10. kesäkuuta 2011

Googlelta ilmainen tekstiviestivarmistus sisäänkirjautumiseen!

Havaitsin ilokseni, että Google on alkanut tarjota kertakäyttöisiin salasanoihin (tekstiviesteihin) perustuvaa lisäsuojaa palveluihinsa - myös Suomeen ja täysin maksutta! Systeemi toimii siten, että henkilö määrittelee 2 luotettavaa puhelinnumeroa (varsinaisen ja varanumeron). Lisäksi käyttäjä tallettaa systeemin vielä erikseen luomat kertakäyttöiset salasanat varmaan talteen. Kun henkilö sitten kirjautuu Googlen palveluun käyttäjätunnuksellaan ja salasanallaan, lähettää Google kertakäyttöisen salasanan käyttäjän puhelimeen tekstiviestillä, tämä numerosarja pitää sitten kirjoittaa eteen aukeavalle nettisivulle, jotta pääsee jatkamaan palveluun. Toinen puhelinnumero ja kertakäyttöisten salasanojen lista on olemassa varmistuksen varmistuksena, eli sitä varten, että jostain syystä et pysty käyttämään matkapuhelintasi - etkä varapuhelintasikaan ja sinun pitää päästä kirjautumaan systeemiin sisään (vaikkapa resetoimaan sen).

Voit ottaa palvelun käyttöön itsellesi tästä linkistä
.

Bonuksena mainittakoot, että mikäli joku koettaa käyttää käyttäjätunnustasi ja salasanaasi kirjautuakseen Googlen palveluihin, saat siitä tekstiviestin puhelimeesi, joten tiedät tietojesi vaarantuneen ja voit vaihtaa ne kaikki.


Kaikkihan jo tietävät, että erilaisia palveluita, kuten Facebookkia ja Gmailia, kannattaa aina käyttää https-yhteyden kautta (http-yhteyden sijaan)? Näin ei linjaa voi salakuunnella eikä siten esimerkiksi kaapata salasanoja tai tunnistautumistietoja, välitettävistä viesteistä nyt puhumattakaan. Gmailista ja Facebookista voi laittaa kyseiset asetukset päälle ja kannattaa itse aina kirjautua niihin menemällä suoraan https://mail.google.com/ ja https://login.facebook.com/ sen perinteisen http-osoitteen sijaan...helpoimmin tuo käy, kun nuo sivut tallettaa kirjainmerkkeihinsä.

Kaikkihan myöskin tietävät, että jokaisessa eri palvelussa ja paikassa netissä pitää käyttää pitkiä ja monimutkaisia salasanoja - ja jokaisessa palvelussa mieluusti eri salasanaa? Näin salasanoja ei voi murtaa ja yhden salasanan päätyminen vääriin käsiin ei avaa kaikkia palveluitasi hyökkääjälle. Hyvä ohjelma salasanojen luontiin ja säilytykseen on esimerkiksi KeePass Password Safe, jonka voi vaikkapa tallentaa muistitikulle mukaan otettavaksi. Näin sinun ei tarvitse opetella muistamaan kuin yksi salasana - tuo Password Safen salasana (ai niin, ja KeePass Password Safea voi käyttää myöskin salasanan sijasta tai lisäksi avaintiedoston kanssa).

Mutta entäpä, jos tietokoneesi on kaapattu tai salasanasi urkitaan siitä jollain haittaohjelmalla selville? Entä, jos joudut käyttämään jotain kolmannen osapuolen tietokonetta, josta et voi koskaan olla täysin varma? Entä jos olet vaan niin laiska, ettet viitsi edes käyttää vaikeita salasanoja ja sinun salasanasi on arvattavissa? Silloin tulee ongelmia, joita eivät edellä kuvatutkaan neuvot ratkaise. Paras ratkaisu on tietysti olla käyttämättä edes teoriassa epäturvallisia tietokoneita em. asioiden hoitoon, mutta yksi hyvä ratkaisu on olemassa: Nämä kertakäyttöiset salasanat, joita Googlekin nyt tarjoaa.

Kertakäyttöiset salasanat ovat tuttuja esimerkiksi nettipankeista. Niiden väärinkäyttö onnistuu toki erittäin taitavalta haittaohjelmalta tai hakkerilta, mutta tällöinkin vahinko on rajattu yhteen sisäänkirjautumiseen, koska toisella kertaa tarvitaankin jo uusi kertakäyttöinen salasana, jota haittaohjelmalla tai hakkerilla ei (vielä) ole. Toki tällöin seuraavakin kertakäyttöinen salasana voidaan kaapata jne. mikäli käytetään yhä saastunutta konetta. Tästä teoreettisesta riskistä huolimatta on kuitenkin havaittu, että erillisen salasananhallintaohjelman käyttö jo yksistään vähentää merkittävästi haittaohjelmien kykyä kaapata käyttäjätunnuksia ja salasanoja tietokoneelta, puhumattakaan, kun tämä yhdistetään kertakäyttöisiin salasanoihin. Turvallisuus siis kasvaa - vaikka ei tietenkään maksimoidu, täydellistä turvallisuutta kun ei ole olemassakaan.

3 kommenttia:

Anonyymi kirjoitti...

Kiva mutta puhelinnumeron antaminen googlelle ei liene parhaita ideoita jollei ole prepaid.

Anonyymi kirjoitti...

Järkyttävää antaa mitään puhelinnumero Googlelle.

Anonyymi kirjoitti...

Viititkö tehdä jonkinlaisen kirjotuksen bitcoineista? Olisi mielenkiintosta tietää mitä oot niistä mieltä