohjelman kryptografiset toteutukset ja muu toiminta on luotettavaa, koska lähdekoodi on avointa ja läpinäkyvää. KeePass on myös suomennettu eikä se maksa mitään, joten hankkikaa se.
Salasanahygienia
2. Käytä eri salasanoja eri järjestelmissä
On vaarallista käyttää samaa salasanaa useissa eri järjestelmissä. Jos esimerkiksi Twitter-tilisi salasana paljastuu, ja rikollinen näkee Twitter-tilitiedoistasi sähköpostiosoitteesi, ja sähköpostisi salasana on sama kuin Twitterissä, niin rikollinen menee varmasti myös sähköpostiisi.
Salasanavuotojavastaan voi
suojautuakäyttämällä
eri salasanojaeri palveuissa
KeePassissa auttaa tässäkin, koska siinä on automaattinen salasanan luomistoiminto, jonka avulla on helppo noudattaa käytäntöä, että jokainen uusi salasana on eri kuin mikään aikaisempi.
Salasanahygienia
3. Käytä vaikeasti arvattavia, monimutkaisia salasanoja
Yksi tapa murtaa salasanoja on käyttämällä tehokkaita tietokoneita, jotka kokeilevat läpi kaikki mahdolliset salasanat. Salasanan vahvuus pitäisi olla tietokonekielellä ilmaistuna vähintäänkin 58 bittiä, eli todennäköisyys arvata salasana on yksi sadasta tuhannesta biljoonasta (100 000 000 000 000 000).
Riittävän monimutkainen salasana on vähintään yhdeksän merkkiä pitkä ja sisältää sekä pieniä että isoja kirjaimia, numeroita ja erikoismerkkejä. Lisäksi salasanan tulee olla mahdollisimman sattumanvaraisesti valittu eikä saa perustua esim sanaan kuten kissa99 tai 123koira, koska salasanojen murto-ohjelmat kokeilevat tällaisia salasanavaihtoehdot ensimmäisenä.
KeePass ja vahvuusmittari
Tässäkin tietokoneohjelmasta on hyötyä. KeePass sisältää toiminnon, joka kertoo käyttäjän kirjoittaman salasanan vahvuuden ja auttaa luomaan satunnaisia vahvoja salasanoja.
Salasanahygienia
4. Vaihda salasana säännöllisesti
Mikäli salasana on riittävän hyvä, sopiva salasanan vaihtoväli on muutama vuosi.
Jos salasana on huono, ja tietokone murtaisi salasanan päivässä prosentin todennäköisyydellä, seuraisi siitä, että vaikka vaihtaisi huonoa salasanaa joka päivä, paljastuisi se varmuudella silti viiden kuukauden sisällä. Riittävän monimutkainen salasana on ratkaisevaa, eikä vaihto kuukauden tai vuoden välein juurikaan paranna tietoturvaa.
Salasanojen iän seurannassakin voi hyödyntää KeePassia. Se näyttää jokaisesta siihen tallennetusta salasanasta päivämäärän jolloin se on otettu käyttöön.
Salasanahygienia
..tai heti jos uskot että se on vuotanut
Jos joku on kurkkinut olkasi yli tai muuten epäilet, että salasanasi on paljastunut, kannattaa se vaihtaa varmuuden vuoksi.
Hyvin tehdyt tietojärjestelmät kertovat sinulle sisäänkirjautumisen yhteydessä koska kirjauduit sisälle edellisen kerran ja mahdollisesti, miltä tietokoneelta vierailu tuli. Jos järjestelmä kertoo sinun olleen työpaikan tietojärjestelmässä kun olit lomalla, osaat päätellä, että jotain on vinossa.
Salasanahygienia
5. Älä koskaan kerro salasanaasi kenellekään
Kenelläkään ei ole mitään syytä tietää salasanaasi. Älä ikinä paljasta salasanaasi edes ylläpitäjälle, vaikka hänellä olisi kuinka hyvä syy udella salasanaasi. Älä lankea manipulointiin!
Kaikissa tietojärjestelmissä ylläpitäjä voi aina vaihtaa käyttäjän salasanan, eikä käyttäjän apua tarvita lainkaan.
Yleisin syy tietomurtoihin on se, että käyttäjä on syystä tai toisesta mennyt paljastamaan salasanansa.
Salasanahygienia
6. Lähetä salasanasi oikealle kohteelle ja vain suojatussa yhteydessä
Kun olet aikeissa kirjautua johonkin järjestelmään, tarkista että kohde on oikea. Esimerkiksi verkkopankkiin mennessäsi tarkista osoiteriviltä, että siinä on oikea osoite.
Parhaan varmuuden saat kun avaat sivuston kirjoittamalla osoitteen itse tai valitsemalla sen omista kirjainmerkeistäsi sen sijaan, että esimerkiksi napsauttaisit osoitteen auki vieraan lähettämästä sähköpostiviestistä.
Suojatut yhteydetHTTPS
IMAPS
SMTPS
SSH
SFTP
OpenPGP
XMPPS
Internetissä tietoliikenne on helposti salakuunneltavissa, ellei se ole kunnolla salattu. Verkkosivustojen osalta tarkista, että osoite alkaa https ja että selaimessasi on asianmukaiset salauksesta kertovat merkit näkyvissä.
Kirjain S tulee sanasta secure.
Jos käyttää sähköpostin lukemiseen erillistä ohjelmaa, kannattaa tarkistaa sen asetuksista, että saapuva posti haetaan salatulla IMAP-yhteydellä. Tiedostonsiirrot kannattaa hoitaa SFTP-yhteydellä. Lisäksi kannattaa tarkistaa myös minkälaisia yhteyksiä esimerkiksi IP-puhelinohjelmisto tai verkkotulostin käyttää.
Suojatut yhteydet
Salatun yhteyden käyttämisen lisäksi pitää myös tarkistaa, että salaus toimii oikein. Jos pankin verkkosivuille mennessä selainohjelma esimerkiksi ilmoittaa, että varmenne on virheellinen, voi asian selvittämisen aloittaa soittamalla pankille ja kysyä, ovatko he itse tietoisia asiasta.
Kaikkia salatun yhteyden käyttöön liittyviä yksityiskohtia ei tarvitse tietää. Tärkeintä on periaatteen ymmärtäminen ja että jokaisella soi hälytyskellot, mikäli jokin kielii siitä, että yhteys ei ole salattu, salaus ei toimi oikein tai yhteyden toinen osapuoli voisi olla väärä.
Salasanahygienia
1. Säilytä salasanat turvallisesti2. Käytä eri salasanoja eri järjestelmissä3. Käytä vaikeasti arvattavia, monimutkaisia salasanoja4. Vaihda salasana säännöllisesti5. Älä koskaan kerro salasanaasi kenellekään6. Lähetä salasanasi oikealle kohteelle ja vain suojatussa yhteydessä
Lähteet
Tämä tietoisku on on alun perin julkaistu Turvallisuus-lehdessä 1/2010.
Lue verkossa koko artikkeli: http://www.valo-cd.fi/oppaat/keepass-opas.pdf
Copyright Otto Kekäläinen ja Turvallisuus-lehti 2010
Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään
Linux-pohjaisia tietojärjestelmiänne
Avaa seravo.fLisävinkkejä blogissamme
