Voit aloittaa vaarantamatta arvokkaita salasanoja
Jos edellä mainitut riskit saavat sinut epäröimään salasanahallinnan käyttämistä kaikkiin tileihisi, harkitse aloittamista niistä salasanoista, joiden menettämisestä tai vaarantumisesta olisit vähiten huolissasi.
Et luultavasti ole huolissasi salasanasta, jota käytit luodaksesi seitsenpäiväisen kokeilutilauksen johonkin ohjelmistoohjelmaan, uutisartikkeleihin tai tutkimukseen. Jos teet ostoksia monilla eri verkkosivustoilla, sinulla saattaa olla kymmeniä tilejä, jotka kaikki suojaavat kopioita samoista tiedoista: luottokorttinumerosi, puhelinnumerosi ja osoitteesi. Mikään näistä tiedoista ei ole kovinkaan salaista, vastuusi on vähäinen, jos luottokorttisi numero varastetaan, ja useimpien ostosivustojen salasana on helppo nollata saamalla salasanan nollaussähköposti.
Aloittamalla pienemmän arvon omaavista salasanoista voit tutustua salasanahallinnan toimintatapoihin samalla, kun virheiden seuraukset ovat pienet. Kokemuksen karttuessa ymmärrät myös paremmin riskit ja hyödyt. Saatat huomata, että kun sinun ei enää tarvitse luoda, muistaa ja kirjoittaa näitä arvoltaan vähäisempiä salasanoja, voit käyttää osan säästyneestä vaivannäöstä arvokkaampien tilien salasanojen suojaamiseen.
Voit myös käyttää salasanahallintaasi tuottamaan satunnaisia salasanoja, joita ei kannata tallentaa. Haluat luultavasti kirjoittaa ne ylös. Sinun pitäisi pystyä oppimaan satunnaisia salasanoja muutamalle tilille ajan mittaan pelkästään niitä käyttämällä.
Useimmat käyttäjät voivat päästä alkuun ostamatta tai lataamatta uutta ohjelmistoa. Jos käytät pääasiassa Safaria tai Chromea, molemmissa selaimissa on salasanahallintaohjelmia, jotka luovat satunnaisia salasanoja puolestasi. En käsittele Bravea, Edgeä tai Firefoxia, koska tätä kirjoitettaessa ne eivät luo salasanoja.
Vaikka sinun kannattaa harkita erillisiä salasanahallintaohjelmia, varsinkin jos tallennat arvokkaampien tiliesi salasanoja, voit helposti tuoda niihin salasanat, jotka olet tallentanut kokeillessasi Chromen tai Safarin sisäänrakennettuja salasanahallintaohjelmia.
Yksi syy siirtyä Chromen ohi on se, että Chromen avulla ei tunnisteta, mitä salasanoja olet käyttänyt uudelleen eri sivustojen välillä . Uudelleenkäytettyjen salasanojen tarkastaminen on olennaisen tärkeää, jotta salasanahallinnan tarjoamat turvallisuushyödyt saadaan hyödynnettyä. Useimmat erilliset salasanahallintaohjelmat tarjoavat tarkastusominaisuuden, ja Safarin sisäänrakennettu salasanahallinta (Applen Keychain) on hiljattain myös lisännyt sellaisen.
Vaikka yrittäisitkin olla tallentamatta tärkeitä salasanoja salasanahallintaohjelmaan, kannattaa silti säännöllisin väliajoin tarkistaa, mitkä salasanat olet tallentanut ja mitkä ovat uudelleenkäytössä – jotkin tilit, jotka näyttivät niitä luodessasi arvottomilta, saattavat ajan mittaan osoittautua arvokkaammiksi. Jotkin salasanahallintaohjelmat ilmoittavat myös, jos jotkut salasanasi ovat ilmeisen heikkoja (esim. jos ne esiintyvät yleisten salasanojen luetteloissa). Jos haluat korvata vanhat salasanasi, työmäärä voi olla pelottava. Sinun ei tarvitse odottaa, että sinulla on tarpeeksi aikaa vaihtaa ne kaikki kerralla; aseta asiat tärkeysjärjestykseen ja aloita.
