tiistai 16. helmikuuta 2016

Tietokilpailuhuijaus (K-Kauppa ja Lidl)

Media on tänään varoittanut Zaran valesivusta Facebookissa, mutta käynnissä on muitakin huijauksia. Sähköpostilla tuleva mainos houkuttelee osallistumaan kilpailuun 750 euron lahjakortista. Uskottavuutta lisäävät K-kaupan ja Lidlin logot (vähän tietenkin epäilyttää, kun sama mainos tulee peräkkäin kummankin kauppaketjun nimissä!).

750 euron lahjakortti houkuttelee Lidlin nimellä ja logolla.
Kokeillaanpa, mistä tässä on kyse.

Jatka-linkki vie supermarket.fi-kuponki.com -sivustolle, jossa kysytään näön vuoksi pari yleistä kysymystä:

Alkuun pari taustoittavaa kysymystä. 
Huomaa, että kieli on virheetöntä suomea (myöhemmissä teksteissä on kylläkin konekäännökselle tyypillisiä virheitä).

Vain kolme korttia jäljellä, nyt on kiire!
Huijaukset pyrkivät usein kiirehtimään päätöksentekoa, niin tämäkin. Vain kolme korttia on jäljellä ja aikaa enää 49 sekuntia. Haetaan siis lahjakortti.

Nimi ja puhelinnumero
Puhelinnumerokenttä on rajoitettu niin lyhyeksi, ettei siihen mahdu edes kansainvälistä numeroa. Luultavasti koko kenttä on ihan turha.

Sitten pitää soittaa maksulliseen numeroon. Huomaa, että samalla huijaus siirtyy osoitteeseen play.quiz-fun.com.my eli Malesiaan. Paha merkki.

Monella soitto tyssää tähän.
Ensimmäinen liittymäni kielsi soittamasta tähän numeroon, koska siinä on viihde-esto. Toisessa liittymässä estoa ei ollut, joten sain selkeää suomea puhuvalta automaatilta nelinumeroisen pin-koodin.

Ja sitten kilpailu alkaa:

Onpas helppoja kysymyksiä!
Virheetön suomenkielinen naisääni lukee kysymykset ja niihin vastataan puhelimen numeronäppäimistöltä. Oikean vastauksen jälkeen ääni onnittelee ja muistuttaa "Olet lähempänä voittoa!"

Lisää helppoja kysymyksiä.
Mutta kuinka lähellä? Pieni teksti näytön alareunassa kertoo, mistä on kyse. Puhelu maksaa 2,04 euroa minuutti ja kilpailu voi kestää enintään 30 minuuttia. Kysymyksiä piisaa loputtomasti, niiden tarkoituksena on vain kuluttaa aikaa ja lisätä puhelinlaskua. Kilpailujärjestäjän yhteystiedot ovat Malesiaan.

24. kysymys
Itse lopetin 25 kysymyksen jälkeen, kun olin rikastuttanut huijareita 10 minuutin ajan eli 20 eurolla. Vihreä palkki ei muuten nouse tasaisesti, vaan välillä se myös laskee.

Ohjeen mukaan jokaisesta oikeasta vastauksesta saa 100 pistettä, jotka lisäävät voiton todennäköisyyttä. Vaikka roikkuisi mukana täydet 30 minuuttia ja lahjoittaisi niin tehdessään malesialaiselle huijarille 60 euroa, pääsee ilmeisesti vain osallistumaan kolmen kortin arvontaan.

Ei siis kannata lähteä lainkaan mukaan.

Tosin jos joku on uteliaisuuttaan käynyt koko prosessin loppuun, olisi hauska kuulla lopputuloksesta. Varoittavaksi esimerkiksi riitti jo tämä katsaus. Huvittavaa sinänsä, että yhtiö varaa itselleen oikeuden tulkita vastaukset eikä ota vastuuta niissä olevista virheistä. Tässä pelissä voi siis vain hävitä.

Kun katkaisee puhelimen, tulee vielä loppunäyttö - ilmeisesti sama kuin jos olisi suorittanut koko rumban:

Pelataanko uudelleen? NO!
Lisäys: huijauksesta on myös Skoda Octavia -versio:

Voita Skoda Octavia - tuskinpa vain!
Kotisivun www.quiz-fun.com.my mukaan malesialaisella Quizfun -yhtiöllä näyttää olevan kilpailuja muissakin maissa:

Australia, Belgia, Suomi, Hollanti, Puola, Singapore, Britannia
Maaajoukko on hieman outo poppoo: Australian ja Singaporen lisäksi maakohtaiset sivut löytyvät Hollannista, Puolasta, Hollannista, Belgiasta -- ja Suomesta.

Suomen sivu

Sivuilla annetaan yhteystiedoiksi sähköposti sekä suomalainen puhelinnumero 09 7479 0382. Lisäksi sivuilta löytyy käyttöehdot ja jopa henkilötietolain mukainen rekisteriseloste.

Kävellen kymppikerhoon

Kävely on helppoa hyötyliikuntaa ja siten tarpeellista meille kaikille, jotka istumme valtaosan työpäivästä tietokoneen ääressä. Olen havainnut aktiivisuusrannekkeen mainioksi motivaattoriksi ja testannut niitä useampia, mm. Fitbitin Surgen ja TomTom Sparkin. Välttämättä ei tarvita edes erillistä laitetta, sillä perusohjelman saa toimimaan pelkässä älypuhelimessa.

Päivittäin pitäisi kävellä vähintään 10 000 askelta, jotta pääsee kymppikerhoon. Kesällä tavoitteen saavuttaminen on helppoa, mutta näin talvella ja erityisesti loskan keskellä vaaditaan pientä kikkailua. Ostoskeskuksen parkkihallissa jätän auton yleensä kauaksi sisäänkäynnistä, jolloin pääsen kävelemään mahdollisimman pitkään sisätiloissa. Jos tavoitteesta uupuu paljon, kävelen myös ostoskeskuksen sisällä ja vaikka kerroksia ympäri.

Kumma kyllä, useimmat muut toimivat juuri päinvastoin. He haluavat autonsa mahdollisimman lähelle sisäänkäyntiä, kilpailevat vapautuvista paikoista hampaat irvessä ja antavat autonsa käydä tyhjäkäynnillä sisätiloissa, vaikka vähän kauempana hallissa olisi runsaasti tilaa.

Miksi jonottaa lähelle ovea kun voi kävellä?
Jonotuksen ymmärtäisi, jos mukana olisi lapsia tai painavia ostoksia, mutta yleensä asiakkaat ovat tavallisia aikuisia ja ostoskärry auttaisi kantamisessa.

Tilaisuuksia kävelyyn on kaikkialla. Esimerkiksi vaihtaessani junaa Pasilassa kävelen toisen kerroksen käytävällä. Jokainen kierros on noin 160 askelta, joten kymmenen kierrosta lisää saldoa jo 1600 askeleella. Aikakin kuluu mukavammin kuin kovalla penkillä istuen. Lentokentän pyöreän parkkihallin ulkokehän sisäreuna on 320 askelta. Siinäkin on hyvä pyörähtää muutama kierros pitkän lennon jälkeen, jos tavoitteesta puuttuu askelia.

Toimistopäivinä tavoite voi mennä niin tiukoille, että viimeiset sadat askeleet pitää ottaa olohuonetta ympäri kiertäen. Kuulin, että joku muukin tekee samoin : -) "Sitä saat, mitä mittaat" -periaate pitää paikkansa. Jos mittaat askelia, saat askelia. Ja fiksuimmat askelmittarit seuraavat myös nukkumista, sykettä, porrasten nousua ym.

Joka päivä voi olla porraspäivä.
Portaita voi käydä nousemassa vaikka kerran tunnissa, vaikka todellista tarvetta ei olisikaan. Liian pitkä istuminen paikoillaan on haitallista, eikä edes raskas liikunta riitä korvaamaan pitkiä istumajaksoja. Säännöllisesti toistuva huomaamaton liikunta on parasta.

Näillä eväillä olen pysynyt kymppikerhossa talven pakkasista ja loskakeleistä huolimatta.

Kuluva päivä 16.2. on jo voiton puolella sekin (6300 askelta ja 48 kerrosta)
Syksyllä askelmäärät pysyvät korkeina luonnostaan:

Kaunis syksy ja raikas ilma houkuttelevat kävelemään vaikka työmatkoja
Ja kun data on kerran kerätty, sitä voi hyödyntää monella tavalla, esimerkiksi lataamalla se Exceliin omia analyysejä varten.

Vielä yksi vinkki: Fitbitin rannekkeet tuntuvat olevan muita armeliaampia - ne laskevat askeleiksi sellaisetkin liikkeet, joita muut eivät huomioi. Fitbitillä kymppikerhoon pääsy saattaa olla muita helpompaa, mikä välttämättä ole hyvä asia. Askelmittaus on aina suhteellista eikä absoluuttista, sillä askeleella ei ole virallista määritelmää.

Laiskat britit ajavat välttääkseen 20 minuutin kävelyn (Daily Mail 2.5.2016).

maanantai 15. helmikuuta 2016

Korvavalon teho edelleen kiistanalainen

Valkee Oy:n korvavalokuuloke on ollut markkinoilla jo useita vuosia, mutta vieläkään sen todellisista hyödyistä ei ole aukotonta näyttöä. Yhtiön lupaukset kaamosmasennuksen ja aikaerorasituksen helpottamisesta herättävät epäilyjä. Skepsis nimesi jo vuonna 2012 korvavalon huuhaaksi, mutta siitä huolimatta yritys on saanut julkista rahoitusta.

Koska kyse on aivan uudenlaisesta laitteesta, luulisi yhtiöllä olevan suuri tarve osoittaa sen teho käytännön kokeilla. Yhtiön omalla sivulla on kuitenkin vain muutamia tiedotteita: viime vuodelta yksi ja edelliseltä kaksi.

Lokakuussa 2014 julkaistu tutkimus kertoo tiivistelmässä näin: "No intensity-based dose-response relationships in the improvement of anxiety and depressive symptoms or cognitive performance between treatment groups were observed."

Eli annostuksen määrä ei vaikuttanut saatuihin tuloksiin. Suomalaiset tutkijat selittävät tätä mahdollisella kyllästymispisteellä: "The lack of dose response may be due to a saturation effect above a certain light intensity threshold. Further studies on the effects of transcranial bright light with an adequate placebo condition are needed."

Kyllästymispiste olisi uskottavampi, jos vaikutus kasvaisi alussa annostuksen myötä ja vakiintuisi sitten tietylle tasolle, mutta näin ei ole käynyt. Mieleen tulee paljon yksinkertaisempi selitys: valo vaikuttaa vain placebo-efektinä. Kun koehenkilö tietää saavansa valoa korvaan, hänen reagointinsa muuttuu. Valon määrällä ei ole merkitystä edes sen vertaa, onko sitä vai ei.

Ilmeisesti Valkee ei ole vieläkään suorittanut todellista ja uskottavaa placebo-koetta, vaikka marraskuun 2013 tiedotteen otsikko siihen viittaakin: Placebo-Controlled Valkee Study Shows Efficacy in treating Anxiety Symptoms. Aikaa tutkimuksiin olisi kyllä ollut. Luulisi myös rahoittajien vaativan niitä.

Äskettäin norjalaiset totesivat Valkeen tehottomaksi omassa tutkimuksessaan ja kotimainen Roskatiede tarjoaa tutkimukseen omat kommenttinsa.

Helsingin Sanomien yleisönosastolla kaksi professoria ja yksi dosentti kirjoittivat suorat sanat korvavalosta heinäkuussa 2014: Valkee-korvavalojen toiminnalle ei ole mitään fysikaalisia perusteita, kuten viime vuonna kansainvälisessä vertaisarvioidussa tiedelehdessä Chronobiology Internationalissa julkaistu sveitsiläisten puolueettomien tutkijoiden artikkelikin osoittaa (B­romundt et al. 2013).

TV-uutinen USA:ssa katteettomista terveyslupauksista.
Olin tammikuussa Yhdysvalloissa, kun näin tv-uutisissa jutun harhaanjohtavasti mainostetusta aivoja kehittävästä Lumosityn ohjelmasta. Uutinen löytyy myös FTC:n nettisivulta. Sen mukaan yhtiölle on langetettu kahden miljoonan dollarin sakot valheellisesta markkinoinnista:

“Lumosity preyed on consumers’ fears about age-related cognitive decline, suggesting their games could stave off memory loss, dementia, and even Alzheimer’s disease,” said Jessica Rich, Director of the FTC’s Bureau of Consumer Protection. “But Lumosity simply did not have the science to back up its ads.”

