Kun kaikki menee mönkään - case: salasanauudistus
Julkaistu 15.3.2024 Muokattu 3.5.2024
Meillä oli ongelma: oppilaiden salasanojen minimipituus oli 8 merkkiä, minkä murtamiseen menee nykyteknologialla noin 2 minuuttia.
Sovimme perusopetuksen digitiimissä, että ongelma ratkaistaan yksinkertaisella keinolla: myös oppilaiden salasanan pituus nostetaan 15 merkkiin, koska kaksivaiheista tunnistautumista ei ole mahdollista ottaa käyttöön. Ratkaisu lisäisi kyberturvallisuutta merkittävästi, koska uusien vaatimusten mukainen salasana vaatisi murtamiseen aikaa 77miljoonaa vuotta. Ajat perustuvat Hive Systemsin tietoihin: taulukko (aukeaa uuteen ikkunaan).
Valmistelimme salasanavideon (aukeaa uuteen ikkunaan), jonka käyttöön ohjeistimme opettajat ja videon avulla uusi salasana saatiin tehtyä vaatimukset täyttävästi ja niin, että se on kuitenkin pienillekin oppilaille helppo muistaa. Välitimme videon opettajille ohjeiden kera ja kerroimme salasanauudistuksessa hyvissä ajoin. Ilmoitimme päivän jolloin salasananvaihto tapahtuisi pakotetusti ja oppilaiden tietoturva saataisiin nostettua nykypäivän vaatimalle tasolle. Tähän asti kaikki näytti hyvältä, mutta sen jälkeen alkoivatkin tekniset ongelmat.
Saimme jonkin verran kyselyjä syistä, aikataulusta jne. mutta opettajat hyväksyivät muutoksen ja jäivät odottamaan pakotettua salasananvaihtoa. Teknisesti uudistuksen testaaminen ei ollut mahdollista etukäteen, koska muutos tapahtui koko joukolle kerralla - eli vaihtoehdot olivat käytännössä joko "päällä" tai "poissa päältä". Pienemmällä ryhmällä ei voinut testata toimiiko uudistus, kuten normaalisti toimitaan, vaan muutos oli tehtävä kerralla. Kun tuo päivä vihdoin koitti, niin mitään ei tapahtunutkaan... Järjestelmä ei vaatinut oppilaita vaihtamaan salasanojaan, eikä minkäänlaisia virheilmoituksia tullut, vaikka salasana ei täyttänyt sille asetettuja vaatimuksia.
Ymmärrettävästi opettajat olivat hämmentyneitä, vihaisia tai ihmeissään. Lähdimme etsimään syypäätä ongelmaan ja toisaalta pyrimme viestimään opettajille missä mennään. Jostain syystä tätä selvitystyötä tehdessä kaupungilla vastaan tuli hirveä määrä opettajia ja jokainen naureskeli salasanauudistuksellemme. Yksi digareistamme tiivisti uudistuksen onnistumisen pölyn laskeuduttua Signal-ryhmässä mallikkaasti:
"Eli siis tämän hemmetinmoisen hulabaloon jälkeen oppilailla ei muutu mikään muu kuin että salasana vanhenee 365pv välein?"
Teknistä puolta viilataan eteenpäin ja toivottavasti seuraava vaihto sujuu hieman vähemmillä kolhuilla!
Mutta ei niin pahaa, ettei jotain hyvääkin! Tämä homma meni meidän osaltamme pahasti vihkoon, mutta todennäköisesti mistään muutoksesta emme ole saaneet niin paljon positiivista palautetta: videosta on tullut valtava määrä kiitosta ja kehuja, minkä lisäksi kriisiviestintämme (jossa nostimme rehdisti käden pystyyn virheen merkiksi ja otimme itseironisen otteen omaan osaamiseemme) onnistui ilmeisesti ainakin kohtuullisesti, kun opettajat jaksoivat naureskella kohdatessa! Kuitenkin se tärkein onnistuminen tässä oli se, että salasanaturvallisuus nousi opettajien ja oppilaiden puheisiin ihan uudella tavalla ja keskustelu sekä omien toimien pohdinta jos mikä lisää kyberturvallisuutta!