Verkkosalasanojen ylläpito
Monet ovat hämmentyneitä verkkoturvallisuuden suhteen. Googlen Mark Risher ja Stephan Micklitz sanovat, että nämä tunteet pitäisi ottaa huomioon turvatoimia luodessa.
Mark Risher, olet Googlen Director of Product Management ja työskentelet verkkoturvallisuuden parissa. Oletko koskaan joutunut verkkohuijauksen kohteeksi?
Risher: En nyt heti muista konkreettista esimerkkiä, mutta voin vain olettaa, että olen. Teen virheitä surffaillessani netissä, kuten kuka tahansa muukin. Kirjoitin esimerkiksi vähän aikaa sitten Google-salasanani väärälle sivustolle. Onneksi olin asentanut Chromen Salasanavaroitus-laajennuksen, joka huomautti virheestä. Sen jälkeen vaihdoin tietysti salasanani saman tien.
Stephan Micklitz, Googlen yksityisyys- ja tietoturvatiimin Director of Engineering: Se on inhimillistä. Kun salasanan on opetellut, voi helposti käydä niin, että kirjoittaa sen kiinnittämättä tarpeeksi huomiota siihen, millä sivulla on.
Risher: Haluaisimme siirtyä kokonaan pois salasanoista, mutta valitettavasti se ei ole kovin helppoa.
"Monet turvallisuustoimet tapahtuvat kulissien takana."
Mark Risher
Mitä pahaa salasanoissa on?
Risher: Niissä on paljon puutteita: salasana on helppo varastaa mutta vaikea muistaa, ja salasanojen ylläpito voi olla työlästä. Monet uskovat, että salasanojen pitäisi olla mahdollisimman pitkiä ja monimutkaisia – vaikka oikeasti tämä lisää turvallisuusriskiä. Monimutkaiset salasanat houkuttelevat käyttäjiä käyttämään niitä useammalla tilillä, mikä tekee tileistä entistä haavoittuvaisempia.
Micklitz: Mitä harvemmin kirjoitat salasanan, sitä parempi. Sen takia tileille ei kannata kirjautua usein sisään ja sieltä ulos. Ajan myötä tämä voi johtaa siihen, että käyttäjät eivät kiinnitä huomiota siihen, millä sivulla ovat, mikä helpottaa salasanavarkaiden hommaa huomattavasti. Tämän vuoksi suosittelemme käyttäjiä pysymään sisäänkirjautuneena.
Pankkini sivusto kirjaa minut automaattisesti ulos, jos en ole tehnyt mitään muutamaan minuuttiin.
Micklitz: Valitettavasti monet yritykset seuraavat edelleen vanhentuneita sääntöjä. Jatkuvan uloskirjautumisen suositus tulee niiltä ajoilta, kun ihmiset käyttivät internetiä nettikahviloissa tai muiden kanssa jaetuilla tietokoneilla. Tutkimuksemme mukaan mitä useammin salasanan kirjoittaa, sitä todennäköisemmin joutuu kyberhyökkäyksen uhriksi. Siksi on turvallisempaa käyttää näytön lukitusta matkapuhelimessa tai tietokoneella ja käyttää turvallista salasanaa.
Risher: Näin on. Valitettavasti liikkeellä on paljon väärää tai epäkäytännöllistä tietoa, mikä voi hämmentää käyttäjiä. Pahimmassa tapauksessa ihmiset ovat niin epävarmoja oikeasta toimintatavasta, että he antavat periksi: "Jos tietojeni suojelu on näin vaikeaa, on sama antaa periksi". Tämä vastaisi sitä, että jättäisi aina ulko-oven auki, koska tietää alueella liikkuvan varkaita.
Mark Risher on Googlen tietoturva- ja yksityisyystiimin Director of Product Management. Vuonna 2010 hän perusti verkkoturvallisuusyrityksen nimeltä Impermium, jonka Google osti vuonna 2014. Siitä asti Risher on työskennellyt yrityksen pääkonttorilla Kalifornian Mountain View'ssa. Oikealla: suojausavain käytössä Lisäsuojaus-ohjelmassa. Se on saatavilla pientä maksua vastaan ja sitä voidaan käyttää useilla sivustoilla.
