LähiTapiolan ihmeelliset salasanakäytännöt

Olen ollut jo pidemmän aikaa LähiTapiolan asiakas. Olen ollut heidän palveluihinsa varsin tyytyväinen, mutta varsinkin tietoturvapuolella LähiTapiolalla on jonkin verran varaa parantaa toimintaansa.

Viimeisen vuoden aikana olen ollut yhteydessä LähiTapiolaan sekä heidän yhteistyökumppaniinsa InterQuest Oy:hyn useammankin kerran tietoturva-asioiden tiimoilta.

Verkkopalvelun salasanan isoja ja pieniä kirjaimia ei eritellä

Ensimmäisen kerran joudun tarttumaan näppäimistöön, kun olin epähuomiossa unohtanut caps lockin päälle kirjautuessani LähiTapiolan verkkopalveluun. Yleensähän tämä aiheuttaa sen, että sisäänkirjautuminen epäonnistuu. Olinkin todella hämmästynyt päästessäni verkkopankkiin sisään ihan normaalisti. Kokeilin vielä uudestaan ja todellakin, sekä käyttäjätunnuksessa että salasanassa isoilla ja pienillä kirjaimilla ei näyttänyt olevan mitään merkitystä.

LähiTapiolan asiakaspalvelu vastaa viesteihin yleensä nopeasti, niinkuin nytkin. Vastaus, jonka sain ei vain ollut kovin miellyttävä:

Huomiosi koskien verkkopankin salasanan muotoa on aivan oikea, eli pieniä ja isoja kirjaimia ei eritellä.

Nykyisen salasanakäytännön tavoitteena on ollut pitää salasanat riittävän yksinkertaisina muistaa sekä kirjoittaa. Hyvin monimutkaiset salasanat aiheuttavat paljon tilanteita joissa salasana unohtuu. Tällöin houkutuksena voi olla kirjoittaa salasana johonkin muistiin, mikä puolestaan vähentää sen turvallisuutta. Monimutkaisten salasanojen syöttämisessä syntyy myös enemmän näppäilyvirheistä johtuvia hylkäyksiä.

Verkkopankissa käytettävien salasanojen vahvuus on riittävä sillä ne muodostavat vain yhden osan yhteensä kolmesta salassa pidettävästä turvaelementistä (käyttäjätunnus, salasana, tunnuslukutaulukko).

Kehitämme jatkuvasti palveluitamme ja seuraamme myös tunnistautumiseen liittyviä tarpeita ja mahdollisuuksia. Pyrimme myös aina mahdollisuuksien mukaan huomioimaan asiakkailtamme saamamme toiveet.

Toki kolme salassa pidettävää turvaelementtiä on hyvä asia ja varmaankin ihan riittävä. Mutta kun ottaa huomioon, että LähiTapiolan verkkopalvelun salasanan laatuvaatimukset eivät ole päätä huimaavat, voi alkaa hieman huolettaa:

Salasana saa olla 6-8 merkkiä pitkä, se ei saa sisältää erikoismerkkejä eikä Å,- Ä- tai Ö-kirjainta. Salasanan täytyy sisältää numeroita ja kirjaimia. Se ei saa olla mikään 32 edellisestä salasanastasi eikä siinä saa olla 2 samaa merkkiä peräkkäin.

Kahdeksanmerkkisen salasanan, joka ei sisällä erikoismerkkejä, saa murrettua keskiverto PC:llä noin 11 minuutissa (lähde: https://howsecureismypassword.net/). Salasanan murtamisen nopeuteen vaikuttavat tietenkin muutkin seikat kuin ainoastaan salasanan pituus ja siinä käytetyt merkit, mutta tuosta saa jonkinlaisen käsityksen asiasta.

Tätä kirjoittaessani, LähiTapiolan verkkopalvelun sisäänkirjautumisessa ei edelleenkään erotella pieniä ja isoja kirjaimia.

Asiakaspaneelin verkkopalvelun salasanoja lähetettiin selväkielisinä sähköpostilla

Koska haluan vaikuttaa asioihin sekä käyttämiini palveluihin, liityin LähiTapiolan asiakaspaneeliin, Suunnannäyttäjiin. Suunnannäyttäjille on oma verkkopalvelu, jonka on toteuttanut InterQuest Oy. Huolimatta siitä, että palvelun toteuttaa joku muu kuin LähiTapiola itse, mielestäni pankin pitäisi huolehtia myös siitä, että sen käyttämien yhteistyökumppaneiden tietoturvakäytännöt ovat kunnossa. Näin ei välttämättä ole tapahtunut.

Suunnannäyttäjille lähetetään kymmenen kertaa vuodessa sähköposti, jossa pyydetään vastaamaan erilaisiin kyselyihin. Olin hieman tyrmistynyt, kun saamassani sähköpostissa oli lopussa ystävällinen muistutus:

Käyttäjätunnuksena toimii sähköpostiosoitteesi tai käyttäjätunnuksesi.

Muistutuksena vielä salasanasi: ******

Tuossa on kaksikin tyrmistyttävää asiaa:

  1. Salasanani on tallennettu InterQuestin palvelimelle selväkielisenä
  2. Salasanani lähetetään huolettomasti suojaamattomassa sähköpostissa

Aika monet ihmiset käyttävät samoja salasanoja useissa eri palveluissa, eli tämä InterQuestin ystävällinen muistutus saattaa aiheuttaa ihan oikean tietoturvariskin. 2012 tehdyn tutkimuksen mukaan 12% ihmisistä käyttää aina samaa salasanaa ja niinkin moni kuin 62% joskus.

