perjantai 8. helmikuuta 2013

LastPass - vahvat salasanat käyttöön kaikkialla

Uutisen mukaan F‑Secure varoitteli ettei salasanat enää ole turvallisia. F‑Secure on oikeassa kun puhutaan sellaisista huonoista ja selväkielisistä salasanoista joita valitettavan paljon käytetään, mutta väärässä jos käytetään riittävän vahvoja salasanoja. Riittävän vahvoiksi voi lienee tänä päivänä laskea minimiltään 16-merkkiä pitkät salasanat, mielellään pidempi jos mahdollista, jotka koostuvat seuraavasti:

  • pieniä ja suuria kirjaimia (aA)
  • numeroita (0-9)
  • erikoismerkkejä (!"#¤ jne.)
  • eikä sisällä selväkielisiä sanoja millään kielellä/murteella

Esimerkki vahvasta salasanasta: j6207D0_*950bxgK%kBX@Jjpy5Zemi. Salasana on 30 merkkiä pitkä, ja kun muistetaan että jokainen lisämerkki kasvattaa salasanan vahvuutta eksponentiaalisesti, niin pituutensa puolesta salasana lienee turvallinen. Siinä ei myöskään ole yhtään selväkielisiä sanoja ja se sisältää pieniä ja suuria kirjaimia sekä numeroita ja erikoismerkkejä.


Eihän noita voi muistaa!

Tästä tietenkin päästää varsinaiseen ongelmaan. Jos vaikka esimerkin mukaisen salasanan muistaisikin, entäpä kun hyvän tavan mukaan ei pitäisi käyttää samaa salasanaa muualla, vaan jokaiselle sivustolle pitäisi olla omansa? Mahdoton tehtävä ihmiselle jos sinulla on useita kymmeniä sivustoja joihin pitäisi olla omat yksilölliset ja riittävän vahvat salasanat. Toisaalta salasanojen tallentaminen esim. selaimeen on turvatonta, usein salasanat saa niistä ongelmitta varastettua, ja toisaalta jos haluat siirtää tunnukset toiseen selaimeen, on edessä turhaa lisätyötä. Tarvitaan siis salasanojen hallintaohjelma.

Salasanojen hallintaohjelmia on tarjolla paljon. Usein näkee kehuttavan paljon KeePassia, mutta se soveltuu huonosti esim. nettiselailun lomassa tarvittavaan sivustoille kirjautumiseen, koska se toimii vain manuaalisesti eikä toimi esim. mobiililaitteiden selainten kanssa automaattisesti. Sitä paitsi se ei kulje mukanasi, ellet kuljeta sitä mukanasi.


Ratkaisu on LastPass

LastPass on ihanteellinen ratkaisu: se tallentaa tietosi nettiin, joten tietosi on käytettävissä siellä missä niitä ikinä tarvitsekin, sekä työpöytä-selaimilla että mobiilisti. Verkkoon tallentaminen saattaa kuulostaa pelottavalta, mutta tietosi ovat jo omalla paikallisella koneellasi vahvasti salatussa muodossa (256-bittinen AES), ja tässä muodossa ne tallennetaan myös verkkoon. Pääsalasanaasi eikä mitään muutakaan salaamatonta tietoa ei välitetä missään vaiheessa verkkoon, vaan kaikki tapahtuu paikallisella koneellasi. Edes LastPassin ylläpito ei pääse tietoihisi käsiksi. Tämä on hyvä muistaa sitä ajatellen, että pidät hyvää huolta etkä hävitä LastPassin pääsalasanaa, tai et pääse itse omiin tietoihisi käsiksi.

LastPassin varsinainen käyttö on todella helppoa. Kun olet kirjautunut LastPassiin esim. selainlaajennuksella, ja kirjaudut jollekin sivustolle jota ei LastPassissa ole, LastPass ehdottaa että tiedot tallennetaan LastPassiin. Jos hyväksyt tämän, niin juuri antamasi tiedot tallennetaan LastPass-holviisi. Kun taas seuraavan kerran menet sivustolle jolle LastPass löytää tunnuksesi, LastPass ehdottaa tietojen täyttämistä kirjautumiskenttiin, tai jos olet niin valinnut joko täyttää tai jopa kirjautuu automaattisesti sivustolle.

Jos olet luomassa tunnuksia jollekin sivustolle, voit antaa LastPassin luoda sivustolle salasanan ja luoda samantien vahvan salasanan. Sinun ei tarvitse itse edes tietää tuota uutta salasanaa, ellet halua, sillä LastPass muistaa ne puolestasi.


LastPass-holvi vain sinun silmillesi

Jos pelkäät että joku voisi saada LastPass-salasanasi käyttöönsä, esim. vaikkapa vakoilemalla koulun tai työpaikan koneella, voit ottaa käyttöösi jonkun lukuisista moniosatodennuksista. Moniosatodennus tarkoittaa sitä, että salasanan lisäksi LastPass kysyy jotain toista tietoa, jonka vain sinä voit tietää. Esim. itse käytän Google Authenticatoria. Voit myös esim. rajata mistä maista voidaan kirjautua LastPass-holviisi. Jos asetat vain Suomen, tilillesi ei voi kirjautua esim. Venäjältä.

Saatat miettiä ettei jaksaisi aina moniosatodennusta esim. kotona, eikä niin tarvitsekaan tehdä. Voit esim. kotikoneessasi määritellä helposti niin, että siellä ei kysytä lisävarmistuksia (tai yhtään mitään!). Nämä oikeudet ovat kone- ja selainkohtaisia, eli voit sallia kotikoneessasi vaikka Chromelle oikeudet kirjautua automaattisesti LastPassiin, mutta saman koneen vaikkapa Firefoxilla ei olisi oikeuksia. Eikä oikeus siis ole koneesi ulkopuolella, vieraassa koneessa Chromellakaan ei siis ole oikeuksia. Nämä oikeudet on myös helposti poistettavissa milloin vain, vaikkapa vieraalta koneelta jossa olet onnistuneesti kirjautunut LastPassiin, joten jos esim. mobiililaitteen selaimessa on LastPassilla luvat kirjautua ja laitteesi varastetaan, voit poistaa oikeudet heti kun vain pääset jostain kirjautumaan LastPassiin.



Linkkejä

Ei kommentteja: