Tätä nykyä ammattilaisellakin on tekemistä uusia palveluita ja ohjelmistoja tutkiessaan, joten ei käy kateeksi tavallista kuluttajaa, saati sitä teini­poikaa, joka sukulaisilleen jonkin uuden sovelluksen esittelee.

Otetaan vaikkapa salasanat. Kauan aikaa sitten emme vielä käyttäneet kovin monia nettipalveluja, ainakaan sellaisia joissa olisi tunnukset, joten salasanoissakaan ei ollut niin paljon muistamista.

Yhden ainoan salasanan käyttämisessä toki oli riskinsä jo silloin, mutta ne olivat kovasti pienempiä kuin nykyisessä kriminaalien ja pahantahtoisten bottien valloittamassa netti­maailmassa.

Sitten moni viisastui ja ryhtyi käyttämään eri palveluissa eri salasanaa. Aluksi ihan helppoa, mutta mitä enemmän palveluita on käytössä, sitä hankalammaksi salasanojen hallinta käy.

LUE MYÖS:

”Ota käyttöön salasanalompakko”, totesi se lähiympäristön tietoturvaharmaaparta tai Redditissä hengaileva teini.

Alkuun salasanalompakotkin olivat paikallisella koneella pyöriviä itsenäisiä ohjelmistoja. Näissä salasanat pääsivät vuotamaan vääriin käsiin vain, jos jokin haittaohjelma kopioi salasana­lompakon tiedostot talteen itselleen ja jos tiedot pystyi murtamaan jossain.

Ohjelmiston suojaus on vain niin vahva kuin sen heikoin lenkki.

Paikalliset salasanalompakot ovat ihan käteviä, jos käytössä on vain yksi laite. No, seuraavaksi ihmisillä alkoi olla yhä useampia laitteita. Mitenkäs salasanat nyt sitten synkataan kätevästi keskenään? Pilvipalvelulla tietenkin!

Ensin kaikki oli ihan hyvin, mutta sitten pahikset ryhtyivät korkkaamaan näitä pilvipalvelusalasanalompakoita. Viimeksi uhrina oli loppuvuodesta 2022 LastPass, jonka murron myötä käyttäjien tietoja tai ainakin tiedonmurusia päätyi vääriin käsiin.

Vaikka salasanat itsessään eivät selväkielisinä palvelussa olleetkaan, muuta dataa kyllä oli – esimerkiksi LastPassin puolelle tallennettujen nettiosoitteiden nimet olivat siellä aivan selväkielisenä. Hyökkääjän työtä helpottaa valtavasti, jos tämä saa tietää ison otoksen siitä, millä sivuilla joku käyttäjä vierailee usein.

Voipa sillä olla muitakin seurauksia, jos jollakulla vaikkapa on kymmenien eri pornosivujen osoitteet ja käyttäjätunnukset tallennettuna salasanalompakkoonsa.

LastPassin puolella oli muutenkin tehty asioita siihen tapaan, että siitä suositellaan siirtymään johonkin toiseen ohjelmistoon. Tässä tuleekin sitten seuraava pulma: minkä ohjelmiston valitsen seuraavaksi? Milloin on sen vuoro murtua ja miten pahasti? Mistä tiedän, onko se jokin muukaan yhtään parempi?

Itse käytän Bitwardenia, se on avointa koodia ja oletettavasti ihan turvallinen. Palaamme kuitenkin siihen, mistä tämän kolumnin aloitin — ohjelmiston suojaus on vain niin vahva kuin sen heikoin lenkki.

Pidän kaksivaiheista tunnistautumista päällä ja salasanalompakkoni pääsalasana on olevinaan ihan vahva, mutta nähtäväksi jää, onko Bitwardenkin sitten lopulta hyökkääjien tahtoon alistuvien palvelujen listalla.

Kirjoittaja toimi MBnetin ylläpitäjänä 1999–2013 ja työskentelee nykyään Forcepoint-tietoturvayrityksessä järjestelmäsuunnittelijana. Twitter: @the_jaba