Miten Google varmistaisi käyttäjien turvallisuuden, jos salasanat poistettaisiin käytöstä?
Risher: Meillä on jo käytössä monia lisäsuojaustoimia kulissien takana. Hakkeri voisi selvittää salasanasi ja puhelinnumerosi, ja voisimme silti taata 99,9-prosenttisesti Google-tilisi turvallisuuden. Tarkistamme esimerkiksi, mistä maasta ja millä laitteella tilille kirjaudutaan. Jos joku yrittää kirjautua tilillesi useita kertoja väärällä salasanalla, tämä herättää hälytyksiä suojausjärjestelmissämme.
Micklitz: Olemme myös kehittäneet tietosuojatarkistuksen, jonka avulla käyttäjät voivat käydä Google-tilinsä tietosuoja-asetukset läpi yksi kerrallaan. Lisäsuojaus-ohjelman avulla pääsemme vielä pidemmälle.
Mihin tämä ohjelma perustuu?
Micklitz: Alun perin ohjelma kehitettiin esimerkiksi poliitikoille, toimitusjohtajille ja toimittajille, eli ihmisille, joista rikolliset saattaisivat olla erityisen kiinnostuneita. Mutta nyt se on saatavilla kaikille, jotka haluavat lisäsuojaa verkossa. Vain sellaiset henkilöt, joilla on erityinen USB- tai Bluetooth-avain, voivat käyttää suojattua Google-tiliä.
Risher: Tiedämme kokemuksesta, miten tehokas tämä järjestelmä on, koska kaikki Googlen työntekijät käyttävät suojausavainta yritystilinsä suojaukseen. Tämän suojauskeinon käytön alettua meillä ei ole ollut yhtään tietojenkalastelutapausta, jonka voisi jäljittää salasanan vahvistukseen. Avain parantaa Google-tilin suojausta todella paljon, koska vaikka hyökkääjät tietäisivät salasanan, he eivät pääse tilille ilman avainta. Yleensä verkkotili voidaan hakkeroida mistäpäin maailmaa tahansa, mutta tämä ei ole mahdollista tileillä, jotka on suojattu fyysisellä suojausavaimella.
Micklitz: Näitä suojausavaimia voi muuten käyttää useilla sivustoilla – ei pelkästään Googlen Lisäsuojaus-ohjelmassa. Niitä voi ostaa meiltä tai muilta myyjiltä pientä maksua vastaan. Lisätiedot löytyvät osoitteesta g.co/advancedprotection.
"Ihmisten on joskus vaikea arvioida riskejä internetissä."
Stephan Micklitz
Mitkä ovat mielestänne tämän hetken suurimmat vaarat internetissä?
Risher: Yksi ongelma on verkossa olevat käyttäjänimi- ja salasanalistat. Kollegamme Tadek Pietraszek ja hänen tiiminsä haravoivat internetiä kuusi viikkoa ja löysivät 3,5 miljoonaa käyttäjänimi-salasanayhdistelmää. Tämä data ei ole peräisin hakkeroiduilta Google-tileiltä – se oli varastettu muilta palveluntarjoajilta. Koska monet käyttävät samaa salasanaa useilla tileillä, nämä listat ovat ongelma myös meille.
Micklitz: Näen kohdennetun tietojenkalastelun suurena ongelmana. Se tarkoittaa sitä, että hyökkääjä luo niin ovelasti personoidun viestin, että uhrin on vaikea tunnistaa petosta. Näemme hakkereiden käyttävän tätä tapaa koko ajan enemmän – ja onnistuvan siinä.
Risher: Olen samaa mieltä Stephanin kanssa. Lisäksi kohdennettu tietojenkalastelu ei vie läheskään niin paljon aikaa kuin saattaisi kuvitella. Usein roskapostin personointi vie vain muutaman minuutin. Hakkerit voivat käyttää tietoja, joita käyttäjät julkaisevat itsestään verkossa. Tämä ongelma liittyy esimerkiksi kryptovaluuttaan: jos ihmiset kertovat julkisesti, että heillä on 10 000 bitcoinia, heidän ei pitäisi yllättyä, että tämä tieto houkuttelee verkkorikollisia.