Salasanahallintaohjelmat, jotka testaavat, oletko käyttänyt salasanaa uudelleen, tekevät sen vain, jos annat niiden tallentaa kyseisen salasanan. Jos tallennat vain arvoltaan vähäisten tilien salasanoja, salasanahallinta pystyy kertomaan vain, mitkä arvoltaan vähäisistä salasanoista on käytetty uudelleen. En tiedä yhtään salasanahallintaohjelmaa, joka varoittaa, jos kirjoitat toiselle sivustolle tallentamasi salasanan nykyiselle verkkosivulle. Ei ole mitään teknistä syytä, miksi useimmat salasanahallintaohjelmat eivät voisi varoittaa sinua tällaisesta salasanan uudelleenkäytöstä, joten toivon, että jotkut niistä tekevät sen pian.
Opi vahva pääsalasana
Useimmat salasanahallintaohjelmat suojaavat salasanasi vielä toisella salasanalla, jota kutsutaan usein pääsalasanaksi. Itsenäiset salasanahallintaohjelmat pyytävät sinua luomaan pääsalasanan, kun aloitat niiden käytön. Jos käytät Googlen Chrome-selainta salasanojesi tallentamiseen ja niiden jakamiseen eri laitteilla, Google tallentaa salasanasi ja suojaa ne Google-tilisi salasanalla (sekä mahdollisesti käyttämilläsi toisilla tekijöillä). Applen iCloud-avaimenperä luottaa ensisijaisesti laitteesi salasanoihin ja lukituksen avausominaisuuksiin suojatakseen tietonsa säännöllisesti, mutta sillä on varasalasana, jota kutsutaan iCloud-turvakoodiksi .
Älä käytä pääsalasanaa, jota olet käyttänyt muuhun. Tämä on syytä toistaa, koska olet luultavasti oppinut varoitukset salasanan uudelleenkäytöstä saatuasi tällaisia neuvoja tileille, joista et välitä. Toisin kuin näiden arvottomien salasanojen, kaikkia muita salasanojasi suojaavan pääsalasanan pitäisi todella olla ainutlaatuinen.
Jos käytät Google-tilisi kautta synkronoitua Chromen salasanahallintaohjelmaa etkä ole 100-prosenttisen varma siitä, että Google-tililläsi on vahva ja yksilöllinen salasana, luo uusi salasana (sen jälkeen kun olet varmistanut, että sinulla on elvytyssuunnitelma siltä varalta, että unohdat tuon uuden salasanan, kuten jäljempänä käsitellään). Nyt on myös hyvä hetki arvioida uudelleen, pitäisikö tililläsi olla kaksitekijätodennus. Vastaavasti, jos käytät Applen iCloud-avaimenperää, älä käytä salasanaa uudelleen iCloud-turvakoodina.
Yleissalasanasi pitäisi olla satunnaisesti luotu ja riittävän pitkä suojaamaan salasanasi, vaikka hyökkääjät saisivat haltuunsa verkkosivuston salatun salasanalistan ja yrittäisivät murtaa salauksen. Jos haluat varmistaa, että salasanasi on todella satunnainen, anna salasanahallintasi luoda se (tai käytä noppaa ja sanalistaa). Monet ihmiset uskovat virheellisesti voivansa luoda satunnaisuutta kutsumalla kirjaimia mieleensä tai hakkaamalla näppäimistöä, mutta monet mielen prosesseista, joita pidämme satunnaisina, eivät todellisuudessa ole aidosti satunnaisia. Hyvä salasanahallinta käyttää kryptografista satunnaislukugeneraattoria varmistaakseen, että salasanasi on riittävän satunnainen (ja nopat ovat hyväksi havaittu fyysisen satunnaisuuden lähde, jonka oikeudenmukaisuuden voi tarkistaa yksinkertaisesti heittämällä niitä).
