Miten salasana päätyy rikollisille – ja miten voit estää sen?
Rikollisten käsiin päätyy jatkuvasti käyttäjätunnuksia ja salasanoja. Hyvät käytännöt ja tekninen suojautuminen pelastavat monelta murheelta.
Kirjoittaja
Rami Tamminen
Ensisilmäyksellä
Salasanat päätyvät rikollisten käsiin harvoin arvailun kautta – niiden varastaminen perustuu usein tietovuotoihin tai huijausviesteihin. Rikolliset hyödyntävät tehokkaasti ihmisten taipumusta käyttää samoja salasanoja ja luottaa viesteihin, jotka näyttävät aidoilta. Suojautuminen onnistuu yksinkertaisilla keinoilla, kunhan tietoturvasta tekee osan arkea.
Tässä blogissa käydään läpi, miten rikolliset todella saavat salasanasi haltuunsa, miksi se on edelleen toimiva hyökkäyskeino ja mitä voit tehdä suojautuaksesi ilman, että salasanojen muistaminen muuttuu painajaiseksi.
Unohda salasanan arvaaminen – rikolliset toimivat fiksummin
Ajatus siitä, että rikollinen murtautuisi järjestelmään kokeilemalla eri salasanoja, on vanhentunut. Useimmissa järjestelmissä on nykyisin lukitusmekanismi, joka estää tunnuksen käytön esimerkiksi kymmenen väärän arvauksen jälkeen.
Ja vaikka käyttäjä käyttäisi heikkoa salasanaa, kuten 123456 tai Etunimi1234, ei niitäkään yleensä arvota manuaalisesti – ainakaan ihmisvoimin. Rikolliset käyttävät tehokkaampia keinoja.
Näin salasanat oikeasti päätyvät rikollisten haltuun
1. Tietovuoto toiselta sivustolta
Monet verkkopalvelut tallentavat salasanat turvallisesti, mutta osa ei. Jos tällainen sivusto joutuu tietomurron kohteeksi, rikolliset saavat käyttöönsä käyttäjätunnus–salasana-pareja. Ja koska ihmiset käyttävät samoja tunnuksia useassa palvelussa, testaus muissa järjestelmissä kannattaa rikollisille.
Esimerkki: Salasana vuotaa jostain keskustelupalstalta → sama salasana toimii myös työpaikan sähköpostissa → rikollinen pääsee käsiksi arkaluontoiseen tietoon.
2. Kalastelu sähköpostin avulla
Toinen yleinen keino on huijata käyttäjä itse luovuttamaan tunnuksensa – esimerkiksi kalasteluviestillä, joka ohjaa valesivulle. Tutkimusten mukaan:
- Noin 50 % käyttäjistä klikkaa linkkiä, vaikka tietävät riskin
- Lähes kuka tahansa saadaan klikkaamaan oikein kohdennetulla viestillä
Kyse ei siis ole teknisestä haavoittuvuudesta, vaan inhimillisestä.
Miten voit suojautua ilman salasana-ahdistusta?
Ei, salasanojen ei tarvitse olla 32-merkkisiä sekasotkuja, joita pitää muistaa ulkoa. Tehokas suoja koostuu käytännönläheisistä toimenpiteistä:
- Käytä eri salasanaa eri palveluissa
- Ota käyttöön salasanojen hallintasovellus (esim. Bitwarden, 1Password)
- Hyödynnä monivaiheista tunnistautumista (MFA)
- Tarkista, onko sähköpostiosoitteesi ollut tietovuodossa (haveibeenpwned.com)
- Kouluta itsesi ja tiimisi tunnistamaan kalasteluviestit
Salasanojen suojaaminen on ennen kaikkea tapojen ja työkalujen hallintaa – ei muistipeliä.
Yhteenveto – Näin salasanat päätyvät rikollisille
- Rikolliset eivät arvaile salasanoja – he hyödyntävät tietovuotoja ja kalastelua
- Tietomurrot muualla voivat vaarantaa työpaikan tunnuksesi, jos käytät samoja salasanoja
- Kalastelu on tehokas huijauskeino, joka perustuu ihmisen erehtyvyyteen
- Suojautumiseen tarvitaan uniikit salasanat, salasanahallinta ja monivaiheinen tunnistautuminen
- Käyttäjien koulutus on edelleen yksi tehokkaimmista tietoturvatoimista
Psst. Kiinnostaako tietoturva-aiheiset sisällöt? Ota IT-kaverin somekanavat seurantaan!
Julkaisemme somessa tietoiskuja ja mielenkiintoisia tietoturvauutisia.