Lähetin InterQuestille asiaa koskien rakentavaa palautetta ja sainkin jo seuraavana päivänä asiallisen vastauksen:

Meillä on tosiaan asiakasyhteisöjä/-paneeleja toteuttaessamme usein tapana laittaa salasana muistutukseksi muutamaankin viestiin, kun kyselyjä tulee muuten niin paljon. Mutta huomiosi on oikein hyvä – vaikka Suunnannäyttäjissä ei olekaan äärimmäisen luottamuksellista tietoa, luottamuksellisuusasia korostuu, kun kyse on pankki- ja vakuutusalan toimijasta. Voimme varmasti muuttaa toimintatapaa Suunnannäyttäjissä jatkossa.

Tällä kertaa palautteestani olikin hyötyä. InterQuest lopetti salasanojen lähettämisen käyttäjille sähköposteissa. Sitä en tosin tiedä, että tallentavatko edelleen salasanat selväkielisinä palvelimilleen.

Asiakaspaneelin verkkopalvelun salasanavaatimukset ovat vanhentuneet

Salasanojen vaihtaminen on hyvä käytäntö, jota pyrin itse noudattamaan aina kun muistan. Eilen päätin vaihtaa LähiTapiolan Suunnannäyttäjissä käyttämääni salasanaa, mutta se osoittautuikin hieman hankalaksi ja alkoi lopulta muistuttaa jopa farssia.

Ensimmäisellä yrityksellä tarjosin 32-merkkistä satunnaisesti luotua salasanaa, joka sisälsi välilyöntejä sekä erikoismerkkejä. Yritys epäonnistui salasananvaihtolomakkeen lähettämisen jälkeen palvelimen virheviestiin:

Screenshot from 2015-03-14 22:56:09

Harmillisesti virheviesti ei sisältänyt tietoa siitä, mikä salasanani 32 merkistä oli laiton. Käytettävyyden kannalta olisi myös mukavaa, jos salasananvaihtolomakkeessa vaikkapa kerrottaisiin mitkä merkit ovat sallittuja ja mitkä eivät.

Yritin siis uudelleen, tällä kertaa 64-merkkisellä salasanalla, joka ei sisältänyt kuin isoja ja pieniä kirjaimia sekä numeroita. Salasana olisi varmaankin kelvannut palvelulle, mutta ennenkuin ehdin lähettää lomakkeen palvelu varoitti minua, etten tekisi pahaa virhettä:

Screenshot from 2015-03-14 22:59:43

Eihän 64-merkkinen salasana välttämättä ole kovin turvallinen… Yritin vielä kerran, tuplasin salasanan pituuden 128 merkkiin. Sama tulos: ”Salasana ei ole turvallinen”. Päätin kokeilla, millainen salasana sitten olisi palvelun mielestä huipputurvallinen ja onnistuinkin keksimään sen: ’Abcd4!’

Screenshot from 2015-03-14 23:02:06

\o/ menestys! Tosin päätin sitten kuitenkin käyttää sitä 128-merkkistä salasanaani, johon lisäsin muutaman ”helpon” erikoismerkin, joiden uskoin palvelun hyväksyvän. Ja niinhän se hyväksyikin. Loppu siis hyvin. Lähetin näistä kokemuksistani palautetta InterQuestille, toki rakentavaan sävyyn. Mielenkiinnolla odotan vastausta.

InterQuestin salasananvaihtolomakkeen tehneet eivät ilmeisesti ole lukeneet xkcd:tään

xkcd: Password Strength

Plussana InterQuestille on kyllä mainittava se, että ”Unohdin salasanani” -toiminto ei lähettänyt minulle omaa salasanaani eikä edes generoitua huonoa salasanaa vaan kertakäyttöisen vuorokauden voimassaolevan linkin, jonka kautta pääsi syöttämään uuden salasanan.

Päivitys 2015-03-30:

Sain viikko sitten InterQuestilta vastauksen lähettämääni palautteeseen. Vastauksessa todettiin, että he ovat parhaillaan päivittämässä käyttämänsä alustan kirjautumis- ja salasanaprosesseja ja lupasivat ottaa palautteeni huomioon. Pitänee tarkistaa tilanne uudestaan jonkin ajan kuluttua.

Päivitys 2015-04-23:

Sain toissaviikolla sähköpostia LähiTapiolan CISO:lta. Hän oli vasta silloin saanut tietoonsa InterQuestille lähettämäni palautteet ja halusi kutsua minut vierailulle. Kävinkin viime torstaina tapaamassa häntä ja meillä oli oikein mielenkiintoiset keskustelut. LähiTapiola on parhaillaan parantamassa käytäntöjään liittyen epäkohdista raportoimiseen, eli jatkossa palautteiden pitäisi mennä nopeammin perille oikeille henkilöille huolimatta siitä, lähetetäänkö ne suoraan LähiTapiolalle vaiko heidän yhteistyökumppaneidensa kautta. Vierailu oli oikein mukava ja itselleni jäi todella positiivinen kuva LähiTapiolasta sekä heidän tietoturvaosaamisensa sekä -käytäntöjen tasosta. Jatkan mielelläni edelleen LähiTapiolan asiakkaana.



Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s