Micklitz: Se on sama kuin jos seisoisin keskellä toria ja kertoisin pankkitilini saldon muille megafonilla. Kuka niin tekisi? Ei kukaan. Mutta joskus ihmisten on vaikea arvioida riskejä internetissä.
Ovatko tavalliset roskapostit ongelma?
Risher: Laitteiden ja palveluiden linkittäminen yhteen on suuri haaste meille. Netin selaamiseen ei käytetä vain kannettavia ja älypuhelimia – myös televisiot, älykellot ja älykaiuttimet ovat yhteydessä verkkoon. Näillä laitteilla käytetään useita eri sovelluksia, mikä antaa hakkereille monia eri tilaisuuksia hyökätä. Ja koska monet laitteet on nykyään yhdistetty toisiinsa, hakkerit voivat käyttää yhtä laitetta päästäkseen käsiksi toisella laitteella oleviin tietoihin. Nyt meidän on siis vastattava kysymykseen "miten voimme taata käyttäjien turvallisuuden useista uusista käyttötavoista huolimatta"?
Micklitz: Ensin meidän on kysyttävä itseltämme, mitä dataa oikeasti tarvitsemme kutakin palvelua varten – ja mitä dataa vaihdetaan palvelujen kesken.
Stephan Micklitz
on Googlen yksityisyys- ja tietoturvatiimin Director of Engineering. Hän opiskeli tietojenkäsittelytiedettä Münchenin TUM-yliopistossa ja on työskennellyt Googlen Münchenin-toimistossa vuoden 2007 lopusta. Micklitz on Saksan verkkoturvallisuuteen keskittyvän hankkeen Deutschland sicher im Netzin (DsiN) hallituksessa.
Miten tekoälyn avulla voi suojella käyttäjiä?
Micklitz: Google on käyttänyt tekoälyä jo jonkin aikaa.
Risher: Teknologiaa on käytetty sähköpostipalvelussamme, Gmailissa, alusta asti. Google kehitti jopa oman koneoppimisen kirjastonsa nimeltä TensorFlow. Se helpottaa koneoppimista käyttävien ohjelmoijien työtä. Gmail hyötyy erityisen paljon TensorFlow'sta, koska se tarjoaa tärkeää palvelua tunnistamalla tyypillisiä kaavoja eli tekee hahmontunnistusta.
Voitko selittää, miten tämä hahmontunnistus toimii?
Risher: Sanotaan, että havainnoimme useilta käyttäjiltä epäilyttävää toimintaa, jota emme voi luokitella. Itsestään oppiva kone voi verrata näitä tapahtumia ja parhaassa tapauksessa havaita uudentyyppisiä petoksia, ennen kuin ne alkavat levitä verkossa.
Micklitz: Silläkin on rajansa: kone on vain niin älykäs kuin sitä käyttävä ihminen. Jos koneelle syöttää väärää tai yksipuolista dataa, sen tunnistamat kaavat ovat myös vääriä tai yksipuolisia. Kaikesta tekoälyn hypetyksestä huolimatta sen tehokkuus riippuu aina sitä käyttävästä ihmisestä. Käyttäjän tehtävä on kouluttaa kone laadukkaalla datalla ja tarkistaa tulokset jälkeenpäin.
Risher: Kerran kun työskentelin eri sähköpostipalvelun palveluksessa, saimme viestin Lagosissa sijaitsevan pankin työntekijältä. Siihen aikaan kierrossa oli paljon huijaussähköposteja, joiden sanottiin tulevan Nigeriasta. Mies valitti, että hänen sähköpostinsa päätyivät aina vastaanottajan roskapostikansioon, vaikka hän työskenteli maineikkaassa pankissa. Tämä on tyypillinen tapaus hahmontunnistuksen väärästä yleistyksestä, joka johtuu riittämättömästä tietomäärästä. Pystyimme ratkaisemaan hänen ongelmansa muuttamalla algoritmia.
Valokuvat: Conny Mirbach
Näin kyberturvallisuutta on parannettu
Tutustu siihen, miten pidämme huolta ihmisten verkkoturvallisuudesta maailmanlaajuisesti.
Lue lisää