Viestintäviraston tietoturva-asiantuntija kertoo, mistä Twitterin tietoturvaongelmissa on kyse – neuvoo vaihtamaan salasanan

Viestintäviraston johtava tietoturva-asiantuntija Kauto Huopio arvioi Twitterin toimineen mallikkaasti ja vastuullisesti tiedottaessaan ongelmista heti.

tietoturva
twitter logo tabletilla
AOP

Viestipalveluyhtiö Twitter tiedotti (siirryt toiseen palveluun) torstaina, että palvelun käyttäjien salasanoja oli päätynyt ohjelmistovian takia salaamattomina yhtiön tietojärjestelmiin.

Yhtiön sisäisen selvityksen perusteella salasanojen varastamista tai väärinkäyttöä ei ole kuitenkaan ilmennyt. Palvelun kaikkia käyttäjiä, joita on yli 330 miljoonaa, kehotettiin silti vaihtamaan salasanansa varmuuden vuoksi.

Viestintäviraston Kyberturvallisuuskeskuksen johtava asiantuntija Kauto Huopio suosittaa suomalaisia toimimaan, kuten yhtiö on suositellut, salasanan vaihtamisesta ei ole mitään haittaa. Viestintävirasto on julkaissut ohjeet asiaan liittyen verkkosivuillaan (siirryt toiseen palveluun).

– Kun jokin verkkopalvelu, tässä tapauksessa Twitter, antaa tietoturvasuosituksia omiin järjestelmiinsä liittyen, emme voi kun olla heidän takanaan. Jos he ovat kerran näin arvioineet, niin salasanan vaihtaminen on suositeltavaa.

Huopio luottaa Twitterin ilmoituksiin. Hänen mukaansa yhtiö on toiminut vastuullisesti ja tietoturvamielessä hyvin tiedottaessaan nopeasti käyttäjille salasanojen salauksen pettämisestä.

– Ainakin tällä tavalla voidaan varmistua siitä, että salasanat eivät joudu vääriin käsiin.

Huopion mukaan verkkopalvelujen salasanojen päätyminen vääriin käsiin, tai edes riski sille, kuten tässä tapauksessa on käynyt, ei ole mitenkään tavatonta. Twitterin kohdalla kyse oli siitä, että joitakin salasanoja oli kertynyt yhtiön järjestelmän lokitiedostoihin ilman salausta.

– Tavallisesti salasanat tallentuvat yhtiöiden järjestelmiin tiivisteinä, eivät normaaleina merkkeinä, jolloin alkuperäistä salasanaa ei voi niistä päätellä. Kun salasanat ovat tiivisteinä, palveluntarjoajan tietojärjestelmään murtautunut rikollinen tai epärehellinen työntekijä ei voi saada käyttäjän salasanaa tietoonsa.

Älä käytä samoja salasanoja useissa palveluissa

Viestintäviraston kyberturvallisuuskeskuksen johtajava johtava asiantuntija Kauto Huopio neuvoo, että jos jossakin muussa verkkopalvelussa kuin Twitterissä on käytetty samaa salasanaa, näidenkin salasanat on syytä vaihtaa.

Viestintäviraston suositus on, että missään verkkopalveluissa ei käytettäisi samaa salasanaa. Huopio myöntää, että tämä on haasteellista, mutta tehtävään on monia hyviä salasanaohjelmistoja.

– Ne luovat salatun tiedoston omalle koneelle, jolloin pääsalasanalla voi hallita muita salasanoja, jotta käyttäjän tarvitsee muistaa vain yhden salasanan. Salasananhallintaohjelmistoja löytyy sekä tietokoneille että älypuhelimille.

Huopion mukaan tärkeintä olisi, että työpaikalla ja kotona käytettäisi eri salasanoja. Tässä mielessä sähköposti on merkittävä väylä, koska sitä kautta pääsee käsiksi muihin salasanoihin "unohditko salasanasi" -toiminnon avulla. Näin ollen sähköpostiin tulee salasanan resetointiin vaadittava linkki, mikäli sitä joltakin palvelulta pyytää.

Huopio sanoo, että oleellista ei ole jatkuva salasanan vaihtaminen. Tärkeämpää on salasanan pituus – että se on mahdollisimman pitkä.

– Hyvä salasana on yli 15 merkkiä. Se voi olla vaikkapa kokonainen lause välimerkkeineen, jotta se on helppo muistaa.

Salasanan pituus on ratkaisevaa, koska salasanoja ei tallenneta eri tietokannoissa selkokielisinä, vaan tiivisteinä. Mitä pidempi salasana on, sitä vaikeampi siitä johdettua salasanatiivistettä on murtaa.

Huopion mukaan salasanat kannattaa kirjoittaa esimerkiksi joko vihkoon, joka säilytetään asianmukaisesti turvatussa paikassa tai salasananhallintaohjelmistoon. Tietokoneelle erilliseen tiedostoon ei kannata tallentaa salasanoja, ellei tiedosto ole salattu. Siksi salasananhallintaohjelmisto on helpoin ratkaisu.

Tärkeintä on pitää työpaikalla ja kotikoneella eri salasanat, sekä sähköposteissa työpaikan ja kotikoneen salasanat erillään.

Huopio varoittelee myös sähköpostiin lähetetyistä kalasteluviesteistä, joissa kerrotaan tietoturvaongelmista. Hänen mukaansa oikeat tahot eivät lähetä sähköpostitse linkkejä päivityssivulle tietoturvapäivityksiensä takia.

– Salasanat kannattaa päivittää kirjautumalla verkkopalveluun itse kirjoittamalla palvelun osoite selaimeen käsin. Myös verkkopalvelun mobiilisovelluksen kautta tehtävä salasanavaihto on hyvä menetelmä.

twitter logo tabletilla
AOP