LähiTapiolan ihmeelliset salasanakäytännöt

Olen ollut jo pidemmän aikaa LähiTapiolan asiakas. Olen ollut heidän palveluihinsa varsin tyytyväinen, mutta varsinkin tietoturvapuolella LähiTapiolalla on jonkin verran varaa parantaa toimintaansa.

Viimeisen vuoden aikana olen ollut yhteydessä LähiTapiolaan sekä heidän yhteistyökumppaniinsa InterQuest Oy:hyn useammankin kerran tietoturva-asioiden tiimoilta.

Verkkopalvelun salasanan isoja ja pieniä kirjaimia ei eritellä

Ensimmäisen kerran joudun tarttumaan näppäimistöön, kun olin epähuomiossa unohtanut caps lockin päälle kirjautuessani LähiTapiolan verkkopalveluun. Yleensähän tämä aiheuttaa sen, että sisäänkirjautuminen epäonnistuu. Olinkin todella hämmästynyt päästessäni verkkopankkiin sisään ihan normaalisti. Kokeilin vielä uudestaan ja todellakin, sekä käyttäjätunnuksessa että salasanassa isoilla ja pienillä kirjaimilla ei näyttänyt olevan mitään merkitystä.

LähiTapiolan asiakaspalvelu vastaa viesteihin yleensä nopeasti, niinkuin nytkin. Vastaus, jonka sain ei vain ollut kovin miellyttävä:

Huomiosi koskien verkkopankin salasanan muotoa on aivan oikea, eli pieniä ja isoja kirjaimia ei eritellä.

Nykyisen salasanakäytännön tavoitteena on ollut pitää salasanat riittävän yksinkertaisina muistaa sekä kirjoittaa. Hyvin monimutkaiset salasanat aiheuttavat paljon tilanteita joissa salasana unohtuu. Tällöin houkutuksena voi olla kirjoittaa salasana johonkin muistiin, mikä puolestaan vähentää sen turvallisuutta. Monimutkaisten salasanojen syöttämisessä syntyy myös enemmän näppäilyvirheistä johtuvia hylkäyksiä.

Verkkopankissa käytettävien salasanojen vahvuus on riittävä sillä ne muodostavat vain yhden osan yhteensä kolmesta salassa pidettävästä turvaelementistä (käyttäjätunnus, salasana, tunnuslukutaulukko).

Kehitämme jatkuvasti palveluitamme ja seuraamme myös tunnistautumiseen liittyviä tarpeita ja mahdollisuuksia. Pyrimme myös aina mahdollisuuksien mukaan huomioimaan asiakkailtamme saamamme toiveet.

Toki kolme salassa pidettävää turvaelementtiä on hyvä asia ja varmaankin ihan riittävä. Mutta kun ottaa huomioon, että LähiTapiolan verkkopalvelun salasanan laatuvaatimukset eivät ole päätä huimaavat, voi alkaa hieman huolettaa:

Salasana saa olla 6-8 merkkiä pitkä, se ei saa sisältää erikoismerkkejä eikä Å,- Ä- tai Ö-kirjainta. Salasanan täytyy sisältää numeroita ja kirjaimia. Se ei saa olla mikään 32 edellisestä salasanastasi eikä siinä saa olla 2 samaa merkkiä peräkkäin.

Kahdeksanmerkkisen salasanan, joka ei sisällä erikoismerkkejä, saa murrettua keskiverto PC:llä noin 11 minuutissa (lähde: https://howsecureismypassword.net/). Salasanan murtamisen nopeuteen vaikuttavat tietenkin muutkin seikat kuin ainoastaan salasanan pituus ja siinä käytetyt merkit, mutta tuosta saa jonkinlaisen käsityksen asiasta.

Tätä kirjoittaessani, LähiTapiolan verkkopalvelun sisäänkirjautumisessa ei edelleenkään erotella pieniä ja isoja kirjaimia.

Asiakaspaneelin verkkopalvelun salasanoja lähetettiin selväkielisinä sähköpostilla

Koska haluan vaikuttaa asioihin sekä käyttämiini palveluihin, liityin LähiTapiolan asiakaspaneeliin, Suunnannäyttäjiin. Suunnannäyttäjille on oma verkkopalvelu, jonka on toteuttanut InterQuest Oy. Huolimatta siitä, että palvelun toteuttaa joku muu kuin LähiTapiola itse, mielestäni pankin pitäisi huolehtia myös siitä, että sen käyttämien yhteistyökumppaneiden tietoturvakäytännöt ovat kunnossa. Näin ei välttämättä ole tapahtunut.