Eikö Suomessakin pitäisi vaatia tieteellistä näyttöä mainosten tueksi?

tiistai 9. helmikuuta 2016

Onecoin: yksi vuosi myöhemmin

Tänään tulee kuluneeksi tasan vuosi siitä, kun ensimmäistä kertaa kirjoitin blogiini Onecoinista. Kaikki ensimmäisen kirjoituksen johtopäätökset ovat yhä voimassa, eikä vuoden aikana mikään ole vahvistanut uskoa tähän mullistavaan kryptovaluuttaan.

Olen yllättynyt vain siitä, että huijaus on yhä pystyssä, eikä pyramidi ole romahtanut. Kymmeneen Onecoin-kirjoitukseeni on tullut yhteensä 1839 kommenttia (pahimmat asiattomuudet olen poistanut), joista valtaosa on ollut nimettömiä hehkutuksia valuutan puolesta. Yleisin argumentti on ollut vahva usko tulevaisuuteen: odotetaan rauhassa ja katsotaan, miten tässä käy.

Vuoden aikana kukaan ei ole nähnyt yhtään Onecoinia eikä tehnyt sillä yhtään ostosta. Paljon muuta on kyllä tapahtunut:
  • Onecoinin "koulutusmateriaali" on paljastunut kirjoista plagioiduksi.
  • Onecoinin käyttäjäsopimus on kopioitu amerikkalaisesta deittipalvelusta.
  • Suomeen luvattua koulutuskeskusta ei ole avattu.
  • Tiedotteessa mainittu pankin osto hävisi ilman selityksiä.
  • Sabway.biz, josta Onecoinin web-sivun leiska ja kuvat on ilmeisesti kopioitu, on yhä olemassa.
  • Vuosi sitten luvattiin Ernst & Young -tasoinen kovan luokan nimi auditoimaan kolikkoja. Saatiin Semper-Fortisin bulgarialainen yhteistyökumppani, joka hävisi kesän aikana vähin äänin verkosta.
  • Onecoinin päämarkkina-alue on Aasia, missä herkkäuskoisia riittää ja missä finanssipalveluiden lainsäädäntö ei ole turhan tarkkaa.
  • Yksikään ulkopuolinen taho ei edelleenkään noteeraa Onecoinille arvoa.
  • Onecoinin louhintatokenien arvo on "splitattu" useampaan kertaan, jolloin jäsenten varallisuus tuplaantuu. Tässä ei ole mitään järkeä eikä mitään logiikkaa. Splittaus on osaketermi, jossa osakkeiden määrä (yleensä) kaksinkertaistetaan samalla kun niiden arvo puolitetaan. Kokonaisvarallisuus ei siis muutu. Splittaus ei liity mitenkään kryptovaluuttoihin eikä sille ole mitään järjellistä selitystä - paitsi saada ihmiset haalimaan ahneuksissaan lisää tokeneita.
Yhtiön oma selitys splitille on tämä: Tehdäkseen prosessin tuottoisammaksi meille jäsenille, yritys esittelee splitit! Kun tokenien hinta nousee, yritys SPLITTAA ne – ja tuplaa tokenien lukumäärän tililläsi – välttääkseen liian nopean hinnannousun tokeneille ja kolikoille. Splitin tarkoituksena on siis vain nopeuttaa verkoston (virtuaalista) rikastumista, mitään todellista perustetta sille ei ole.

Mikään näistä ei ole lannistanut verkoston uskoa helppoon rikastumiseen. Anonyymit jäsenet pitävät varoituksia loukkaavina ja suorastaan vaativat saada ottaa riskiä huijatuksi tulemisesta. He ovat huijauksensa ansainneet.

Ainoa näkyvä todiste virtuaalisesta rikastumisesta on yhtiön itsensä ylläpitämä, säälittävän huonosti feikattu sivu, jossa Onecoinin arvo nousee lähes joka päivä hieman. Huomaa, että sivun (ilmeisesti kopioidussa) kuvassa mainitaan vain Bitcoin.

Onecoinin "arvo" nyt 5,24 euroa/kpl.
Nousu on ollut huimaa, sillä viime keväänä louhinnan alkaessa lähtöarvo oli 0,50 euroa/kpl. Kukaan ei vain osaa selittää, mistä arvonnousu tulee, sillä rahaa ei voi ostaa eikä myydä, eikä todellista pörssiä ole.

