@Jukka8 vastaan jälleen tänne, koska offtopic.
Tuntuu, että sinulla on termit sekaisin. Vahvalla tunnistautumisella tarkoitetaan tunnistusmenetelmiä, jossa joku ulkopuolinen toimija vahvistaa henkilöllisyytesi. Esimerkkinä pankki tai operaattori. En näe tälle tarvetta sen jälkeen, kun käyttäjän ensimmäinen tunnistus on tehty. Itseasiassa jopa mobiilipankkiin pääsee pelkällä käyttäjätunnuksella ja salasanalla.
Keyloggerilta voi suojautua myös 2FA:lla, siihen ei tarvita vahvaa tunnistautumista. Myös salasanamanagerin käyttöllä voi suojautua.
Fake login-sivulta on taas erittäin vaikea suojautua muuten kuin omalla käytöksellä. 2FA tai mobiilivarmenne ei juurikaan auta, jos luulet kirjautuvasi oikeaan palveluun.
Kuvitellaan esimerkki: Saat sähköpostiin “Nordnetilta” viestin, joka kehottaa kirjautumaan tilille alla olevasta linkistä, koska siellä on havaittu epäilyttävää toimintaa. Syötät käyttäjätunnuksen ja salasanan, ja siirryt seuraavalle sivulle, jossa syötät puhelinnumeron ja lähetät tunnistuspyynnön. Hakkeri (tai hänen ohjelmansa) suorittaa samat toimenpiteet, mutta oikeissa palveluissa. Sinun ainoa suojasi on, että tarkistat 5merkkisen koodin. Moni ei tätäkään tee, sillä osaa odottaa tunnistuspyyntöä. Viimeiseksi hakkeri tulostaa viestin “Jotain meni vikaan! Palataan etusivulle.” ja ohjaa sinut takaisin kirjautumissivulle. Samalla hän on saanut pääsyn sinun tunnuksillasi.
Pitkien salasanojen ideana on antaa suojaa, mikäli joku menee vikaan ja salatut tiedot vuotavat. Salaus antaa aikaa vaihtaa uudet salasanat ja tehdä suojaustoimenpiteet.
@nova18 pahoittelen offtopicia ja etten ollut kanssasi samaa mieltä, mutta mielelläni oikaisen havaitsemiani väärinkäsityksiä ja estän mis- ja disinformaatiota leviämästä. Pyrin myös välttämään huonosti perusteltuja ja mutulla heitettyjä mielipiteitä, koska ne leviävät tässä verkottuneessa maailmassa kulovalkean lailla. Etenkin asiayhteyksistä irrotettuina
Koitan antaa vielä muutaman ahaa-elämyksen, koska selkeästi ymmärrän asiasta enemmän kuin sinä. Tiivistettynä:
- Kaksi tärkeintä hyökkäysvektoria ovat tietojenkalastelu (phising) sekä hyökkäykset palvelinpuolelle. Jälkimmäinen on palveluntarjoajan vastuulla, mutta ensimmäiseltä on suhteellisen helppo suojautua.
- Käytä salasanamanageria ja sen luomia salasanoja (min 16merkkiä)
- Kytke ainakin sähköpostiin 2FA ja aseta siihen pitkä salasana, “rimpsu” jonka muistat. Näin pystyt palauttamaan salasanat, mikäli et pääse kirjautumaan salasanamanageriisi (esimerkki: Kahvihuoneonmukavapaikka, höystettynä spesiaalimerkeillä)
- Tarkista tietosi haveibeenpwned -palvelusta.
- Älä luovuta salasanojasi KENELLEKÄÄN!
- Muista, että kaikki ihmisen luoma voidaan myös rikkoa ihmisen toimesta.
https://www.youtube.com/watch?v=7U-RbOKanYs on erittäin hyvä video, jos kiinnostaa nähdä, miten “vuodetut” salasanat murtuvat. Kohdasta 7:40 murretaan 8merkkiset salasanat. Kannattaa katsoa, herättelee varmasti.
Maailmassa on paljon pelottavia asioita, joten ei kannata ottaa ylimääräistä stressiä. Näitä asioita kuitenkin kehittävät lukuisat meitä fiksummat ihmiset. Toki, jos oikein pelottaa, kannattaa poistua netistä ja katkoa piuhat.