Suunnannäyttäjille lähetetään kymmenen kertaa vuodessa sähköposti, jossa pyydetään vastaamaan erilaisiin kyselyihin. Olin hieman tyrmistynyt, kun saamassani sähköpostissa oli lopussa ystävällinen muistutus:

Käyttäjätunnuksena toimii sähköpostiosoitteesi tai käyttäjätunnuksesi.

Muistutuksena vielä salasanasi: ******

Tuossa on kaksikin tyrmistyttävää asiaa:

  1. Salasanani on tallennettu InterQuestin palvelimelle selväkielisenä
  2. Salasanani lähetetään huolettomasti suojaamattomassa sähköpostissa

Aika monet ihmiset käyttävät samoja salasanoja useissa eri palveluissa, eli tämä InterQuestin ystävällinen muistutus saattaa aiheuttaa ihan oikean tietoturvariskin. 2012 tehdyn tutkimuksen mukaan 12% ihmisistä käyttää aina samaa salasanaa ja niinkin moni kuin 62% joskus.

Lähetin InterQuestille asiaa koskien rakentavaa palautetta ja sainkin jo seuraavana päivänä asiallisen vastauksen:

Meillä on tosiaan asiakasyhteisöjä/-paneeleja toteuttaessamme usein tapana laittaa salasana muistutukseksi muutamaankin viestiin, kun kyselyjä tulee muuten niin paljon. Mutta huomiosi on oikein hyvä – vaikka Suunnannäyttäjissä ei olekaan äärimmäisen luottamuksellista tietoa, luottamuksellisuusasia korostuu, kun kyse on pankki- ja vakuutusalan toimijasta. Voimme varmasti muuttaa toimintatapaa Suunnannäyttäjissä jatkossa.

Tällä kertaa palautteestani olikin hyötyä. InterQuest lopetti salasanojen lähettämisen käyttäjille sähköposteissa. Sitä en tosin tiedä, että tallentavatko edelleen salasanat selväkielisinä palvelimilleen.

Asiakaspaneelin verkkopalvelun salasanavaatimukset ovat vanhentuneet

Salasanojen vaihtaminen on hyvä käytäntö, jota pyrin itse noudattamaan aina kun muistan. Eilen päätin vaihtaa LähiTapiolan Suunnannäyttäjissä käyttämääni salasanaa, mutta se osoittautuikin hieman hankalaksi ja alkoi lopulta muistuttaa jopa farssia.

Ensimmäisellä yrityksellä tarjosin 32-merkkistä satunnaisesti luotua salasanaa, joka sisälsi välilyöntejä sekä erikoismerkkejä. Yritys epäonnistui salasananvaihtolomakkeen lähettämisen jälkeen palvelimen virheviestiin:

Screenshot from 2015-03-14 22:56:09

Harmillisesti virheviesti ei sisältänyt tietoa siitä, mikä salasanani 32 merkistä oli laiton. Käytettävyyden kannalta olisi myös mukavaa, jos salasananvaihtolomakkeessa vaikkapa kerrottaisiin mitkä merkit ovat sallittuja ja mitkä eivät.

Yritin siis uudelleen, tällä kertaa 64-merkkisellä salasanalla, joka ei sisältänyt kuin isoja ja pieniä kirjaimia sekä numeroita. Salasana olisi varmaankin kelvannut palvelulle, mutta ennenkuin ehdin lähettää lomakkeen palvelu varoitti minua, etten tekisi pahaa virhettä:

Screenshot from 2015-03-14 22:59:43

Eihän 64-merkkinen salasana välttämättä ole kovin turvallinen… Yritin vielä kerran, tuplasin salasanan pituuden 128 merkkiin. Sama tulos: ”Salasana ei ole turvallinen”. Päätin kokeilla, millainen salasana sitten olisi palvelun mielestä huipputurvallinen ja onnistuinkin keksimään sen: ’Abcd4!’