Liioin kukaan ei osaa selittää, miksi Onecoin-rahoja syntyy joka vuorokausi 1 440 000 kappaletta, vaikka louhinnan pitäisi vaikeutua koko ajan ("palapeli, jonka ratkaiseminen käy yhä vaikeammaksi"). Koska kolikkoja syntyy 2,1 miljardia, rahavarannon arvo on nykyisellään runsaat 10 miljardia euroa. Ruja Ignatova on spekuloinut arvon vielä kymmenkertaistuvan. 

Jos tämä kaikki olisi totta, jokin oikea talouslehti olisi jo ajat sitten kiinnostunut Onecoinista ja nerokkaasta bisnesnaisesta, jolla on omien puheidensa mukaan pitkä kokemus Bitcoinista. Silti hän väitti videolla, että Bitcoin kehitettiin ennen WTC-terrori-iskuja, mikä osoittaa täydellistä tietämättömyyttä.

Jännitys tiivistyy. Onecoin-väki on luvannut, että kauppapaikat aukeavat, kun kolikoista 30 % on louhittu ja valuutta avautuu vapaaseen kaupankäyntiin 50 % rajan jälkeen. Taaksepäin katsoen 20 % raja rikkoutui 16.11.2015 ja 25 % 28.1.2016, joten 73 päivää myöhemmin eli 10.4.2016 näemme, toteutuuko Onecoinin lupaus kauppapaikoista. Samalla laskemisella 50 % raja saavutetaan 27.1.2017. Viimeistään siis vuoden päästä tiedämme, tekikö Onecoin verkkonsa jäsenistä rikkaita.

Lisäys 10.2.2016 Näitä varoituksia on esitetty niin paljon, etten halua yhdenkään verkoston jäsenen myöhemmin väittävän toimineensa hyvässä uskossa ja tulleensa itse huijatuksi. Jokainen, joka osallistuu tähän peliin tietää kyllä, mistä on kyse, ja toiminnan jatkaminen on tietoinen valinta.

(Muokattu 7.3.2016)

torstai 4. helmikuuta 2016

Tullin pääjohtajan outo sähköpostisotku

Yhdysvalloissa Hillary Clinton on ollut vaikeuksissa käytettyään omaa sähköpostipalvelintaan virka-asioiden hoitoon. Suomessa kohut ovat pienempiä, mutta vielä oudompia. Helsingin Sanomien mukaan Tullin pääjohtaja Antti Hartikainen olisi epäiltynä viestintäsalaisuuden loukkaamisesta ja virkavelvollisuuden rikkomisesta.

Outo sotku vahingossa lähetetystä sähköpostista.
Lehden tietojen mukaan Hartikainen olisi lähettänyt vahingossa viestin, jossa ei ollut mitään arkaluonteista, alaiselleen, joka on Tullissa "merkittävässä asemassa". Hartikainen oli pyytänyt vahingossa viestin saanutta tuhoamaan viestin, mutta saanut myöhemmin "tavalla tai toisella" selville, että alainen oli vastoin hänen pyyntöään välittänyt viestin eteenpäin.

Alainen oli tehnyt rikosilmoituksen koska uskoi, että pääjohtaja sai tiedon viestin eteenpäin välittämisestä laittomasti. Edelleen lehden tietojen mukaan poliisi on aloittanut esitutkinnan, joten rikosilmoituksen tueksi on olemassa jotain näyttöä.

Jokin tässä nyt klikkaa. Tietoyhteiskuntakaari (tämä kohta entinen sähköisen viestinnän tietosuojalaki) suojelee vahingossa lähetettyjä viestejä. Pykälässä 136 sanotaan näin:

Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä, radioviestinnästä tai välitystiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Tämän perusteella alainen, joka tiesi saaneensa viestin vahingossa, mutta välitti sen silti eteenpäin, syyllistyi itse lainvastaiseen tekoon. Kuitenkaan uutinen ei kirjoita mitään siitä, että häntä epäiltäisiin. Pääjohtajan toimintaan on mahdotonta ottaa kantaa, koska uutinen ei paljasta millä tavalla viestintäsalaisuuden loukkaaminen olisi tapahtunut.