Sisäsalasanasi tulisi olla vähintään 12 pientä merkkiä tai viisi sanaa. Miksi käyttää pieniä kirjaimia tai sanoja, kun sinua on luultavasti aiemmin kehotettu (ja pakotettu) käyttämään isoja kirjaimia ja symboleja? Jos sinun on syötettävä salasana laitteella, jossa on näyttönäppäimistö (kuten puhelimessasi), jokainen iso kirjain tai symboli saattaa vaatia ylimääräisiä näppäinpainalluksia. Voit saada saman turvallisuuden ja säästää itseltäsi paljon turhautumista tekemällä kokonaan pienillä kirjaimilla kirjoitetusta salasanastasi vain 30 prosenttia pidemmän kuin jos se olisi kirjoitettu sekaisin . Toisin sanoen satunnaisesti luotu 13-merkkinen pienaakkosellinen salasana, joka voidaan syöttää 13 näppäimen painalluksella, on yhtä turvallinen kuin 10-merkkinen sekasalasana, joka saattaa vaatia paljon enemmän.
Älä odota oppivasi uutta pääsalasanaasi heti – hyvin harva pystyy oppimaan pitkän satunnaisesti luodun merkkijonon yhdellä istumalla. Pikemminkin paras tapa oppia pääsalasana on kirjoittaa se ylös ja käyttää sitä usein. Määritä salasanahallintajärjestelmäsi niin, että sinun on syötettävä se uudelleen vähintään kerran päivässä, kunnes osaat sen, ja hävitä paperikopiosi vasta, kun olet syöttänyt sen luotettavasti muistista useiden päivien ajan. Ihmisten kykyä oppia satunnaisia salasanoja ei ole tutkittu hyvin, mutta minun ja kollegoideni tekemät tutkimukset viittaavat siihen, että salasanan muistaminen kestää 10-30 käyttökertaa. (Kyseisessä tutkimuksessa tutkitaan tekniikoita, joita salasanahallintaohjelmat voisivat käyttää vahvojen pääsalasanojen oppimiseen, mutta mikään niistä ei tällä hetkellä tarjoa apua.)
Loppujen lopuksi älä oleta, ettet hukkaa pääsalasanan paperikopiota, ennen kuin olet painanut sen mieleesi, tai ettet unohda sitä myöhemmin.
Tekijä palautus salasanahallintaohjelman valinnassa
Koska yksi suurimmista eroista salasanahallintaohjelmien välillä on prosessi, jolla voit palauttaa tietosi, jos kadotat pääsalasanasi, sinun ei kannata valita salasanahallintaohjelmaa tutkimatta sen hätäpalautusprosessia. Kun olet tehnyt valintasi, ensimmäinen asia, joka sinun pitäisi tehdä pääsalasanan valinnan ohella, on tämän palautusprosessin määrittäminen. Saatat tarvita sitä hyvinkin pian, sillä pääsalasana unohtuu todennäköisimmin pian sen luomisen jälkeen ja ennen kuin olet oppinut sen toistuvalla käytöllä.
Vaikka salasanojesi menettämisen seuraukset saattavat tuntua vähäisiltä, kun määrittelet asioita, eikä sinulla ole vielä yhtään tallennettua salasanaa, jonka voisit menettää, saatat tulla nopeasti riippuvaiseksi salasanojen hallinnastasi. Saatat virheellisesti olettaa, että kun olet oppinut salasanasi, et koskaan unohda sitä. Vaikka on tavallista, että salasanat unohtuvat pian niiden luomisen jälkeen, on myös tavallista, että ne unohtuvat sen jälkeen, kun niitä ei ole käytetty. Saatat esimerkiksi unohtaa sen seuraavan suunnitellun loman jälkeen tai, kuten eräs ystäväni oppi muutama vuosi sitten, suunnittelemattoman sairaalajakson jälkeen.
Miksi jokainen tuote käsittelee palautusta eri tavalla? Osittain siksi, että se on todella vaikea ongelma jopa sellaisille yrityksille, jotka ovat maailman suurimpia, parhaiten rahoitettuja ja parhaiten tunnettuja hyvästä käytettävyydestä. Ajatellaanpa Applen iCloudia, joka tallentaa Safarin käyttämän iCloud-avaimenperän. Yksi tapa palauttaa iCloud-tili on asiakastuen kautta, mutta hakkerit ovat huijanneet asiakastukihenkilöitä vaarantamaan käyttäjätilejä, muun muassa erään korkean profiilin toimittajan tilit vuonna 2012. Niinpä Apple tarjosi käyttäjille myös mahdollisuuden tallentaa satunnaisesti luodun salasanan, jota käytetään palautukseen (Apple kutsui tätä palautusavaimeksi), ja konfiguroida tilinsä niin, että asiakastuki ei voi muuttaa salasanaa. Vain harvat käyttäjät ottivat palautusavaimet käyttöön, ja jotkut, jotka ottivat, olivat järkyttyneitä huomatessaan, että asiakastuki ei itse asiassa enää voinut auttaa heitä, kun he tarvitsivat apua. Apple lopetti palautusavaimien tarjoamisen vuonna 2015 . Tällä hetkellä Apple sallii salasanojen palauttamisen sen jälkeen, kun asiakkaat on varmennettu puhelinnumeron avulla, vaikka tämä prosessi on varsin haavoittuva hyökkäyksille.
