Salasana ei enää riitä: Helposti unohtuvat merkkijonot ovat turhan heppoinen tietoturvaratkaisu
Salasana on ihmiskunnan vanhimpia keksintöjä. Jo antiikin Rooman armeijassa vartija kysyi tunnussanaa. Ensimmäiset osituskäyttöiset tietokoneet 1960-luvun alussa kirjoittivat ruudulle tekstin LOGIN, johon käyttäjän piti vastata salasanalla.
Webin alkuaikoina salasanan käyttö erilaisiin digitaalisiin palveluihin kirjauduttaessa ei ollut mikään ongelma. Käyttäjät kirjautuivat verkossa lähinnä sähköpostiin ja ehkä muutamaan verkkokauppaan. Hakkereilla ei ollut erityistä motiivia salasanan murtamiseen.
Nykyään netin pilvipalveluissa on monen ihmisen koko elämä perhevalokuvista pankkiasioihin. Rikollisen työtä helpottaa, että monissa verkkopalveluissa sähköpostiosoite toimii myös käyttäjätunnuksena.
Liian helposti murrettavien tai arvattavien salasanojen ongelmaa on yritetty ratkaista niin sanotulla vahvalla salasanalla, joka on pitkä ja mahdollisimman epälooginen merkki- ja numerojono. Monet verkkopalvelut eivät enää hyväksy yleisimpiä salasanoja kuin 123456.
Nyt vahvakin salasana on kuitenkin tullut tiensä päähän, väittää kalifornialaisen teknologialehti Wired-lehden toimittaja Mat Honan.
Salasanan perimmäinen ongelma on, että mitä työläämpi se on murtaa, sitä vaikeampi se on myös muistaa. Kun salasana unohtuu helposti, korvaavan salasanan saa palveluntarjoajan puhelinpalvelusta. Hakkerit ovat taitavia esiintymään toisen nimissä puhelimessa.
Monissa palveluissa uuden salasanan saa automaattisesti, jos käyttäjä osaa vastata oikein turvallisuuskysymykseen, johon käyttäjä on määritellyt rekisteröintivaiheessa oikean vastauksen. Kysymys voi olla esimerkiksi ensimmäisen auton merkistä tai tyttöystävän nimestä. Nykyään monet ihmiset kuitenkin jakavat tällaiset yksityisasiansa esimerkiksi Facebookissa.
Uuden salasanan voi usein myös tilata toissijaiseen sähköpostiin. Jos hakkeri on murtanut tämän sähköpostiosoitteen, hänellä on yleisavain kaikkiin uhrinsa käyttämiin verkkopalveluihin.
Honan suositteleekin Wiredissa käyttäjiä luomaan sähköpostitilin pelkästään tätä tarkoitusta varten. Tämän sähköpostiosoitteen käyttäjätunnuksessa ei saisi tietenkään olla viitettäkään henkilön oikeasta nimestä.
Salasana voi edelleen olla osa tietoturvan isompaa kokonaisuutta. Tietojen suojaaminen ei kuitenkaan voi perustua tulevaisuudessa mihinkään yksittäiseen tekijään, ei salasanaan eikä edes biometriaan, Honan kirjoittaa Wiredissa.
Paras suoja saadaan ennemminkin yhdistelemällä erilaisia tekniikoita kuin virittämällä jokin yksittäinen menetelmä turhan vaikeaksi käyttää. Laite voi esimerkiksi vaatia tunnistuksen sormenjäljellä, jotta sitä ylipäätään voi käyttää. Pankkiin kirjautuminen voi edelleen perustua salasanoihin.
Mutta jos kirjautumista yritetään poikkeuksellisesta paikasta tai poikkeukselliseen aikaan, pankki voi vaatia lisätunnistusta, Honan ehdottaa. Pankin tunnistusjärjestelmä voisi vaatia käyttäjää esimerkiksi puhumaan laitteen mikrofoniin automaattista äänentunnistusta varten, tai ottamaan kännykän kameralla kasvokuvan, joka käyttäjän rekisteröidyn ystävän tulee varmistaa.
Honanin mukaan palveluntarjoajat voivat tulevaisuudessa ajatella yhä enemmän luottokorttiyhtiöiden riskianalytiikan tapaan: ne oppivat käyttäjien rutiineja, tunnistavat poikkeavuuksia ja keskeyttävät toiminnan, jos on syytä epäillä petosta.