Suosittelen säännöllisesti, että ihmiset käyttävät jonkinlaista salasanojen hallintajärjestelmää, jonka avulla he voivat asettaa vaikeasti murrettavat salasanat (olivatpa ne sitten lyhyitä ja monimutkaisia tai pitkiä ja helposti muistettavia) yksilöllisesti jokaista sivustoa ja palvelua varten, ja jonka avulla he voivat myös täyttää nämä salasanat kaikkialla, missä niitä tarvitaan.
Lowell Nelson lähetti minulle sähköpostia muutama viikko sitten ja ihmetteli, miksi olen niin innostunut kolmannen osapuolen vaihtoehdoista, kuten 1Passwordista, Dashlanesta ja LastPassista, kun Applella on oma vankka, monialustaratkaisu, joka sisältää synkronoinnin: Keychain. (Keychain kuvaa tarkemmin OS X:n osaa, kun taas iCloud Keychain mahdollistaa synkronoinnin eri laitteiden välillä ja käytön iOS:n kanssa.)
Kysymys on loistava, enkä mielelläni kehota ihmisiä ostamaan maksullista palvelua (olipa kyse sitten kertamaksusta tai tilauksesta), ellei sen hyödyllisyys ole niin suuri, että se on kustannuksia suurempi.
Katsotaanpa yksityiskohtia. Koska olen testannut ja tutkinut 1Passwordia ja LastPassia laajasti, käytän niitä vertailun pohjana. Jokaisen riittävän vankan vaihtoehdon usein kysytyistä kysymyksistä tai ominaisuuksien kuvauksista pitäisi löytyä vastaukset kuhunkin alla olevaan kohtaan.
Vaikka Applen Keychain, 1Password ja LastPass pystyvät kaikki tallentamaan muunlaisia tietoja turvallisesti, salasanat ovat luotettavin elementti, jota voidaan käyttää koko ekosysteemissä ja alustojen välillä.
Miten turvallisia tietosi ovat?
Salasanojen ”kassakaapin” on pidettävä salasanat, noh, turvassa, kolmella tärkeällä osa-alueella:
-
Data levossa laitteessa. Salasanojen tulisi olla turvassa laitteessa siltä, ettei kukaan muu kuin omistaja pääse käsiksi niihin.
-
Palvelimille tallennetut tiedot. Hyökkääjän olisi oltava vaikea tai mahdoton päästä käsiksi pilvipalvelimiin tallennettuihin salasanoihin ja purkaa ne.
-
Tieto matkalla synkronoinnin aikana tai verkkopohjaisen käytön aikana. Vahvan salauksen pitäisi estää nuuskijaa purkamasta uusia merkintöjä, hakuja ja päivityksiä sekä vuorovaikutteisia istuntoja.
Keychain ja iCloud Keychain ovat näiltä osin aika pirun vahvoja. OS X:n ja iOS:n lukitus on avattava Keychain-merkintöjen täyttämiseksi, ja OS X:n Keychain Access -sovellus vaatii järjestelmänvalvojan tai käyttäjän salasanan lukituksen avaamiseen ja salasanojen tarkasteluun. Touch ID:n tai salasanan avulla iOS:ssä ja FileVault 2:n avulla OS X:ssä salasanat ovat erittäin turvallisia myös silloin, kun olet sammutettu (OS X) tai lukittu (iOS). iCloud Keychain käyttää laitepohjaista salausta, joka estää Applea purkamasta (tai pakottamasta) salasanojasi.
1Password ja LastPass käyttävät ”kallista” salasanojen salausmenetelmää paikallisesti tallennetuille tietokannoillesi, joten vaikka joku saisi ne haltuunsa, krakkeri voi vain murtaa salasanayrityksiä hyvin, hyvin hitaasti. LastPass testasi tätä tahattomasti hakkeroinnin jälkeen: mitään raportteja ei tullut siitä, että yhtään salasanaholvia olisi avattu.
LastPass synkronoi kaiken palvelimiensa kautta, mutta salaa vain käyttäjien tiedossa olevilla avaimilla. 1Password synkronoi Dropboxin ja muiden pilvipalveluiden kautta (luottaen niiden tietoturva- ja salaus-at-rest-menetelmiin) sekä lisäliittymiensä kautta perheen tai tiimin jäsenten kanssa jakamista varten, mutta se lukitsee kaiken käyttäjän omistamilla avaimilla.
LastPass ja 1Password-ohjelman tiimi- tai perhevaihtoehto mahdollistavat myös pääsyn Web-selaimen kautta ja käyttävät selainpohjaista salauksenpurkua natiiviasiakasohjelmiston sijasta; yrityksillä ei ole hallussaan avaimia. Selaimeen luottamisessa on kuitenkin heikkoutensa. Haittaohjelmat ja muut selainpohjaiset hyväksikäyttökohteet tekevät selaimista paljon haavoittuvampia suhteessa natiivien sovellusten ja pilvisynkronoinnin tarjoamaan turvallisuustasoon. iOS:n ja OS X:n Safarissa havaitaan säännöllisesti puutteita (vaikkakin vain hyvin harvoja nähdään luonnossa), ja saatat joutua kiusaukseen päästä käsiksi salasanoihisi tuntemattomalta koneelta, jossa on toinen käyttöjärjestelmä.
