Onko sinulla jo oma manageri, salasanamanageri?

Salasanojen tietoturvallisessa säilytyksessä olisi monessa yrityksessä parantamisen varaa. Virian turvallisuusjohtaja Kari Salmelan mukaan esimerkiksi salasanamanagerien käyttöön työntekijöitä ohjataan vielä varsin harvassa yrityksessä.

Yllättävän monessa yrityksessä työntekijä ratkoo salasanojen säilyttämisen itse parhaaksi katsomallaan tavalla. Virian turvallisuusjohtaja Kari Salmela arvelee, että melko harvassa isossakaan yrityksessä ohjataan työntekijöitä koordinoidusti esimerkiksi tietyn salasanamanagerin käyttöön.
”Monet valveutuneet käyttäjät ovat kuitenkin itse ottaneet salasanamanagerin käyttöön”, Salmela toteaa.
Ilman salasanamanageria salasanojen koordinointi on hankalaa. Tällöin riskinä on, että käyttäjä päätyy käyttämään samaa salasanaa useissa palvelussa tai kirjoittamaan salasanoja muistilapulle. Kumpikaan vaihtoehto ei ole tietoturvan näkökulmasta suotavaa.
”Salasanamanageri on hyvä tapa taata salasanojen tietoturva ja varmistua siitä, että jokaisessa palvelussa on eri salasana käytössä. Kun salasanaa ei tarvitse muistaa ulkoa, on matalampi kynnys tehdä siitä monimutkaisempi.”

Valintoja vaihtoehtojen viidakossa

Kevyin ratkaisu salasanahallintaan ovat internetselaimissa toimivat salasananhallintatyökalut. Kaikissa selaimissa on omat versionsa ja ne ovat Salmelan mukaan sinänsä ihan toimivia. Haasteena on kuitenkin puuttuva synkronointi eri laitteiden välillä.
”Ongelma näissä on myös siinä, että jos pöytätietokone tai kännykkä jää lukitsematta, salasanat ovat kenen tahansa käytössä. Salasanamanagerissa tätä ongelmaa ei ole, koska salasanamanageriin on tunnistauduttava”, Salmela luettelee.
Esimerkiksi kuluttajakäyttöön on tarjolla useita ilmaisia salasanamanagereita, kuten Keeper ja Lastpass. Managerista riippuen salasana-arkisto on joko paikallisella tietokoneella tai se tallennetaan salattuna pilvipalveluun.
”Ilmaisversio sisältää perustoiminnot ja maksulliset yrityskäyttöön tarkoitetut versiot tarjoavat lisäominaisuuksia. Lisämaksusta käyttäjä voi saada esimerkiksi salattua tallennustilaa ja tarkistaa, onko oma salasana joutunut vääriin käsiin.”
Kaksivaiheinen tai kaksikeinoinen tunnistautuminen on Salmelan mukaan kaikkein paras vaihtoehto. Salasanamanageriin saa lisäsuojaa USB-avaimella, jota voi käyttää halutessaan myös yksistään. YubiKey on yksi markkinoilla oleva ratkaisu. Sama USB-avain toimii sekä pöytäkoneessa että kännykässä.

”Etenkin sähköpostipalvelut kannattaa suojata erityisen hyvin, koska se, joka hallitsee sähköpostia, hallitsee helposti montaa muutakin kyseisen henkilön käyttämää palvelua. Sähköposti on tietyllä tapaa yleisavain moniin sähköisiin palveluihin.”

Kun pelkät salasanat eivät riitä tai niitä ei haluta käyttää, voidaan Salmelan mukaan yrityksissä käyttää identiteetin hallintaan IAM-ratkaisuja. Ne eivät niinkään liity käyttäjän tunnistamiseen vaan siihen, mitä tietyllä käyttäjäidentiteetillä voi tehdä ja miten sitä hallitaan.
”Identiteetti ja tunnistautuminen ovat kaksi eri asiaa. Salasana on vain yksi tapa esitellä itsesi tietokoneelle ja varmentaa, että olet se, joka väität olevasi. Esimerkiksi verkossa kuka tahansa voi valita itselleen identiteetin eli se on jotain, minkä olet itse itsestäsi ilmoittanut ja määritellyt. Salasanalla voidaan määritellä oikeus tietyn identiteetin käyttöön.”

Salasanat ovat kuin alushousut

Salmelan mukaan salasanojen suhteen on tärkeää muistaa muutama perusasia. Hänellä on tähän hyvä vertaus muistamisen tueksi.
”Salasanat ovat kuin alushousut. Älä esittele niitä muille äläkä vaihtele niitä muiden kanssa. Muista myös vaihtaa ne säännöllisesti”, Salmela naurahtaa.
Aikaisemmin salasanoja ohjeistettiin muuttamaan hyvinkin usein.
”Kun salasana on riittävän hyvä eikä se ole muiden tiedossa, en näe tarvetta sen tarpeettomaan vaihtamiseen. Mitä enemmän salasanoja vaihdetaan, sitä useammin niitä joudutaan myös välillä nollaamaan.”
Salasanamanageri tuo siis myös säästöä, kun yritysten it-hallinnon aikaa ei kulu salasanojen palauttamiseen.
Mutta ovatko salasanamanagerit luotettavia? Salmela pitää niiden salausmenetelmiä turvallisina.
”Jos mahdollisia haavoittuvuuksia huomataan, vastuulliset yhtiöt pyrkivät niitä korjaamaan. Täytyy kuitenkin varmistaa, minkä salasanamanagerin on ottamassa käyttöön. Jotkut haittaohjelmat on naamioitu salasanamanagereiksi.”
Vaikka nykyään on olemassa lukuisia tapoja ja välineitä tunnistaa käyttäjä, salasanat pitävät edelleen pintansa. Monesti ei tule edes ajatelleeksi, että salasanat ovat oikeastaan ikivanha juttu.
”Salasanoja on käytetty tuhansia vuosia. Esimerkiksi vartiopaikoilla salasanan avulla voitiin varmistua siitä, kuka on oma ja kuka vihollinen. Tietokonemaailmassakin on päädytty salasanoja suosivaan nykymalliin, koska salasana on halpa ja pienin yhteinen nimittäjä kaikelle. Salasanat eivät tunnu kuolevan.”