Screenshot from 2015-03-14 23:02:06

\o/ menestys! Tosin päätin sitten kuitenkin käyttää sitä 128-merkkistä salasanaani, johon lisäsin muutaman ”helpon” erikoismerkin, joiden uskoin palvelun hyväksyvän. Ja niinhän se hyväksyikin. Loppu siis hyvin. Lähetin näistä kokemuksistani palautetta InterQuestille, toki rakentavaan sävyyn. Mielenkiinnolla odotan vastausta.

InterQuestin salasananvaihtolomakkeen tehneet eivät ilmeisesti ole lukeneet xkcd:tään

xkcd: Password Strength

Plussana InterQuestille on kyllä mainittava se, että ”Unohdin salasanani” -toiminto ei lähettänyt minulle omaa salasanaani eikä edes generoitua huonoa salasanaa vaan kertakäyttöisen vuorokauden voimassaolevan linkin, jonka kautta pääsi syöttämään uuden salasanan.

Päivitys 2015-03-30:

Sain viikko sitten InterQuestilta vastauksen lähettämääni palautteeseen. Vastauksessa todettiin, että he ovat parhaillaan päivittämässä käyttämänsä alustan kirjautumis- ja salasanaprosesseja ja lupasivat ottaa palautteeni huomioon. Pitänee tarkistaa tilanne uudestaan jonkin ajan kuluttua.

Päivitys 2015-04-23:

Sain toissaviikolla sähköpostia LähiTapiolan CISO:lta. Hän oli vasta silloin saanut tietoonsa InterQuestille lähettämäni palautteet ja halusi kutsua minut vierailulle. Kävinkin viime torstaina tapaamassa häntä ja meillä oli oikein mielenkiintoiset keskustelut. LähiTapiola on parhaillaan parantamassa käytäntöjään liittyen epäkohdista raportoimiseen, eli jatkossa palautteiden pitäisi mennä nopeammin perille oikeille henkilöille huolimatta siitä, lähetetäänkö ne suoraan LähiTapiolalle vaiko heidän yhteistyökumppaneidensa kautta. Vierailu oli oikein mukava ja itselleni jäi todella positiivinen kuva LähiTapiolasta sekä heidän tietoturvaosaamisensa sekä -käytäntöjen tasosta. Jatkan mielelläni edelleen LähiTapiolan asiakkaana.


Salasanat vaihtoon – heti!

Mikäli et ole vielä kuullut Heartbleed haavoittuvuudesta, käväisepä lukaisemassa aiheesta suomeksi esim. Wikipediasta. Englanninkielellä aiheesta löytyy paljon tietoa, esim. http://heartbleed.com/ on hyvä lähde.

Jos et jaksa lukea, niin käytännössä Heartbleed tarkoittaa sitä, että sinun pitää nyt heti vaihtaa salasanasi kaikista palveluista. Ja parempi samalla laittaa hyvät salasanat, ja eri salasana joka paikkaan. Kirjoitin aikaisemmin salasanan valinnasta, mutta nykyisin löytyy jo useampikin vaihtoehtoinen tuote salasanojen hallintaan. Käytän itse kotimaista F-Secure Key:tä, mutta muitakin on, esim. yhdysvaltalainen LastPass.


Egot syrjään

“It is amazing what you can accomplish if you do not care who gets the credit.”
― Harry S. Truman

Näin tämän lainauksen ensimmäistä kertaa viime vuonna ja olen miettinyt sitä monta kertaa sen jälkeen. Tuo on niin totta! Olen itse joutunut moneen kertaan muistuttamaan itseäni siitä, ettei sillä ole väliä, kuka saa tehdystä työstä kunnian vaan sillä, että hommat tulevat tehtyä.

Muutenkin egon jättäminen kotiin tai viimeistään työpaikan naulakkoon töihin tullessa tekisi todella hyvää ilmapiirille ja muutenkin helpottaisi asioiden sujumista kummasti. Todella useasti näkee esimerkiksi palavereissa kun ihmisten egot kiistelevät keskenään. Joskus huone tuntuu liian täydeltä, kun siellä on useampi isokokoinen ego tilaa täyttämässä.

On toki vaikeaa yrittää olla ’egoton’ siten, ettei tule samalla poljetuksi, omista oikeuksista tulee tietenkin pitää kiinni! Egon unohtaminen ei tarkoita sitä, että antaa kaiken periksi. Se tarkoittaa enemmän sitä, että miettii vähän tarkemmin omia motiivejaan kaikkiin asioihin. Ajattelenko nyt omaa parastani vai yrityksen parasta?

