Niin sanottujen kryptovaluuttojen, eli virtuaalivaluuttojen kuten Bitcoinin, osto-, myynti- ja lompakkopalvelu Coinbase lähetti meikäläiselle sähköpostiviestiviestin. Siinä listataan parhaita konsteja kuinka käyttäjä voi omilla valinnoillaan estää hakkereiden pääsemisen omalle tilille. Konstit ovat varmaan useimmille tämän Kuopassa.net-blogin lukijoille peruskauraa, sillä arvelen lukijoiden olevan matti- tai maijameikäläistä selvemmin teknologiaorientoituneita. :-) Ehkä se on vaarallinen olettama, joten listaan tähän mitä Coinbase suosittelee:
- Coinbasen käyttäjätilissä on syytä hyödyntää SMS-varmennuksen sijaan esimerkiksi kännykkään asennettavaa ”autentikaattoriappia”, kuten Google Authenticatoria. Se on ilmainen. Jos käyttäjän todentaminen tapahtuu kaksisuuntaisella tavalla tekstiviestiä käyttäen, voi jokin rahan-/pahantahtoinen välikäsi päästä… no, väliin. Kirjoitan siitä lisää otsikon Käyttäjän kaksisuuntainen todentaminen alla.
- Coinbase suosittelee lisäksi käyttäjiään pitämään oman tietokone- ja kännykkäohjelmistonsa päivitettynä viimeisimpään kehitysversioon. Ohjelmistopäivitykset eivät tuo vain parannuksia esimerkiksi käyttöliittymään, tai esittele uusia toiminnallisuuksia, sillä ne myös tapaavat sisältää parannuksia ohjelmiston tietoturvaan.
- Kolmanneksi Coinbase kehottaa olemaan käyttämättä samoja salasanoja eri palveluissa. Salasanojen on syytä olla uniikkeja kussakin palvelussa. Esimerkiksi Coinbasen ja nettikasinon käyttäjätilillä ei missään nimessä kannata pitää identtistä salasanaa. Coinbase suosittelee muodostamaan salasanan sekoittamalla siihen numeroita, kirjaimia, symboleita ja ISOJA ja pieniä kirjaimia.
Millainen on hyvä salasana?
Muistan lukeneeni aikaisemmin kesällä Hacker Newsista kuinka (jossakin) ehdotetaan, että nykyisin salasanojen muodostamisessa paras käytäntö on kirjoittaa muutama eri sana ja erottaa ne välilyönnillä. Sillä tavalla käyttäjän on helpompi muistaa — ja kirjoittaa — salasana ja siten jopa välttyä kokonaan käyttämästä jotakin muistilappua tai varsinaista salasanojen hallintaohjelmaa, kuten KeePassia.
Salasana on siten huono termi, sillä yksittäinen palvelussa näkyvä salasanakenttä täytetään useilla salaisilla sanoilla. Moderni salasana voisi siis olla vaikkapa: ”parvekeremontti korsoraattori kierre kohtelu”. Tuo voi olla lainausmerkkien kanssa tai ilman, ja siihen voi tietysti sulloa välimerkkejä tai erikoismerkkejä, kuten huutomerkin, puolipisteen jne.
Käyttäjän kaksisuuntainen todentaminen
Myös tämä asia liippaa Coinbasea. Asiasta uutisoitiin laajahkosti syyskuussa 2017. Forbes-lehti uutisoi siitä ensimmäisenä. Positive Technologies -niminen yritys, joka on erikoistunut tietoturva-aukkojen paikallistamiseen, julkisti pari vuotta takaperin esittelyvideon. Siinä näytettiin miten Coinbasessa sijaitseva 2-suuntainen tekstiviestitse tapahtuva käyttäjän todentaminen mahdollisti käyttäjätilin hallinnoimisen. Demonstraatiossa kaapattiin hetken aikaa kaikki tekstiviestit, jotka lähetettiin kyseiseen Coinbase-tiliin liitettyyn puhelinnumeroon. Hyökkäyksessä hyödynnettiin joitakin kännykkäverkon haavoittuvuuksia. Lyhyesti sanottuna Positive Technologies näytti miten helposti Coinbasen käyttäjätili voidaan kaapata — jos käyttäjän kaksisuuntaisessa todentamisessa käytetään tekstiviestejä.
