Suurin uhka yritykselle ei ole turvaton salasana, vaan hölmöilevä työntekijä.

Kyllä on käsitämättämän kädetöntä touhua, kun neljässä vuosikymmenessä ei ole saatu kehitettyä globaalia tunnistusjärjestelmää, joka toimisi kaikissa ympäristöissä ja turvallisesti.

Jos minulla on 350 palvelua, joita käytän kymmenestä paikasta ja joihin kaikkiin pitäisi olla eri salasana, on tehtävä käytännössä mahdoton ilman muistikirjaa, jota jatkuvasti päivitetään. Nykyaikaa?

Jos jotain pitää syyttää, niin syytetään edes oikeaan suuntaa, eli järjestelmäkehittäjiä, ylläpitäjiä, kädettömiä koodareita jne... ja ainakin poliitikkoja, niitä pitää syyttää aina.

Suurin uhka ei ole hölmöilevä työntekijä vaan hölmöt ja käyttäjät unotava tietoturva sovellukset ja politiikka. No on niitä hölmöjäkin käyttäjiä, ja vieläpä ihan oikeastikkin. Mutta,,,

Tietoturva "asiantuntioilta" tuppaa unohtumaan yksi pieni asia. Ihmiset eivät muista!!!

Muutama salasana on ok, mutta kun niitä on kymmeniä. Lisäksi lasten syntymäajat, auton rekkarit jne jne. Joka järjestelmällä on erilaiset vaatimukset ja vaihto ajat. Ja kaiken huippuna pitäisi vielä muistaa hääpäivät jos meinaa selvitä seuraavasta vuodesta hengissä.

Käyttäjä menee siitä mistä on aita matalin. Eli jos järjestelmät hyväksyy helppoja salasanoja, niin toki niitä käytetään, sillä ne ovat lähes ainoita jotka pysyy mielessä. Jos vaaditaan vaikeita salasanoja, niin ratkaisu on pienet keltaiset laput kukkarossa ja/tai näppäimistön alapintaan liimattuna.

Pankkien tupas järjestelmä, eli kertakäyttösalasanat ovat käytettävyydeltään ja tietoturvaltaaan erittäin huonoja. Ja valitettavasti niiden käyttö leviää moniin muihinkin palveluihin. Teknisesti tupas on kyllä turvallinen, mutta kun otetaan huomioon käytettävyys, niin turvallisuus on sitten mennytttä.
Tupas järjestelmän käytön lisääntyminen, tarkoittaa sitä, että kohta on pidettävä salasana listaa aina mukana. Ja tietenkin käyttäjätunnus ja salasana on näissä taas ihan omat, joten nekin on raapustettava johonkin ylös, ja tietenkin se on salasanalistan ylä kulma, sillä vain näin ne kulkevat yhtämukaa.
Se siitä tietoturvasta.

HST oli hyvä yritys, mutta hankala käyttää. Lukulaitteiden puute romutti koko homman.

Yksi parhaista olisi HST:n yhdistäminen matkapuhelimeen, eli käytettäisiin mobiili varmennetta. Käyttäjä riskihän tässäkin on, mutta eipähän tarvitsisi kuljetella mitään listoja mukana ja olisi edes yksi salanana vähemmän muistettavana. Ja lukulaite, eli kännykkä on lähestulkoon jokaisella. Ja lähes kännykkät tukee varmenteita. Mutta ei HST eikä mobiilivarmennekkaan tule menestymään, ellei pankit rupea sitä käyttämään.

Niin ja yksi parannus tietoturvaan olisi (tietoturva konsulttien vastustuksesta huolimatta) mahdollisuus vaihtaa maksukorttien salasana mieleisekseen. Näin tuota maagista 4-numeron sarjaa ei välttämättä tarvitsisi raaputtaa kortin yläkulmaan.

Kun nuo tietoturva konsultit ja muuta ns asiantuntijat saataisiin joskus tajuamaan se pieni asia, että hyvä tietoturva ei tekninen, vaan se on kokonaisuus, jossa loppukäyttäjä ja hänen käyttötavat otetaan huomioon.
Ja tämä tarkoittaa sitä, että tietoturva politiikkaa laadittaessa on otettava huomioon niin pankki- ja maksukorttien pin koodit, henkilökohtaiset salasanat, kuin työssä käytettyjen järjestelmien tunnuksetkin.

Hyväkin tekninen turva romuttuu huonolla käytettävyydellä. Muistilappujen käyttöä kun ei voi estää ohjeilla ja politiikalla.

Vaihdan pakotettuna salasanan aina muutaman kerran peräkkäin, jotta saan käyttööni sen tutun ja turvallisen salasanani. Salasanakäytännön mukaan kun salasana ei saa olla sama kuin x määrässä edellisiä.

Järjetöntä touhua tuo plärääminen on, nyt sen tuskan vasta ymmärtää kun ei kykene pistämään itsellensä "never expire" tilaa päälle. Tuskin ketään hyödyttää se, että kuukauden välein näppäimistön alle piilotetaan uusi post-it lappu jossa lukee nykyisen salasanasi viimeinen numero...

Vaihdan vuosittain tämän ns. 'tärkeän tiedon' salasanan, tosin siitäkin löytyy eri variaatioita. Käytössäni on sitten toinen pienemmän prioriteetin salasana muihin palveluihin, mutta osassa tuo tärkeä salasanakin vilahtaa.

No voi poloisia.