Ole sinä se, jonka kanssa kaikki muut haluaisivat työskennellä.

Tästä matkaan hiukan vinkkejä, lähinnä ohjelmoijille ja muille nörteille:


Mikä on Java ja miksi se pitäisi poistaa?

Viestintävirasto suosittelee Javan poistamista käytöstä internetselaimessa.Syynä on se, että Javasta on (taas) löytynyt haavoittuvuus, jonka avulla haittaohjelmat pääsevät ujuttautumaan ihmisten tietokoneille.

Kannattaako Java siis poistaa? Mitä jos sitä tarvitseekin jonkin? Totuus on, että jos et tiedä tarvitsevasi Javaa johonkin, et sitä todennäköisesti tarvitse. Poista se! Jos jotain lakkaa toimimasta, sen voi aina asentaa takaisin (mieluusti sitten, kun viimeisimpiin haavoittuvuuksiin löytyy korjaukset). Viestintävirasto julkaisi viime elokuussa hyvät ohjeet Javan poistamisesta, silloin kun Javasta löytyi viimeksi paha haavoittuvuus…

Jos olet Java-ohjelmoija, niin osannet poistaa Javan käytöstä selaimista siten, että pystyt vielä koodaamaan. Jos et pysty, voi olla, että olet väärällä alalla…

Päivitys: Viestintävirasto tiedottaa 18.1.2013, että Java on edelleen haavoittuva vasta julkaistusta korjauspäivityksestä huolimatta. Javan versiosta 7 update 10 lähtien ohjelmiston selainkomponentin voi poistaa käytöstä hallintaliittymän kautta.


Mikä hiivatti on ’phablet’?

Kuulin jostain, että phabletit olisivat tämän vuoden hittituote. Pitihän se tietenkin selvittää, että mikä ihme se on. Nopea googlaus paljasti, että kyseessä on puhelimen ja tablet-tietokoneen välimuoto. ’phone’ + ’tablet’ = ’phablet’. Jepjep… Eli suomeksi tuo tulee varmaan olemaan sitten puhletti?

Puhlettien valmistajat hehkuttavat tuotteitaan sillä, että käyttäjä saa sekä puhelimen, että tabletin parhaat hyödyt, mutta että laite on silti vielä siedettävän kokoinen. Ennustan, että reisitaskuhousujen myynti kääntyy jyrkkään nousuun, mikäli puhletit yleistyvät. Nytkin on jo vaikeaa saada isoimpia älypuhelimia mahtumaan mihinkään taskuun.

Voi olla muuten hassun näköistä, kun ihmiset puhuvat puhletteihinsa… Tulee väkisin mieleen Nokian N-Gage ja Sidetalking meme

Mutta mikä ihme on ’hiivatti’?


Hyvä salasana – ja miten muistat sen

Tästä aiheesta on kirjoitettu maailman sivu, mutta on valitettavasti edelleen ajankohtainen. Viime vuonna nähtiin useita salasanavuotoja ja epäilen, että tänä vuonna nähdään taas lisää.

Koska tietomurron kohteeksi joutuneet yritykset eivät läheskään aina paljasta julkisesti joutuneensa murron uhriksi (tai eivät välttämättä edes tiedä sitä), on ensiarvoisen tärkeää käyttää kaikissa palveluissa eri salasanoja. En keksi yhtään hyvää syytä, miksi näin ei kannattaisi tehdä.

Helpoin tapa selvitä netin salasanahelvetistä on käyttää jotain apuohjelmaa, esimerkiksi Password Safe ohjelma säilöö salasanasi turvallisesti ja toimii useissa eri käyttöjärjestelmissä. Tällaista ohjelmaa käytettäessä tarvitsee vain muistaa yksi salasana, jonka syöttämällä aukeaa pääsy muihin talletettuihin salasanoihin. Sillä voi myös muodostaa tehokkaan satunnaisen salasanan uusiin palveluihin.

Tällaisilla salasanoja säilövillä ohjelmilla on kaksi käyttötarkoitusta. Pääasiallinen tarkoitus on tietenkin se, että niihin voi tallentaa käyttäjätunnuksia ja salasanoja.  Toinen käyttötarkoitus on se, kun johonkin palveluun murtaudutaan ja salasanasi varastetaan. Voit ensinnäkin tarkistaa, oliko sinulla käyttäjätunnusta ko. palveluun ja jos oli, käytitkö samaa salasanaa mahdollisesti jossain muuallakin (hyi hyi, jos käytit!).

