Listasitko salasanat ”turvalliseen” pilvipalveluun? Karu esimerkki paljastaa, ettei niin kannata tehdä

Tietokirjailija Petteri Järvinen twiittasi äskettäin yksittäisen käyttäjän pilvipalvelutilin tietomurrosta, joka on aiheuttanut ongelmia käyttäjille.

– Tuttavani otti yhteyttä ja kertoi, että oli huomannut murron lomansa aikana. Hän oli säilyttänyt salasanojaan pilvipalveluun tallennetussa tekstitiedostossa, kuten varmasti aika moni muukin tekee. Kuvitellaan, että ne ovat turvassa pilvipalvelussa. Näin ei kuitenkaan ole, Järvinen kertoo.

Puolituttu lähetti avunpyynnön. Pilvipalvelun tilille oli murtauduttu ja siellä oli tiedosto, jossa oli muiden palveluiden salasanat. Kaikki viety. TÄRKEÄÄ: jos tallennat salasanoja pilveen, suojaa tiedosto ERI salasanalla kuin itse pilvipalvelu. #tietoturvavinkki #salasanat

— Petteri Järvinen 💻 (@petterij) August 14, 2022

Järvisen mukaan kyseisessä tapauksessa käyttäjän pilvipalvelutilille oli päästy jonkin toisen palvelun kautta. Hän muistuttaa, ettei kaksivaiheinen tunnistus suojaa tiliä, jos käyttäjää onnistutaan erehdyttämään kirjautumiseen. Olemme aikaisemmin uutisoineet Järvisen varoituksista liittyen kaksivaiheisen tunnistautumisen riskeihin. Järvinen varoittaa kuvittelemasta, ettei salasanalla ole väliä, jos kaksivaiheinen tunnistus on käytössä.

– Jos käyttäjä tallentaa salasanoja, ne olisi hyvä tallentaa johonkin siihen tarkoitettuun managerointisovellukseen. Kaikista tärkeintä on kuitenkin huolehtia siitä, että joka palvelussa käytetään eri salasanaa. Salasanoja ei saa käyttää koskaan uudestaan, ei edes vähemmän tärkeissä palveluissa kuten verkkolehdissä, Järvinen opastaa.

Tietomurrosta seuraa paljon vaivaa

Jos salasana vuotaa yhdestäkin palvelusta ja sitä on käytetty jossain toisessa palvelussa, käyttäjä voi olla ongelmissa. Pilvipalveluidenkaan tietomurrot eivät ole harvinaisia.

– Se vaiva, joka tällaisesta aiheutuu uhrille, on suuri. Käyttäjä joutuu vaihtamaan kaikkien palveluiden salasanat ja pahimmillaan sulkemaan pankki- ja luottokortit, sekä käymään pankissa saadakseen uudet pankkitunnukset. Moni ei osaa aavistaa sitä työmäärää.

Järvisen mukaan salasanojen kirjaamisessa on oltava tarkkana. Jos ne on kirjoitettu pilvipalvelussa olevaan dokumenttiin, kyseinen tiedosto pitäisi suojata omalla salasanallaan, jota ei ole käytetty missään muualla. Tietokirjailija muistuttaa, että yleensä hakkerit eivät ole kovinkaan järjestäytyneitä.

– Ne rosvot, jotka esimerkiksi pk-yrittäjiä uhkaavat, eivät ole ruudinkeksijöitä vaan yleensä nörttipoikia, jotka kokeilevat helpoimpia tapauksia. Jos käyttäjät noudattaisivat perustason ohjeita ja varovaisuutta, valtaosalta tietomurtoja voitaisiin välttyä.

Yksi hyvä tapa on käyttää verkkoselaimen ehdottamia monimutkaisia salasanoja, jotka selain tallentaa sormenjälkitunnistimen tai salasanan taakse. Tämän salasanan kanssa pätee sama sääntö kuin muuallakin, eli samaa salasanaa ei pidä käyttää missään muualla.