LastPass on verkkopalvelu, joka pitää käyttäjiensä kaikki tunnukset ja salanat tallessa. Koska salasanoja ei tarvitse muistaa, jokaiseen palveluun voi luoda eri salasanan.
LogMeIn-yhtiö, joka omistaa LastPassin, on julkaissut Global Password Security Report 2019 -tutkimuksen, joss analysoidaan tietotekniikan turvallisuustilannetta maailmanlaajuisesti. Raportin tärkeimmät johtopäätökset ovat: eri palveluihin käytetään samoja salasanoja edelleen liian usein, mutta kaksivaiheinen tunnistautuminen (raportti käyttää termiä monivaiheinen, multifactor authentication) etenee hyvää vauhtia.
Raportissa analysoitiin 47 000 organisaation tietoturvakäytäntöjä. Mukana oli kaikenkokoisia yrityksiä, julkishallintoa ja yhdistyksiä lähes joka puolelta maailmaa.
- 57% yrityksistä käyttää jo nyt kaksivaiheista tunnistautumista oman henkilökunnan käyttöön tehdyissä järjestelmissä. Tämä on varsin korkea luku. Kuinkahan moni yksityishenkilö on aktivoinut kaksivaiheisen tunnistaumisen itselleen tärkeisiin palveluihin, kuten Facebookiin? Arvaan, että prosentin voi ilmaista yhdellä numerolla. Tästä löytyy ohje miten kaksivaiheinen tunnistautuminen aktivoidaan.
- Joillakin aloilla, kuten median ja mainonnan yrityksissä samoja salasanoja käytetään ahkerasti. Yhtä salasanaa käytetään keskimäärin 22 palveluun. Muilla aloilla ollaan varovaisempia, sillä keskimäärin samaa salasanaa käytettiin 13 palveluun.
- EU:n tietosuojalainsäädäntö GDPR on ollut voimassa vuodesta 2018 lähtien, ja raportissa uskotaan sen vaikuttaneen yritysten tietoturvakäytäntöihin näkyvästi. EU maat, etenkin Hollanti, Saksa ja Tanska olivat kärjessä kaksivaiheisen tunnistautumisen käyttöönotossa.
- Suuret yritykset ja yli 10000 työntekijän organisaatiot saivat korkeimmat pisteet tietoturvan hoidosta. Suurilla organisaatioilla on eniten riskejä tietotekniikan suhteen, mutta niillä on myös eniten resursseja investoida tietoturvaan ja koulutukseen.
- Eurooppa, Pohjois-Amerikka, Australia ja Uusi Seelanti olivat kärjessä yleisessä organisaatioiden tietoturvakäytännöissä. Hollanti nousi maailman ykköseksi organisaatioiden tietoturvassa, koska kaksivaiheinen tunnistautuminen ja muut turva-asiat olivat siellä pisimmällä.
- Henkilökunnalle tarjottu salasanojen hallintapalvelu, joka myös toimii mobiililaitteissa havaittiin auttavan hyviä käytäntöjä.
- Lainsäädännöllä nähtiin tärkeä vaikutus tietturvakäytäntöihin etenkin Euroopassa ja Australia-Tyynenmeren alueilla.
LastPass-raportin ulkopuolelta on syytä todeta, että salasanojen hallintaan on olemassa kahden tyyppisiä ratkaisuja. Hallinta voi perustua pilvipalveluun, tai sovellusohjelmaan joka pitää salasanat tallessa omassa laitteessa.
Esimerkiksi LastPass on verkkopalvelu, joka salaamisen jälkeen pitää tunnukset omissa tietokannoissaan. Ratkaisun etuna on helppo saatavuus kaikille laitteille mitä työssä ja henkilökohtaisessa elämässä tarvitsee. Haittapuolena on palvelun luotettavuuden arvioinnin mahdottomuus. Pysyvätkö tiedot varmasti piilossa palvelun tietokannoissa?
Esimerkki paikalliseen tallentamiseen tehdystä sovellusohjelmasta, joka toimii niin tietokoneissa kuin mobiililaitteissakin on Password Safe. Salasanat pysyvät piilossa kussakin laitteessa sillä ne on salakirjoitettu. Ainoastaan laitteen varastamalla ja sen jälkeen yrittämällä murtaa salakirjoitus voi salasanoja yrittää kaivaa esiin. Hankaluutena on tunnusten synkronointi, sillä jokaisessa laitteessa on oma salasanojen tietokanta. Salasanatietokanta on kuitenkin mahdollista kopioida laitteesta toiseen.