Aina salasanoja säilövän ohjelman käyttö ei kuitenkaan ole mahdollista (ja jouduthan keksimään kuitenkin sen yhden salasanan, jolla ohjelma aukeaa…), joten on hyvä opetella tehokas keino muodostaa vahvoja ja helposti muistettavia salasanoja. Hyvä salasanahan on helppo muistaa, mutta vaikeaa arvata.

Merkkejä hyvässä salasanassa pitäisi olla vähintään parikymmentä, mitä enemmän, sen parempi. Mukaan kannattaa laitaa myös joku tai joitain erikoismerkkejä, esim. ¤#§ jne. Kannattaa kuitenkin muistaa, että näppäimistön kieliasetukset vaikuttavat siihen, mistä näppäimestä mikäkin erikoismerkki tulee.

Yksittäinen sana on harvoin hyvä salasana, kannattaa käyttää helposti muistettavia lauseita. Niinkin yksinkertainen lause kuin ”Mun naamakirjan salasana” on jo 24 merkkiä pitkä, mutta silti helppo muistaa. Sitä voi vielä höystää erikoismerkeillä ja isoilla kirjaimilla esim. ”Mun n¤¤m¤kirj¤n SALASANA!” – edelleen aika helppo muistaa, mutta vaikeaa arvata. Itse käytän monesti laulujen sanoja, lukemieni kirjojen nimiä yms.

Mikäli käyttämäni palvelu ei hyväksy tarpeeksi pitkiä salasanoja jätän yleensä rekisteröitymättä tai rekisteröidyn käyttäen kertakäyttöistä sähköpostiosoitetta enkä muutenkaan anna omia arvokkaita tietojani tuollaisille palveluille. Tapanani on ollut myös antaa rakentavaa palautetta ko. palveluiden ylläpitäjille.

Yleensä tapanani on myös testata, miten palvelu käsittelee käyttäjien salasanoja. Salasanoja voi käsitellä monella tavalla väärin, mutta pahinta on tallentaa salasanat selväkielisinä. Helppo tapa selvittää, toimiiko palvelu, johon juuri rekisteröidyit näin on käyttää ”unohdin salasanani” -toimintoa. Mikäli palvelu lähettää syöttämäsi salasanan sinulle sähköpostitse, on aika poistaa kaikki tietosi palvelusta ja lähettää ylläpitäjille sitä palautetta, ei tarvitse olla edes rakentavaa laatua, jos näin tökerösti kerta toimitaan.


Credit-/debitkortin debitpuolella maksaminen netissä

Onko sinulla credit-/debitkortti? Ostatko koskaan netistä mitään kortillasi? Kiva, ehkä tiesit jo tämän, mutta 90% ihmisistä, joille olen tämän kertonut, eivät tienneet.

Kortin ”oikealla” puolella oleva kohopainettu numero on creditkorttisi numero, kun maksat netissä käyttäen tätä numeroa, veloitetaan luottokorttiasi (credit). Creditkortin tarkistusnumero (CVC) on kortin kääntöpuolella olevan allekirjoituspaneelin kolme viimeistä numeroa. Tässä ei ollut mitään uutta.

Mutta – kortin kääntöpuolelta löytyy myös toinen numero: Debitkortin numero (veloitus pankkitililtä) on mustepainettuna kortin kääntöpuolen alalaidassa. CVC-koodi on debit-numeron jälkeiset kolme numeroa.

Itselläni meni puolisen vuotta, ennenkuin sain tämän selville. Olin maksamassa lomamatkaa internetin kautta, mutta luottokorttini luottoraja ei sallinut tarvittavan summan maksamista (meillä on iso perhe ja lomamatkat maksavat maltaita). Soitin Luottokuntaan saadakseni nostettua luottorajaa, jolloin asiakaspalvelija ehdotti maksamista debitkortilla. Se toimi ja matka saatiin maksettua. Tuonkin tiedon olisi voinut liittää kortin mukaan silloin kun se toimitettiin minulle.

Meinasin laittaa tähän kuvat oman credit-/debitkorttini molemmista puolista, mutta en nyt taida niitä laittaa, se olisi aika hölmöä. Jotkut tosin näinkin tekevät.