Tämä on kuitenkin hyvä muistaa: jos saat sähköpostin, tekstiviestin tai muun vastaavan, joka ei selvästikään ole tarkoitettu sinulle, sinulla on velvollisuus unohtaa koko asia. Ainakaan viestissä olevaa tietoa ei saa levittää eteenpäin eikä käyttää edes omaksi hyödyksi. Velvollisuutta lähettäjän informointiin ei ole, mutta se on toki kohteliasta.

Jos lähettäjä on tehnyt yleisen mokan ja klikannut osoitekirjasta väärää nimeä, viesti tulee omalla nimellä, jolloin vahingon voi huomata vain asiayhteydestä ja viestin sisällöstä. Se ei kuitenkaan muuta pykälän merkitystä. Ja uutisen mukaan vastaanottajan erehdyksestä ei voinut olla kyse, koska lähettäjä huomautti asiasta.

Uutisointi on selvästikin puutteellista emmekä tiedä tapauksen taustoja. Toivottavasti ne kerrotaan julkisuuteen myöhemmin, jotta voimme kaikki oppia tästä esimerkistä jotain.

Lisäys 6.2.2016: Päivän Hesarin mukaan "Tullin pääjohtajan Antti Hartikaisen rikosepäily on aiheeton". Näyttöä sähköpostin tunnistetietojen hankkimisesta teknisin keinoin ei ole. Ilmeisesti tieto asiasta on kulkenut henkilöltä toiselle, ja sitä laki ei kiellä.

Tästä huolimatta valtiovarainministeriö kutsui perjantaina Hartikaisen kuultavaksi mahdollista virantoimituksesta pidättämistä varten ja poliisi teki kotietsinnän pääjohtajan työtiloihin Tullissa. Kuulostaa aika hurjalta näin lievässä rikosepäilyssä.

Eikä sanaakaan varsinaisesta laittomasta teosta: vahingossa saadun viestin välittämisestä lainvastaisesti eteenpäin.

Tuntuu kovin kummalliselta.

Lisäys 16.2.2016: Iltalehden uutisen mukaan myös ko. alaisesta on tehty tutkintapyyntö.

Lisäys 22.4.2016: Pääjohtajan tutkinta päättyi näytön puutteeseen, alaisen tutkinta teon vähäisyyteen. Syytteitä ei nosteta. Ilmeisesti 136. pykälän rikkominen katsotaan vähäiseksi teoksi. 

keskiviikko 3. helmikuuta 2016

Salasanojen hyvät, pahat ja rumat

Päivän Hesari ohjeistaa alati ajankohtaisessa asiassa: hyvin salasanojen valinnassa ja muistamisessa (Näin selätät salasanakaaoksen, 3.2.2016). Kirjoituksessa on toimittajan laatima fakta-laatikko, joka on hieman epätarkka.

Laatikon mukaan "salasana ei saa sisältää omaa nimeäsi, perheenjäsenten tai lemmikkien nimiä... siinä ei saa olla syntymäaikaasi tai oikeita sanoja". Tässä on varmaan tapahtunut pieni väärinkäsitys. Salasana saa kyllä sisältää näitä, mutta ei olla mikään näistä.

Huono salasana on "ABC-123", mikäli kyse on oman auton rekisteristä. Hyvä salasana olisi "AutoniOnABC-123". Vastaavasti lemmikin nimi "Musti" ei ole hyvä salasana, mutta "Koira:Musti" on jo erinomainen.

Erittäin hyviä salasanoja syntyy laittamalla useita suomen kielen sanoja peräkkäin, koska pituus vaikeuttaa brute-force-murtoa. "minullaonmelkeinainamattikukkarossa" on oikein hyvä salasana, vaikka siinä on suomen kielen sanoja ja ainoastaan pienaakkosia.

Jutun asiantuntijat suosittelevat salasanamanagerien käyttöä. Niissä on etunsa ja haittansa, kuten kaikissa muissakin tavoissa. Ajatus omista salasanoista jossain pilvessä, salattuna jollain algoritmilla ja suojattuna jälleen yhdellä uudella muistettavalla salasanalla sisältää riskejä. Lisäksi lähes kaikki mobiililaitteissa toimivat salasanamanagerit maksavat, poikkeuksiakin toki löytyy.

