Unohtuneen salasanan palautus: varo vaaroja
0
Cert-fi on koonnut ohjeita siitä, miten nettipalvelun unohtuneen salasanan voi palauttaa turvallisesti. Keinoja on monia, mutta ikävä kyllä yksi niistä on samalla internetin pahimpia turvaongelmia.
Cert-fi kertoo, että siltä kysytään usein ohjeita salasanojen palauttamiseen. Niinpä asiasta on julkaistu artikkeli.
Paha turvaongelma liittyy siihen, että monissa palveluissa käyttäjätilin yhteyteen voi luoda oman tietoturvakysymyksen. Jos salasana unohtuu, sen voi palauttaa oikealla vastauksella kysymykseen.
Varo nettipalvelujen unohduskysymyksiä!
Cert-fi muistuttaa, että tarkistuskysymys ja siihen liittyvä vastaus vastaavat käyttäjätilin salasanaa. Kysymyksen ja vastauksen pitää olla vähintään yhtä vahva ja vaikeasti arvattavissa kuin palvelussa käytetty salasana. Hyvä kikka on muistaa se, ettei vastauksen tarvitse pitää paikkaansa.
Ohjeissa viitataan äskettäin julkaistuun tutkimukseen (pdf), jonka mukaan helposti arvattavat tietoturvakysymykset ovat monessa tapauksessa järjestelmän heikoin lenkki.
Sähköpostiosoite pelastaa yleensä pulasta
Yleensä salasanan palautus aloitetaan sillä, että käyttäjätunnus syötetään salasanan palautusta varten tarjolla olevaan lomakkeeseen. Se löytyy yleensä kirjautumissivulla olevasta linkistä. Jos ei muista edes käyttäjätunnusta, voi usein käyttää palveluun rekisteröityessä antamaansa sähköpostiosoitetta.
Lomakkeen täyttämisen jälkeen palvelu lähettää sähköpostiosoitteeseen uuden tilapäisen salasanan, tai viestissä on linkki salasanan vaihtosivulle. Cert-fi muistuttaa, että tällaiset viestit tosin päätyvät helposti roskapostikansioon.
Toinen muistettava asia on se, että salasanojen palautusviestit ovat yleensä salaamattomia. Niinpä sähköpostitse toimitetut tilapäiset salasanat olisi hyvä vaihtaa uusiin heti ensimmäisen kirjautumisen yhteydessä.
Kannattaa huomioida myös huijauksen mahdollisuus. Cert-fi korostaa, että jos ei itse ole ollut käynnistämässä salasanan palauttavaa prosessia, ei tällaiseen prosessiin liittyviin sähköposteihin pidä vastata.
Jos palveluun ei ole rekisteröity sähköpostiosoitetta, voi prosessi olla monimutkaisempi. Käyttäjältä voidaan kysyä monenlaisia kysymyksiä, kuten palveluun annettu nimi, asuinpaikkakunta ja syntymäaika.
