Nykypäivänä erittäin suositeltavaa aktivoida aina monimenetelmäinen tunnistautuminen, jos palvelu suinkin sellaista tarjoaa. Estää tilien kaappauksen tietomurtojen seurauksena, ellei sitten ole niin totaalinen murto, että päästään muuttamaan tiliasetuksia tai muutoin ohittamaan lisävahvistukset. Itseltäni on kaapattu vuosia sitten Googlen ja Steam tilit samaan aikaan, ja tuolloin oli Gmailiin lisätty suodatin, joka poisti kaikki Steam-kuitit, eli pyrittiin hävittämään tilin omistajuuden todisteet. Googlen puoli sai muuten olla rauhassa, eikä edes salasanaa ollut muutettu. Steam-tilin salasana ja palautustiedot oli vaihdettu ja olisin menettänyt tilin pysyvästi, ellei olisi hyllyssä ollut tilille rekisteröityjä fyysisä pelikoteloita lisenssikoodeineen tallessa (nämä kelpasivat Steamin aspalle todisteeksi). Arvoa oli tilillä jo tuolloin (varmaan lähemmäs 15 vuotta sitten) pitkälle toista tuhatta euroa ilman mahdollisia alennusostoja. Tässä oli taustalla todennäköisesti samoihin aikoihin tapahtunut Adoben tietomurto, jossa vuosi tunnukset ja salasanat, ja tuolloin kun oli samat salasanat joka paikassa, eikä monivaiheista todennusta vielä ollut edes saatavilla juuri missään (jos missään).
Myöhemmin vasta muutama vuosi takaperin koin yllärin, kun pitkästä aikaa kirjauduin Rockstar Gamesin tilille ja olin näemmä pelannut GTA V:n kokonaan läpi saavutuksineen kaikkineen (enkä ollut peliä itse edes vielä avannut vaikka ostosta oli kulunut kuukausia). Tästä erikoisen tekee se, että tähän aikaan oli jo joka paikassa generoidut salasanat, eli tätä ei arvaamalla ole murrettu, eikä sama salasana ollut enää ollut eri paikoissa käytössä. Rockstar ei myöskään tarjonnut tuohon aikaan mitään lisävahvistuksia, ei edes sähköpostia. Onnekseni sain resetoitua tilin salasanan sähköpostitse, johon syynä luultavasti se, että olin linkittänyt sinne ulkoisia tilejä (ainakin Google-tili) ja näitä ei ollut käyttäjä huomannut poistaa ja näiden liitosten purku taisi vaatia muutakin kuin napin painalluksen. Rockstarin aspa voivotteli, eikä ottanut mitään kantaa, eikä suostunut edes resetoimaan GTA:n tilastoja. Mystisesti foorumeilta löytyi useita vastaavia kommentteja ja hyvin pian tämän jälkeen tännekin tuli TOTP-vahvistus optioksi. Mitään murtoja ei kuitenkaan virallisesti raportoitu.
Pelkkä salasanasuojaus, itse keksityt varsinkin, on äärimmäisen helppo murtaa nykykoneilla, joissa laskentateho piisaa tällaiseen vaikka kuinka ja paljon,. Jos palvelu ei tarjoa mitään brute force -tarkistuksia ja/lisävahvistuksia, on sellaiset tilit aika vapaata riistaa, jos vaan kohdalle sattuu osumaan. Nykyään omat salasanat on generoituja, 14-20 merkkiä, sisältää vähintään kaksi numeroa ja kaksi erikoismerkkiä, ja AINA on MFA käytössä, jos suinkin mahdollista ja lisäksi kaikki palautustavat aktivoitu ja olennaiset tiedot tileille täytetty.
Että ihan vaan semmonen yleisohje. Käyttäkää salasanaholveja ja suojatkaa ne kunnon salasanoilla, jotka muistatte, ja käyttäkää lisävahvistuksia. Digitaalisten markkinapaikkojen tilit kun menettää, niin niitä ja ennen kaikkea niille rekisteröityä sisältöä ei takaisin saa, jollet pysty jollakin omistajuutta todistamaan. Ja ei, Suomen valtion myöntämä henkilökortti, passi tai ajokortti ei todellakaan kelpaa, kun ei niitä ole väestöreksiteriin liitetty. Muuamien tuttavien tilejä joutunut joskus availemaan, kun on salasana hukattu ja tämä on yleinen kommentti on, että eikö sen henkkarilla voi todistaa. Joskus aspahommissakin joutunut selittämään, että ei sillä sun henkkarillas ole mitään tekemistä sen sähköpostitilin kanssa (esim. puhelinkappoja tehtäessä kun asiakas halusi siirtää tietoja vanhasta puhelimesta uuteen, sai tästä luennoida melkein joka kerta, kun ei millään meinannut mennä jakeluun, että kaikki on vain ja ainoastaan sen sun hukkaaman paskan salasanan ja/tai niiden sun ilmottamien palautustietojen varassa). Eli jos ei salasanaa muista, niin kirjottakaa nyt ainakin edes se jumalauta paperille muistiin. Ja tallentakaa se teidän puhelinnumero sinne tilin palautustietoihin. Perkele.
Niin ja ihan turha mennä valittamaan firmoille, että ei kunnioiteta käyttäjätietoja tai rikkoo GDPR-säädöksiä yms., jos ei itsekään suojaa niitä kunnolla. Esim. se teidän Google-tili sisältää usein kasapäin muiden henkilökohtaisia tietoja, yhteystietoja, syntymäpäiviä ja työnimikkeitä, yms., valokuvista ja dokumenteista puhumattakaan. Ei siis ole vain kyse siitä oman navan suojaamisesta, vaan myös läheisten (ja muidenkin) tietojen suojaamisesta!
