Tuplatunnistuksen tarpeen oppii kantapään kautta

Quora-visailupalvelu tahtomattaan havainnollistaa, kuinka toimia silloin, kun tietokannasta livahtaa kyberrikollisille muutama sata miljoonaa käyttäjäprofiilia mahdollisine profiilin sisältämine yksityistietoineen.

Vahinkojen minimoimiseksi kaikki potentiaaliset uhrit kirjataan ulos palvelusta, jos nämä yrittävät ottaa käyttöön kybermurrossa saaliiksi päätynyttä salasanaa tunnistuksessa. Silloin sisäänkirjautuminen epäonnistuu ja järjestelemä pyytää luomaan uuden salasanan.

Quora tiedottaa tietävänsä senkin, miten moinen megaluokan tietomurto pääsi tapahtumaan, mutta palvelu ei kehuskele asialla. Tarkkailijoista taas vaikuttaa siltä, että vahinko on yksinkertaisin mahdollinen: käyttäjätietokantaan päästiin käsiksi yhden pääkäyttäjäsalasanan korkkaamisen kautta.

Moninkertaisen todennuksen puuttuminen tulisi luokitella haavoittuvuudeksi palvelussa. Tietosuojaa parantavan tuplatunnistusominaisuuden tehtävänä on varmistaa, että vain käyttäjä itse voi käyttää tiliä, vaikka joku muu olisi saanut haltuunsa salasanan.

Kaksiosainen todennus toimii jo muun muassa Apple ID:n suojauksessa iPhonella, iPadilla ja Macilla. Lisäksi tekninen mahdollisuus kaksoistunnistukseen löytyy muun muassa Samsungin uusista älypuhelinmalleista. Käytössä on vahvistuskoodi, joka on hyvä varmenne, mutta silmän iiris lienee paras tunnettu tunnistustapa.

Vähempikin kuin iiristunnistus riittää nyt ensihätään. Tili on aina paremmin suojattu, kun sisäänkirjautuminen edellyttää salasanaa ja vahvistuskoodia, esimerkiksi Googlesta löytyy suhteellisen hyvin toimiva ominaisuus vahvistinkoodin käyttöön.

Kun kaksivaiheinen vahvistus otetaan käyttöön, tilille kirjautuminen tapahtuu kahdessa vaiheessa ja edellyttää sekä salasanaa että erillistä suojausavainta.

Google varmistaa, että kirjautuja on se joka pitääkin, ja lähettää tekstarina kuusinumeroisen koodin puhelimeen. Myös sen voi valita, haluaako vastaanottaa koodin tekstiviestinä vai puheluna (mikä on turvallisinta).

Tekstariprotokolla tosin kehitettiin aikanaan juuri tämän tyyppiseen varmentamiseen, ja siinä se toimii yhä hyvin. Käytän tekstaria yhä muun muassa kiinteistötekniikan ohjauksessa.

Vaativampaan käyttöön löytyy suojausavain, pieni ostettava laite, joka toimii henkilöllisyyden todentajana kirjautumisen yhteydessä. Sen voi yhdistää avaimen puhelimeen, tablettiin tai tietokoneeseen tai kelloon.

Avaimet parantavat tilin suojausta. Ratkaisu ei edellytä jatkuvaa koodin syöttämistä laitteisiin.

Myös Microsoftin tileissä näkyy olevan mahdollista käyttää suojauskoodia, mutta konsepti vaikuttaa luvalla sanoen hieman huteralta. Vahvistuskoodin hukkaaminen MS:n mukaan lukitsee tilin vähintään 30 vuorokaudeksi, tai tili voi olla myös kokonaan menetetty.  

Eniten toimivia vahvistuskoodeja tarvittaisiin, kun tiedostoja jaetaan pilvipalvelujen kautta. Sähköpostin asemesta pilveä käytetään jakeluun esimerkiksi tiedostokoosta johtuen.

Niin, pilvi on edelleen liian helppo murtaa siihen suhteutettuna, miten tärkeää dataa siellä jaetaan.

Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…