Jos tämä ei olisi jo tarpeeksi huono asia, vaatimukset, jotka määrittävät, voiko asiakastuki palauttaa käyttäjän salasanan tai muut tunnistetiedot, eivät ole julkisesti saatavilla. Niistä yrityksistä, jotka sallivat asiakastuen nollata käyttäjien tilitiedot, en tiedä yhtäkään, joka jakaisi säännöt, joita se käyttää tehdessään päätöksiä siitä, mitä vaaditaan, jotta pääsee takaisin sisään. Ilman näitä sääntöjä käyttäjät eivät voi tietää, millä edellytyksillä he voivat palauttaa tilinsä ja millä edellytyksillä hyökkääjä voi ottaa heidän tilinsä haltuunsa. On syytä toistaa tämä: nämä yritykset odottavat, että luotat tilisi niihin, mutta eivät kerro sääntöjä, jotka määräävät, pystytkö jatkossakin käyttämään tiliäsi vai voiko hyökkääjä varastaa sen sinulta.
Sen sijaan, että luottaisivat läpinäkymättömiin asiakastukisääntöihin, monet salasanojen hallinnoijat käyttävät ratkaisuja, jotka ovat vähemmän alttiita hyökkäyksille, mutta alttiimpia tahattomalle katoamiselle.
Avoimen lähdekoodin salasanahallintaohjelmat KeePass ja PasswordSafe (alkuperäinen salasanahallintaohjelma) jättävät sinun vastuullesi tavan säilyttää ja varmuuskopioida salasanojasi sisältävä tiedosto sekä näissä tiedostoissa olevien tietojen suojaamiseen (salaamiseen) käytetty avain. Jos siis haluat jakaa salasanojasi koneiden välillä, sinun on luotava verkkotiedostojen tallennustili (esim. DropBox). Varmuuskopiosi voisi olla kirjallinen kopio pääsalasanasta ja tiedostonjakotilin salasanasta. Jos käytät kaksitekijätodennusta kyseisellä tilillä, tarvitset varmuuskopion myös sitä varten.
LastPass, Keeper ja Dashlane antavat sinun antaa hätäkontaktien käyttää tiliäsi ennakkoon… kunhan heillä on myös tili samassa salasanahallinnassa. Tämä vaatimus on olemassa, koska nämä tuotteet käyttävät kryptografiaa varmistaakseen, että ystäväsi, mutta eivät yritykset, pääsevät käsiksi näihin tietoihin. Tämä auttaa suojaamaan sinua, jos heidän palveluunsa murtaudutaan tai jos hyökkääjä onnistuu esiintymään sinuna heidän asiakaspalveluhenkilökunnalleen. Huonona puolena on se, että hyökkääjä, joka vaarantaa yhteyshenkilösi tilin, voi sen jälkeen vaarantaa myös sinun tilisi. Voit vähentää tämän mahdollisuutta asettamalla aikaviiveen, ennen kuin tietosi voidaan luovuttaa hätäyhteyshenkilöllesi. Jos tunnet henkilöitä, jotka käyttävät jotakin näistä tuotteista ja joihin voisit luottaa hätäyhteyshenkilönäsi, kyseinen tuote voi olla sinulle parempi kuin ne, joita yhteyshenkilösi eivät käytä.
