Twitterin salasanat vaihtoon - Hoida nyt kaikki tunnuksesi kerralla kuntoon

Twitter tiedotti 3.5.2018, että palvelun käyttäjien salasanoja on vahingossa päätynyt salaamattomina yhtiön tietokonelokeihin. Yhtiön sisäisen selvityksen perusteella salasanoja ei ole päätynyt yhtiön ulkopuolisten ihmisten käsiin, mutta tietoturva-alalla pidetään yleisesti huonona käytäntönä tallentaa selväkielisiä salasanoja minnekään. Yhtiö suosittaa nyt tietoturva-alan hyvän käytännön mukaisesti palvelun käyttäjiä vaihtamaan salasanansa välittömästi.

Palveluiden pitäisi tallentaa salasanat salattuina

Salasanan kuuluu olla henkilökohtainen; kenenkään muun kuin sinun ei pitäisi tietää salasanaasi. Salasanat voidaan matemaattisesti muuntaa kryptografisten tiivistefunktioiden (englanniksi cryptographic hash function) avulla yksilöllisiksi merkkijonoiksi, joista ei voida päätellä alkuperäistä salasanaa. Kun tunnistautumista vaativan verkkopalvelun tarjoaja tallentaa vain käyttäjän salasanan tiivisteen, palveluntarjoajan tietojärjestelmään murtautunut rikollinen tai palveluntarjoajan epärehellinen työntekijä ei voi saada käyttäjän salasanaa tietoonsa.

Myös Twitter on käyttänyt tätä tietoturvan hyvää käytäntöä. Käyttäjän kirjautuessa palveluun se laskee välittömästi käyttäjän syöttämän salasanan tiivisteen ja vertaa sitä palveluun tallennettuun tiivisteeseen. Käyttäjän salasana pitää siis lähettää palveluntarjoajan tietojärjestelmään selväkielisenä (suositellusti tietysti niin, että tiedonsiirto on salattu käyttäjän ja palveluntarjoajan välillä) ja tietojärjestelmän pitää välittömästi laskea salasanan tiiviste ja unohtaa selväkielinen salasana.

Kaksivaiheinen tunnistautuminen parantaa tietoturvaa

Monissa palveluissa on mahdollista ottaa käyttöön kaksivaiheinen tunnistautuminen. Kaksivaiheinen tai vahva tunnistautuminen perustuu kahteen tai useampaan todentamistapaan. Perinteisen käyttäjätunnus-salasana-parin lisäksi toisena elementtinä on esimerkiksi

  • toimikortti
  • token-pohjaiset ratkaisut (esim. RSA SecurID ja Google Authenticator)
  • asiakasvarmenne (esim. client certificate)
  • mobiilivarmenne
  • muu, esimerkiksi tekstiviestitse saapuva kertakäyttösalasana.

Käytä joka palvelussa eri salasanaa

Jos käytät tällä hetkellä jossakin muussa tietojärjestelmässä tai verkkopalvelussa samaa salasanaa kuinTwitterissä, vaihda ne salasanat heti. Samojen salasanojen kierrätys voi tuntua itsestä helpolta idealta, mutta se valitettavasti lisää tietomurron riskiä: jos yksi salasana paljastuu, se paljastaa samalla kaikki.

Käytä jokaisessa tietojärjestelmässä ja verkkopalvelussa sellaista salasanaa, jota et ole ennen käyttänyt missään muussa järjestelmässä tai palvelussa. Käytä pitkiä salasanoja tai salalauseita. Salasanan ei pitäisi koostua pelkästään sanoista, joita löytyy sanakirjoista. Älä paljasta salasanaasi kenellekään muulle. Älä jätä sitä paperilapulla tai tietoteknisellä välineellä muiden esteettä nähtäväksi.

Lisätietoja:

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Loki , NCSC-FI , Salasana , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248