Verottaja avasi muutama vuosi sitten palvelun, jossa yritykset voivat hallita veroluonteisia maksujaan. Rekisteröidyin käyttäjäksi ja valitsin 8-merkkisen salasanan, aivan kuten pyydettiin.
Tänä vuonna tuli ilmoitus, että tietoturvan parantamiseksi salasanojen vaatimuksia kiristetään. Niissä pitää jatkossa olla isoja ja pieniä kirjaimia sekä numeroita. Kun en tehnyt muutosta ajoissa, en tänään enää päässyt hallinnoimaan yritykseni maksuja. Jouduin käyttämään aikaani päästäkseni salasanojen hallintaan ja luomaan uuden, vaatimukset täyttävän salasanan.
Episodi on hyvä esimerkki siitä, miten insinöörien käsitys tietoturvasta on kaukana arjen todellisuudesta. Ja IT-osastot ovat täynnä insinöörejä (kuten minäkin). Ei ihme, että meillä riittää turvaongelmia. Tietoturvassa teoria ja käytäntö ovat usein kaksi eri asiaa.
Se, onko kahdeksan merkin salasanassa pelkkiä pieniä kirjaimia vai myös isoja ja numeroita, ei faktisesti vaikuta turvallisuuteen mitenkään. Voi käydä jopa niin, että kiristetyt vaatimukset pakottavat kirjoittamaan salasanan paperille tai helpottavat sen unohtamista, jolloin kokonaisvaikutus tietoturvaan on negatiivinen.
Salasanaohje on jo itsessään hieman koominen:
 |
| Salasanaohje viraston malliin. |
"Vältä salasanojen kirjoittamista ylös. Jos kuitenkin teet niin..." Heh.
Jos salasanan minimipituus on kahdeksan merkkiä, sen arvaamisen kannalta on täysin yhdentekevää onko isoja kirjaimia ja numeroita vai ei. Vähintään kahdeksan merkin salasanan arvaaminen on täysin mahdotonta. Kahdeksalla pienaakkosella on 377 801 998 336 vaihtoehtoa (siis ilman numeroita, erikoismerkkejä ja isoja kirjaimia). Mahdollisia lottorivejä on vain 15 380 937 kappaletta. On siis noin 24 532 kertaa todennäköisempää voittaa lotossa kuin arvata pelkistä pienistä kirjaimista koostuva kahdeksanmerkkinen salasana (ok, salasana ei ole satunnainen, vaan yleensä jokin oikea sana, mutta silti veikkaisin mieluummin lottoa kuin salasanaa).
Ainoa tilanne, missä numeroiden ja isojen kirjainten vaatimisella on merkitystä liittyy brute-force-hyökkäykseen. En kokeillut asiaa mutta oletan, että tili menee lukkoon jo alle kymmenen väärän arvauksen jälkeen. Jos yrityksiä vielä jatketaan, ennen pitkää poliisi kolkuttaa ovelle. Brute-force ei toimi online-palveluissa.
Brute-force voi tulla kyseeseen vain, mikäli hyökkääjä murtautuu itse palveluun ja varastaa sen suojatun käyttäjätietokannan. Tietokone pystyy kokeilemaan miljoonia vaihtoehtoja sekunnissa ja silloin kahdeksan merkin mittaiset helpot salasanat voidaan murtaa.
Mutta jos niin käy, vika ei ole käyttäjässä eikä huonossa salasanassa, vaan ylläpidossa. Miksi käyttäjien pitää ottaa vastuuta, joka kuuluu järjestelmän rakentajille?
Ja kaiken huipuksi salasanan murtamisella ei verotilin kannalta ole edes merkitystä, koska todentamisen jälkeen sinne pääsy vaatii vielä kertakäyttösalasanan.
Salasanavaatimusten kiristäminen on ainakin tässä tapauksessa pelkkää insinööritiedettä -- käyttäjien kiusaamista, joka ei paranna turvallisuutta.