Liian pitkä salasana, auts! (maksimi vain 14 merkkiä)
Hyvä salasanakäytäntö koostuu useista osista, jotka liitetään peräkkäin. Tällöin törmätään kuitenkin ikävään rajoitukseen: monissa palveluissa salasanan pituus on rajoitettu, joskus yllättävän pieneen merkkimäärään. Lisäksi palveluissa on erilaisia vaatimuksia: yksi hyväksyy ääkköset, toinen vaatii isoja ja pieniä kirjaimia, kolmas lisäksi erikoismerkkejä.

Alla olevassa taulukossa on koottuna suosittujen nettipalveluiden salasanavaatimuksia ja toisaalta myös rajoituksia. X tarkoittaa "pitää olla", X* tarkoittaa "pitää olla jokin näistä ryhmistä" ja - tarkoittaa "ei saa olla".

Yleisten nettipalveluiden salasanavaatimuksia.
Kirjava taulukko osoittaa, miten vaikeaa on löytää yhtenäinen, eri palveluihin kelpaava käytäntö.

Netflix ja Spotify ovat kaikkein sallivimpia. Niihin kelpaa millainen salasana tahansa, ainoa vaatimus on neljän merkin minimipituus. Ylärajaa ei ole. Toisaalta Samsungin web-palvelu rajoittaa pituuden jo 15 merkkiin, Paypal 20:een ja AppleID sekä Yahoo 32 merkkiin.

Paypalin vaatimukset.
Paypal vaatii isoja ja pieniä kirjaimia sekä erikoismerkkejä, samoin Samsung. Microsoft ID vaatii näistä jotain, pelkät pienaakkoset eivät riitä. Apple vaatii pienten lisäksi isoja kirjaimia tai numeroita.

Yllättäen myös Dropbox-pilvipalvelu hyväksyy minkä tahansa vähintään 6-merkkisen salasanan, vaikka siinä olisi pelkkiä pienaakkosia. Niin tekee myös Twitter. Näissä käyttäjän on itse varmistettava, ettei tyydy minimiin.

Hesari tiukensi viime vuoden lokakuussa salasanavaatimuksia. Ihan mikä tahansa ei enää kelpaa, vaan pitää olla vähintään kuusi merkkiä näillä lisämausteilla:

Hesari vaatii vähintään kuusi merkkiä.
Hieman kummastuttaa, miksi verkkolehti haluaa näin vahvaa salasanaa.

Salasanojen ääkköset lisäävät tietoturvaa, mutta aiheuttavat käytännön ongelmia ulkomailla liikuttaessa. Lisäksi ne tuottavat muita yllätyksiä: esimerkiksi Gmail ei huoli niitä lainkaan, ei liioin Microsoft tai Apple.

Google ja Gmail eivät hyväksy ääkkösiä salasanaan. Pituutta ei kuitenkaan ole rajoitettu.
Myös uusi Yle-tunnus sekoilee, jos sille tarjoaa ääkkösiä ja välilyöntejä. Yritin valita salasanaksi "Tämä on pitkä salasana", jolloin tuloksena oli virheilmoitus:

Muka liian lyhyt salasana?
Ällistyttävin kohtalo ääkkösillä oli kuitenkin 23andMe.com-geenipalvelussa: yritys rekisteröityä tällaisella salasanalla kaatoi koko palvelun!

Ääkkösten käyttö salasanassa kaatoi koko palvelun.
Salasanat ovat tärkeitä, mutta paraskaan salasana ei takaa turvallisuutta. Salasana voidaan urkkia olan yli tai kaapata näppäimistöltä, oli se kuinka pitkä ja mutkikas tahansa. Ainoa turvallinen todennustapa on salasanan ja matkapuhelimen yhdistelmä eli kaksivaiheinen todennus (two factor authentication).

Siinä käyttäjä todennetaan salasanan lisäksi koodilla, jonka palvelu lähettää tekstiviestinä. Varjopuolena on, että puhelinnumero täytyy ilmoittaa palveluun ja koska viestit maksavat, vain suurilla ilmaispalveluilla on mahdollisuus niiden käyttöön. Tätä kuvaa taulukossa sarake "2-vaiheinen".

Jos kaksivaiheinen todennus on käytettävissä, se kannattaa ilman muuta kytkeä päälle. Sen jälkeen salasanamurheet kevenevät merkittävästi, ainakin kyseisissä palveluissa.