1Passwordissa pääsalaisuutesi koostuu itse asiassa kahdesta osasta: salaisesta avaimesta, jonka ohjelmisto tallentaa jokaiseen laitteeseen, johon olet laittanut salasanasi, ja pääsalasanastasi. Jos haluat käyttää uutta laitetta 1Passwordilla, sinun on siirrettävä salainen avaimesi siihen. Voit varmuuskopioida salaisen avaimesi luomalla ”hätäpakkauksen”, PDF-tiedoston, jonka voit tulostaa ja joka sisältää salaisen avaimesi ja tilaa pääsalasanan kirjoittamiselle. (Toivottavasti käsialasi on parempi kuin minun.) LastPassin ja Dashlanen tavoin 1Password on suunnitellut verkkopalvelunsa niin, että se ei säilytä näitä salaisuuksia, joten asiakastuki ei voi auttaa hyökkääjää – tai sinua – pääsemään käsiksi tietoihin ilman niitä. Toisin kuin LastPass ja Dashlane, heidän palautusprosessinsa ei vaadi vuorovaikutusta palvelun tai kenenkään muunkaan kanssa. Tämä tekee 1Passwordista kiistatta yksityisimmän vaihtoehdon, mutta jokaisella asiakkaalla on hintansa tästä yksityisyyden tasosta: 1Password ei voi tietää, kuinka suuri osa asiakkaista on tulostanut palautuspaketteja, kuinka moni on käyttänyt niitä onnistuneesti tai kuinka moni on menettänyt salasanansa lopullisesti. Ainoat tiedot, joita he saavat auttaakseen heitä parantamaan palautusprosessin luotettavuutta, tulevat siitä, mitä käyttäjät ilmoittavat vapaaehtoisesti ottaessaan yhteyttä asiakaspalveluun.
Jos käytät Chromea Google-tilin ja kaksitekijätodennuksen kanssa, voit saada kymmenen kertakäyttöistä palautussalasanaa (kahdeksannumeroisia numeroita, joita he kutsuvat varmuuskopiointikoodeiksi), jotka voivat korvata yhden kahdesta tekijästäsi. Google suosittelee, että ”tulostat tai lataat” nämä. Google myös tallentaa nämä koodit, joten toisin kuin hyvin hallinnoidut satunnaisesti luodut salasanat, koodisi voivat vaarantua, jos Googleen tulee tietoturvaloukkaus.
Jos käytät tulostettua palautussalaisuutta Chromen tai 1Password-ohjelman kanssa tai jos luot oman palautussalaisuuden KeePass- tai PasswordSafe-ohjelmia varten, sinun on päätettävä, minne tallennat palautussalaisuutesi tulostamisen jälkeen. Tallelokero tai kodin kassakaappi voi olla sopiva, varsinkin jos sinulla on jo tallelokero tai jos tarvitset sellaisen joka tapauksessa. Ei ole mitään teknistä syytä, miksi et voisi jakaa palautussalaisuuksien tulosteita ystävien kanssa. Jos tekisit niin, et ehkä haluaisi, että lomakkeessa lukisi, kenelle se on tarkoitettu, koska sen pois jättäminen voi antaa pienen suojan, jos se varastetaan. Toinen vaihtoehto on antaa kahdelle luotettavalle kontaktihenkilölle puolet koodista tai kolmelle luotettavalle kontaktihenkilölle kaksi kolmasosaa kustakin koodista (jolloin mitkä tahansa kaksi kontaktihenkilöä voisivat auttaa sinua).
Jos et pidä mistään edellä mainituista vaihtoehdoista, voisit tulostaa kaikki salasanasi säännöllisesti tai kirjoittaa ne ylös. Jos tulostat, luotat siihen, että tulostimesi on turvallinen ja että sinulla on turvallinen verkkoyhteys kyseiseen tulostimeen.
Ensisijainen sähköpostisalasanasi vaatii myös erityistä huomiota, kun suunnittelet palautusstrategiaasi, koska monet muut salasanat voidaan palauttaa sähköpostitse. Tämä on ehkä tärkein salasana, joka kannattaa vaihtaa satunnaisesti luotuun salasanaan, mutta tarvitset sitä myös eniten, jos menetät pääsyn salasanahallintaasi. Jos vaihdat tätä salasanaa, kannattaa harkita sen kirjoittamista muistiin tai varmuuskopioimista.