Miten helppoa järjestelmää on käyttää?
Salasanajärjestelmän on oltava helposti kutsuttavissa. Jos se ei ole, et käytä sitä johdonmukaisesti, koska se on ihmisluonto. Mikä pahempaa, jos asennat sen jollekin toiselle parantaaksesi hänen turvallisuuttaan, hän ei ehkä käytä sitä lainkaan, jos se ei ole jatkuva muistutus ja erinomaisen suoraviivainen.
iOS-sovellukset tukevat todennäköisemmin LastPassin ja 1Passwordin laajennuksia kuin iCloud Keychain.
Keychainia käyttää Apple pitkälti tapana muistaa verkkosivujen tiettyjen kenttien salasanoja ja tallentaa salasanoja automaattista hakua ja ohitusta varten omissa ohjelmistoissaan (kuten AirPort Admin OS:ssä) tai kolmannen osapuolen ohjelmistoissa, jotka käyttävät Applen Keychain-koukkuja. Mobiili- ja työpöytä-Safarissa Keychain toimii erittäin hyvin: se ehdottaa vahvaa salasanaa, tallentaa sen ja mahdollistaa sen palauttamisen tai muiden tallennettujen vaihtoehtojen käytön.
Mutta vaikka se on laajalti käyttökelpoinen OS X:ssä, koska yhä useammat kehittäjät ovat ottaneet sen käyttöön ja siellä on Keychain Access suoraa etsimistä ja hakemista varten, iOS:ssä joudut poraamaan alaspäin kohtaan Asetukset > Safari > Salasanat katsellaksesi, muokataksesi tai (pyyhkäisemällä ihan pohjaan asti) lisätäksesi salasanoja. Lisäksi Keychainia ei voi kutsua Applen muissa kuin Web-kirjautumisvalintaikkunoissa, mikä tekee siitä käyttökelvottoman tavallisiin tarkoituksiin. Ja vaikka salasanan voi keksiä tarvittaessa, siihen on hankala päästä käsiksi, ja sen voi hakea helposti vain vastaavalta Web-sivulta.
Applen lisäämät laajennukset iOS 8:sta alkaen mahdollistavat 1Password-, LastPass- ja muiden työkalujen kutsumisen Safarissa ja muissa sovelluksissa. Monet käyttämäni iOS-sovellukset on sidottu suoraan 1Password API:han, joka mahdollistaa suoran kutsumisen. Pahimmassa tapauksessa voin siirtyä LastPass- tai 1Password-sovellukseen etsimään salasanaa, kopioida sen ja siirtyä sitten takaisin sovellukseen ja liittää sen.
Sovelluksella voi myös luoda vahvoja salasanoja, jotka säilytetään luotaessa, synkronoidaan automaattisesti ja kopioidaan leikepöydälle käytettäväksi muissa sovelluksissa.
1Password voi jopa laittaa salasanasi Apple Watchiin, jos olet Pro-käyttäjä, ja LastPassilla on myös Apple Watch -sovellus.
Yleisalustarajat ylittävä tilanne on paljon huonompi. Apple ei tarjoa iCloud Keychainia omien käyttöjärjestelmiensä ulkopuolella. 1Password ja LastPass (ja muut sovellukset) ovat saatavilla useilla eri pääalustoilla, ja lisäksi niihin on selainpohjainen pääsy (oletuksena LastPassilla ja tilausvaihtoehtona 1Passwordilla).
iCloud Keychainissa ei ole mitään mekanismia, jonka avulla voi jakaa tietoja muiden ihmisten kanssa – tämä on osa sitä jatkuvaa tarinaa, josta olen keskustellut jo vuosia ja joka koskee sitä, että Applella on tapana, että se ei suunnittele järjestelmiään alusta alkaen niin, että ne tunnistaisivat, että ihmiset työskentelevät ryhminä ja perheinä. (Ei aloiteta Family Sharingin ongelmista.)
Useimmissa salasanajärjestelmissä on jonkinlainen mekanismi salaisuuksien jakamiseen muiden kanssa, joilla on tilit. 1Password mahdollistaa suoran lähetyksen ilman tilausta tai viime aikoina valikoivasti jaetun pääsyn yritys- ja perheryhmien jäsenten kesken. LastPass, koska kohteet tallennetaan keskitetysti, on tarjonnut tätä jo vuosia.
Valinta niiden välillä
Jos käytät salasanoja lähes kokonaan vain verkkosivustoilla, käytät vain iOS:ää ja OS X:ää, eikä sinua haittaa Applen palveluidensa vaatimien salasanojen muistaminen ja kirjoittaminen, Keychain with iCloud Keychain sopii hyvin. Jos kaikki nämä ehdot eivät täyty, salasanojen hallintajärjestelmä on investoinnin arvoinen.
Päivitys: Jutun aiemmassa versiossa kerrottiin, että iOS ei tarjoa pääsyä tallennettuihin salasanoihin tai tapaa luoda uusia salasanoja. Onhan se; se on vain piilotettu Asetuksiin.