YLE: 140 miljoonaa salasanaa vuosi : https://yle.fi/uutiset/3-10600877
Tarkista oma sähköpostisi.. https://www.is.fi/digitoday/tietoturva/art-2000005968315.html
josta tarkitussivu:
https://haveibeenpwned.com/
Valitettavasti minullakin:
"Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)"
Mutta mitä se tarkalleen ottaen tarkoittaa?
-Email on julkinen?
-Salasana kryptona julkinen vai
itse salasanakin julkinen?
-Vai että sisällystä luettu ilman salasanojakin?
Vaihdoin sen sa:ni.
Palvelun mukaan osa salasanoista on heillä kryptattuna, osa suoraan sellaisenaan. Tämä on täysin alustariippuvainen, eli miten se saitti jossa vuoto on tapahtunut tallentaa salasanat.
Esimerkiksi SMF tallentaa kryptattuna, mutta salasana menee sellaisenaan kirjautumisen yhteydessä. Kantapaikka käyttää SSL-suojausta pakotettuna, joten salasanan vuotaminen esim. julkisen wifi-verkon kautta ei ole ongelma mikäli käyttäjä pitää huolen siitä, että se lukonkuva osoitekentän vasemmalla puolella on vihreä ja foorumin käyttäminen tapahtuu muutenkin ilman mitään ylimääräisiä selaimen herjoja.
Palvelun kautta voi imuroida (11G suuruisen) paketin jossa on kaikki vuodetut salasanat sellaisessa muodossa, että siitä ei voi johtaa itse salasanaa (SHA-1 hash). Ilmeisesti sitten on niin, että mikään noista palveluista ei ota vastaan salasanaa SHA-1-muodossa. Siellä on myös lomake, jossa voi kokeilla omaa salasanaansa. En itse luottaisi siihen.
Otin itse käyttöön salasanamanagerin (tässä
hyvä juttu aiheesta) joitakin vuosia sitten. Idea siinä on, että managerin avulla luodaan jokaiselle palvelulle oma, täysin satunnainen salasana, jota käyttäjän ei tarvitse edes tietää. Oikeastaan kyse ei siis ole edes "sanasta", vaan pitkästä ketjusta satunnaisia merkkejä. Käyttäjän tarvitsee vain siis tietää salasanamanagerin salasana, joka voi olla sellainen minkä muistaa ja jaksaa kirjoittaa. Sitten salasanamanagerista vain kopioidaan aina jokaisen palvelun salasana tarvittaessa. Niissä on yleensä helppo toiminto tätä varten.
Muistan kun kävin läpi kaikki käyttämäni palvelut ja vaihdoin salasanan. Taisi olla juuri tuo Dropboxin vuoto 2016 jonka jälkeen päätin, että ei enää tätä minulle. Ei se ollut loppujen lopuksi kovinkaan iso urakka. No ei minulla toisaalta ole kuin ehkä kymmenkunta aktiivisessa käytössä olevaa palvelua. Uusien palveluiden lisääminen salasanamanageriin on helppoa kun ei tarvitse miettiä että mitäköhän sitä laittaisi tällä kertaa, uskaltaako käyttää samaa salasanaa kuin muihinkin palveluihin jne. Suosittelen.
Jos ei halua tai osaa ottaa käyttöön salasanamanageria, jopa kotikutoinen manageri on parempi kuin jonkun yksittäisen, helposti muistettavan salasanan käyttäminen kaikkiin palveluihin. Kotikutoinen manageri voisi olla vaikkapa ihan tekstitiedosto notepadissa, johon jokaiselle palvelulle rämpytetään siansaksaa vaikkapa n. 30 merkkiä. Sitten vain aina copy-pastella tiedostosta salasana ja annetaan selaimen muistaa sen. Oikeastaan siis salasanamageri tekee juuri tuon, mutta paljon hienostuneemmin.
