Ads 468x60px

tiistai 27. marraskuuta 2012

Pikku juttuja –kuinka turvata oma Google mail (ja miksei muutkin vastaavat palvelut)


Törmäsin kuluneella viikolla mielenkiintoiseen blogi-postaukseen aiheesta kuinka parantaa oman Google-tunnuksen turvallisuutta [1]. Luettuani tekstin ajattelin ensin, että ”höh, olipa simppeleitä juttuja, ei mitään tajuntaa säväyttävää”. Samalla kuitenkin harmikseni tajusin, että en edes muista, milloin olisin viimeksi tarkastanut tekstissä mainitut neuvot.
Näinpä, ohessa muutamia helppoja kikkoja kuinka parantaa oman Google-tunnuksen turvallisuutta:
  1. Ota käyttöön kaksi-vaiheinen tunnistautuminen (Tilin asetukset -> Tietoturva ->Kaksivaiheinen vahvistus). (Ei-teknsille ihimisille: Turvallisuuden parantuminen perustuu siihen, että kun kirjaudun jollain laitteella ensimmäisen kerran tunnukselleni, niin saan tekstiviestinä varmistuskoodin, joka minun tulee syöttää kirjautumisen yhteydessä. Näin pelkästään kaappaamalla käyttäjätunnuksen ja salasanani hyökkääjä ei pysty kirjautumaan tililleni + Lisäksi, jos saan tekstiviestinä vahvistuskoodin, mutta en ole yrittänyt kirjautua tunnukselleni, niin tiedän jonkin olevan vialla.)
  2. Tarkasta sähköpostiin määritellyt uudelleen ohjaukset (Settings -> Forwarding and POP/IMAP) ja varmista, että sähköpostejasi ei välitetä edelleen (tai jos välitetään, niin varmista, että itse hallinnoit kohdetunnuksia).
  3. Tarkasta sähköpostiin määritellyt suodattimet (Settings -> Filters). Suodattimien avulla hyökkääjä pystyy esimerkiksi tuhoamaan viestejä tietyn kriteerin perusteella tai vastaavasti valitsemaan mitkä viestit uudelleen ohjataan (ks. edellinen kohta).
  4. Tarkasta, että salasanan palautusmenettelyt ovat varmasti kannaltasi järkevät (settings -> Accounts and Import -> Google account settings -> Change password recovery options -> Email). Varmista, että puhelinnumerosi on varmasti oikein (jos olet sellaisen määrittänyt) ja varmista, että salasanan palautukseen käytetty sähköpostiosoite(et) on todella sinun. (Blogissa suositeltiin myös, että turvakysymyksen vastaus kannattaa tarkistaa, tai asettaa uudelleen, koska senkin kautta on mahdollista saada nollattua salasana.)
  5. Viimeisimmät kirjautumiset: Gmailin oikeassa alakulmassa on pieni linkki (details), jonka takaa löytyy kymmenen viimeisimmän kirjautumisen tiedot (kirjautumisen tyyppi, IP-osoite, aikaleima). Tämän toiminnallisuuden avulla pystyy hieman seuraamaan missä kaikkialla ja miten gmailiin on kirjauduttu sisään.
Edellä mainittujen lisäksi blogi-tekstissä suositeltiin tarkastamaan myös muiden Googlen palvelujen asetukset (Kalenteri, Google Drive jne). Näistä tulee varmistaa, että jaot ovat oikein tai että jakoja ei myöskään todellisuudessa ole, mikäli et ole halunnut niitä. (Esimerkiksi kalenterissa: settings -> Calendars  ja varmista, että kalenterisi jaot ovat oikein.)
Näin SSO aikana kannattaa myös muistaa, että jos olet antanut jollekin sivustolla tai sovellukselle luvan käsitellä tiliäsi, niin myös näiden sovellusten tai palvelujen tietoturvasta tulisi huolehtia. Voimassa olevat valtuutukset voi tarkastaa seuraavasti: Tilin asetukset -> Tietoturva -> Valtuutuksen antaminen sovelluksille ja sivustoille.
Vastaavia periaatteita pystyy soveltamaan myös muiden web-palvelujen turvaamisessa.  Lisäksi mikään edellä mainituista ei ollut mitään rakettitiedettä. (Kuten ei myöskään se, että  ei käytä samaa salasanaa kaikissa palveluissa. J

Terveisin
Antti

[1] http://blog.kaspersky.com/4-ways-to-secure-your-gmail-account/

Ei kommentteja:

Lähetä kommentti