Moni voi kuvitella, että joku kyselyssä listattu vaihtoehto olisi absoluuttisesti väärin, mutta näin ei ole. Yhdelläkin salasanalla voi pärjätä koko elämänsä, vaikka suositeltavaa se ei enää ole. Jos salasana on riittävän pitkä (mielellään 15+ merkkiä), eikä sisällä viitttauksia henkilökohtaisesti tärkeisiin asioihin, nimiin tai numeroihin kestää se aikaa hyvin, vaikka olisi syntynyt joskus viime vuosituhannen puolella.
Missään tapauksessa salasanoja ei pidä vaihtaa (etenkään pakotetusti) muutaman kuukauden välein. Se ei lisää tietoturvaa millään tavalla. Kuriositeettina… Erään suuren pörssiyrityksen uusi CIO kertoi minulle jokin aikaa sitten palauttavansa tämän tavan palvelemaansa globaaliin yhtiöön, kun edellinen CIO oli siitä luopunut. Kyseessä on kuitenkin tietoturvaa heikentävä muutos ja muinaisjäänne jostain viime vuosituhannelta. Ei siis näin. Ja eiköhän joku tämänkin muinaisjäänteen pään lopulta kääntänyt.
Kaikkein tärkeintä omassa tietoturvassa on tunnusten ja salasanojen turvallinen hallinnointi. Omia henkilötietoja sisältävien palvelujen tunnusten hallintaan pitää kiinnittää erityistä huomiota. Samaa salasanaa ei suositella käytettäväksi erilaisissa palveluissa, jotka sisältävät omia henkilötietoja. Yhden palvelun tunnusten vuotaminen, myös ilman omaa syytä, voi johtaa muidenkin palveluiden tietovuotoon. Erityisen tärkeää on, että missään olosuhteissa henkilötietoja sisältävien tai rahaliikenteeseen jollain tavalla liittyvien sovellusten salasana ei ole sama, kuin vaikkapa erilaisten omiin harrastuksiin tai viihteeseen liittyvien sovellusten tai sivustojen rekisteröinnissä.
Usein unohdetaan sähköpostin merkitys tietoturvassa. Tärkeimpien palvelujen osalta salasanan nollaus ei ole enää mahdollista sähköpostin avulla, mutta sähköpostitunnusten vuotamisen avulla voi rikollinen taho tehdä edelleen paljon vahinkoa. Myös kännykästä on muodostunut avain lähes kaikkeen.
Pankkitunnusten käyttö, esim. mobiilisovellus+sormenjäljenlukija on nopea, tehokas ja turvallinen tapa tunnistautumiseen eri palveluihin. Tässä tavassa tunnistautuminen on turvattu monilla erilaisilla, viranomaisten vaatimillla, tavoilla. Tässäkin tapauksessa on kuitenkin syytä kiinnittää aina huomiota siihen, minkä palvelun yhteydessä pankkitunnuksia kannattaa käyttää. Itse suosittelen pankkitunnuksia ainoastaan rahaliikenteeseen liittyviin ja erilaisiin viranomaissovelluksiin, joihin se on suunniteltukin. Erilaiset phishing-tavat ja -sovellukset kehittyvät koko ajan, joten käytön rajaamisella poistaa osan riskistä tunnistautumistietojen väärinkäytölle.
Valtaosa kyselyyn vastanneista käytti paria-kolmea eri salasanaa kaikissa palveluissa. Tämä ei ole turvallinen tapa. Kuitenkin, jos tunnuksia ja salasanoja on “kerrostanut” palvelujen tärkeyden mukaan esimerkiksi siten, että samalla salasanalla ei pääse kirjautumaan Inderes-foorumille ja talon kotiautomaation ohjausjärjestelmiin, on riski pienempi.
Yllättävän moni kertoi käyttävänsä salasanan hallintaohjelmaa. Itselläni on käytössä ilmainen KeePassXC, joka ajaa asiansa. Mikäli päätyy salasanojen hallintaan pilvipalvelussa kannattaa tutustua tarjontaan erityisen huolellisesti. Tämäkään tapa ei tietenkään ole riskitön sillä yhden Master-salasanan joutuminen vääriin käsiin on huonompi juttu.
Aiheesta voisi kirjoittaa pitkän artikkelin esimerkkeineen ja tosimaailman kokemuksineen, mutta jätetään toiseen kertaan. Loppujen lopuksi turvallinen tunnistautuminen on vähän kuin sijoittamista. Tärkeintä on ymmärtää, mitä on tekemässä ja mihin on tunnuksiaan syöttämässä. Muita ei kannata koskaan miettimättä peesailla tai uskoa kaikkea, mitä sähköposteissa lukee. Ja mitä tärkeämpään palveluun on kirjautumassa ja mitä tärkeämpiä tunnuksia syöttämässä – sitä rauhallisemmin kannattaa edetä ja varmistaa, että kaikki on todellakin sitä, miltä näyttää. Hosumisella syntyy tässäkin yhteydessä isoimmat vahingot.