Sami Koskinen
Sep 20, 2012

Salasanoja kuin lampaat söis

Lomat ovat ohi. Itsekin saavuin syyskuun alussa täydellisestä tietotekniikkapimennosta töihin, Otaniemen teknologiakehtoon. Kokemuksen mukaan monen työ loman jälkeen alkaa ottamalla ensiksi yhteys työpaikan IT-tukeen ja pyytämällä uusi salasana työasemaan, kun vanha on joko mennyt umpeen tai sitä ei muisteta. Sen jälkeen toistetaan sama eri verkkopalveluiden kanssa: turvallisuussyistähän yhtä salasanaa ei saa käyttää kuin yhdessä paikassa, eikä sitä saa kirjoittaa – turvallisuussyistä – muistiin. Mikään, mikä olisi helppo muistaa, ei kelpaa salasanaksi. Tuttua?

Kertakirjautumisesta on puhuttu kauan, salasanoille vaihtoehtoisista käyttäjän todentamisen tekniikoista samoin. Kumpikaan ei ole aitoa arkipäivää työelämässä, ei varsinkaan kun erilaiset pilvipalvelut ovat osa työympäristöä. Vain pieni osa pilvipalveluista on liimattavissa kiinni työnantajan järjestelmiin niin, että kertakirjautuminen toimii. Niissäkin ominaisuus maksaa ekstraa, jota ei yleensä haluta maksaa. Salasanoille vaihtoehtoiset tekniikat puolestaan maksavat nekin ja vaativat laitteistoa jota ei ole. Niiden tukeminen ohjelmistotasolla on monimutkaisempaa kuin käyttää salasanoja. Kuinka monessa tietokoneessa onsirukorttituki? Kuinka moni selainkäyttöinen järjestelmä ymmärtää SSL client side -todennusta?

Salasanat ovat seuranamme vielä pitkään, vaikka maailma on muuttunut. Kun yrityksen sisäverkkoa ei enää ole, käyttäjien identiteetin suojaaminen on erityisen tärkeää. Ensimmäinen ongelma on muistaa kaikki salasanat. Määrän kasvaessa ja salasanojen vaihtuessa muutaman kuukauden välein niitä on yhä vaikeampi muistaa. Helppo ratkaisu on, vastoin opetettua, olla muistamatta salasanoja jakirjoittaa ne muistiin.

Muistiin kirjoitetun salasanan hankaluutena on, että se pitää lukea jostain ja sen jälkeen syöttää kirjautumisdialogiin. Ei ole sanottua sekään, että käyttäjätunnus on joka järjestelmässä sama: pitää tietää mikä salasana kuuluu mihinkin käyttäjätunnukseen ja järjestelmään. Tätä ongelmaa ratkaisemaan on kehitetty erilaisia salasanaholveja. Ne pitävät kirjaa tunnuksista ja salasanoista sekä siitä, minne mikäkin käy, eivätkä ne väsy vaikka tietoa olisi paljon tai se muuttuisi usein. Ne usein osaavat automaattisesti tarjota oikeat vaihtoehdot suoraan kirjautumisdialogiin ja jättävät käyttäjän vastuulle vain kuitata, että jatketaan eteenpäin kiitos.

Holvien keskeisin ongelma liittyy käyttötilanteisiin. Järjestelmiä ei käytetä aina yhdellä ja samalla tietokoneella, vaan laitteet vaihtuvat. On työpaikan pöytäkone, kotikone, tabletti, puhelin – ja kaikilla käytetään samoja järjestelmiä. Tyypillinen salasanaholvi tallentaa kirjautumistiedot vain paikallisesti, ei verkkoon, jolloin kirjautumistiedot ovat esimerkiksi työpaikalla käytettävissä mutteivät kotona – tai tabletissa.

Esimerkiksi Googlen Chrome-selain ratkaisee ongelman tallentamalla kirjautumistiedot Googlen verkkopalveluun, jolloin tieto on käytettävissä mistä tahansa laitteesta kunhan käyttää Chromea. Chrome kuitenkin ymmärtää vain selaimella käytettäviä järjestelmiä. Lisäksi sovelluskehittäjät aika ajoin yrittävät tietoturvallisuuden nimissä estää tällaisten elämää helpottavien ratkaisujen käyttöä. Tästä seuraa ymmärrettävästi kilpajuoksu salasanaholvien kehittäjien kanssa, ja kärsijänä on käyttäjä. Toimivien ja luotettavien holvien löytäminen on helpommin sanottu kuin tehty. Tietoturvaguru Bruce Schneierinkin piti kirjoittaa oma.

Riittävän hyvän salasanan keksiminen ei sekään ole yksinkertaista. Kerta ei riitä: sellainen pitää keksiä aina uudelleen, kun aletaan käyttää uutta järjestelmää tai salasana vanhenee. Tehtävää hankaloittavat kummalliset järjestelmätoteutukset. Eräät ovat täysin tyytyväisiä, vaikka salasanaksi syöttäisi Tolstoin Sodan ja rauhan kyrillisin kirjaimin. Toiset taas eivät hyväksy erikoismerkkejä ja rajaavat salasanan pituuden 6-8 merkkiin. Aivan kuin ei olisi riittävää ettei käyttäjätunnus voi edes teoriassa olla sama kaikkialla, vaan sen muotoa rajoitetaan milloin milläkin tavalla. Verkosta löytyy onneksi erilaisia ilmaisia salasanageneraattoreita, jotka osaavat luoda salasanoja automaattisesti. Eräät salasanaholvit, mm. Password Safe, osaavat nekin luoda automaattisesti salasanoja.

Tallensin siis käyttäjätunnukset ja salasanat salasanaholviin ja huokaisin helpotuksesta. Mutta kuinka holvi on suojattu? Joissakin ratkaisuissa holvi aukeaa kun tietokoneelle kirjaudutaan, eräät osaavat käyttää hyväksisormenjälkitunnistinta jos laitteessa on sellainen. Useimmissa se on ratkaistu salasanalla. Mitä eksoottisemmalla menetelmällä holvi on suojattu, sitä rajoitetumpaa on sen käyttö. Salasanan lyömättömimpiä piirteitä on se, että se toimii kaikkialla ja millä tahansa teknologialla.

Mutta entä jos halusin käyttööni salasanaholvin juuri siksi että en halua muistaa salasanoja? Insinööri on onneksi kekseliäs: hän tekee avaimenperään sopivanUSB-tikun, joka kertoo olevansa USB-näppäimistö, ja myy sitä edulliseen hintaan kaikille joiden mielestä salasanat ovat hankalia mutta jotka eivät pysty pääsemään niistä täysin eroon. Holvin avaava salasana tikulle, tikku koneeseen ja: ”Sesam aukene!”

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.