Jussi Hattara
Millainen on hyvä salasana? 5 myyttiä ja 4 muistisääntöä
Yhtä kauan kuin salasanoja on käytetty, on myös ollut erilaisia käsityksiä siitä, mikä on hyvä ja turvallinen salasana. Pääsääntöisesti voidaan kuitenkin sanoa, että hyvä salasana on sellainen, joka on helppo muistaa, mutta vaikea arvata.
Kokosimme yhteen 5 vanhentunutta salasanamyyttiä ja 4 hyvää käytäntöä turvallisten salasanojen luomiseen ja hallintaan.
Myytti 1: “Turvallisessa salasanassa on paljon erilaisia merkkejä”
Varmaan yleisin myytti hyvästä salasanasta on, että jos siinä käytetään paljon erikoismerkkejä, isoja ja pieniä kirjaimia sekä numeroita.
Yleisimmin tunnettu tapa murtaa salasanoja on niin sanottu väsytyshyökkäys, jossa käydään järjestelmällisesti yrityksen ja erehdyksen kautta kaikki mahdolliset merkkijonoyhdistelmät. Nykyiset tietokoneet pystyvät alle sekunnissa käymään läpi kaikki mahdolliset kahdeksan merkkiä pitkät salasanat, riippumatta siinä käytetystä merkistöstä.
Salasana, jossa on vähän, mutta erilaisia merkkejä, on tietokoneelle helppo arvata ja ihmiselle vaikea muistaa.
Esimerkki: $a1A5!nA
Parempi: MinunPitkäSalasanaOnTurvallinen
Myytti 2: “Salasanan vaihtaminen usein parantaa turvallisuutta”
Monissa keskitetyissä tietojärjestelmissä käyttäjät pakotetaan vaihtamaan salasanojaan säännöllisin väliajoin. Tämä johtaa siihen, että käyttäjät unohtavat salasanansa ja alkavat kirjoittamaan niitä paperilapuille. Käyttäjät myös pyytävät säännöllisesti nollaamaan salasanojaan.
Kumpikin näistä toimintatavoista lisää riskiä, että salasana joutuu vääriin käsiin. Lisäksi käyttäjät kierrättävät salasanojaan eri järjestelmien välillä ja vaihtavat niitä niin vähän kuin mahdollista, mikä helpottaa salasanan arvaamista.
Myytti 3: “Yksi vahva salasana on parempi kuin tusina heikompaa”
Monet ihmiset käyttävät samoja tai samaa rakennetta noudattavia salasanoja useissa eri järjestelmissä. Tämä johtaa siihen että kun yhden järjestelmän salasanat vuotavat, kaikki samaa menetelmää käyttävät salasanat ovat helposti murrettavissa.
Esimerkki: MinunPitkäFacebookSalasanaOnTurvallinen, MinunPitkäTwitterSalasanaOnTurvallinen
Parempi: MinunPitkäFacebookSalasanaOnTurvallinen, TwitterissäKäytänToistaPitkääPääsykoodia
Myytti 4: “Suuryritykset huolehtivat tietoturvastaan paremmin”
Vaikka väite pitäisikin paikkaansa, kääntöpuolena on se, että suuryritykset joutuvat myös useampien murtoyritysten kohteeksi. Muutamat suurimmista käyttäjätunnuksia ja salasanoja vuotaneista tietomurroista (MySpace 2008, LinkedIn 2016, Adobe 2013, Dropbox 2012) ovat kohdistuneet suurimpiin tietojärjestelmiin.
Myytti 5: “Biometriset tunnisteet ratkaisevat kaikki ongelmat”
Nykyään yleistyvät biometriset tunnistautumismenetelmät (esimerkiksi sormenjälki tai kasvotunnistus) ovat houkuttelevia. Ne ovat käyttäjilleen helppoja ja suhteellisen vaikeita väärentää.
Tämä ei kuitenkaan ole täysin totta. Kaikissa biometrisissä tunnistautumisissa sormenjälki, retinakuva tai kasvojen muoto pelkistetään ykkösiksi ja nolliksi. Tällöin tunniste ei ole enää sen yksilöllisempi kuin käytetyn numerosarjan pituus osoittaa.
Ihmisen sormenjäljet ovat yksilölliset, mutta ne ovat myös muuttumattomat. Jos joku saa käsiin sormenjäljen ja pystyy kopioimaan sen, uuden sormenjäljen hankkiminen on äärimmäisen vaikeaa.
Mitä voin tehdä, jotta salasanani olisivat turvassa?
Kaikista näistä ongelmista huolimatta turvallisin tapa tunnistaa henkilön oikeus tietojärjestelmiin on käyttäjätunnuksen ja salasanan yhdistelmä vahvistettuna esimerkiksi kahdennetulla todennuksella. Silti on hyvä muistaa muutama tärkeä yksityiskohta.
Muistisääntö 1: Pitkä salasana on monimutkaista parempi
Salasanojen turvallisuutta mitataan yleisimmin entropialla. Salasanan entropia lisääntyy, kun sen pituutta tai siinä käytetyn merkistön laajuutta kasvatetaan. Entropian mittayksikkönä käytetään yleensä bittejä, eli kuinka monta nollaa ja ykköstä tarvittaisiin tallettamaan tietyn pituinen tiettyjä sääntöjä noudattava salasana.
Esimerkkejä:
Neljän numeron salasanan, kuten pankkikortin PIN-koodin, entropia on enimmillään 13 bittiä log2(104). Kahdeksan pienen kirjaimen salasanan entropia voi olla 38 bittiä log2(298).
Mikäli kahdeksan merkkiä pitkään salasanaan lisätään sallituiksi merkeiksi numerot, isot sekä pienet kirjaimet ja 24 erilaista erikoismerkkiä, entropia voi kasvaa 52 bittiin log2((10+29+29+24)8). Jos taas salasanassa olisi pelkästään kuusitoista pientä kirjainta, entropia voi olla jopa 77 bittiä log2(2916).
Muistisääntö 2: Hyvä salasana on ainutlaatuinen
Jokainen palvelu, jossa salasanaa – tai sen osaa – uusiokäytetään, vähentää salasanan arvaamisen vaikeutta. Mikäli käytät jokaisessa järjestelmässä omaa ainutlaatuista salasanaa, yhden järjestelmän salasanojen vuotaessa mikään muu käyttämäsi järjestelmä ei vaarannu.
Muistisääntö 3: Käytä kaksivaiheista tunnistautumista aina kun se on mahdollista
Kaksivaiheiset tunnistautumiset lisäävät salasanojen turvallisuutta. Tällaisia ovat esimerkiksi sähköpostitse tai tekstiviestitse toimitettavan tai erillisen tunnistautumissovelluksen tuottaman kertakäyttöisen tunnisteen kysyminen. Tällöin pelkkä salasana ei riitä järjestelmään pääsemiseen.
Kaksivaiheinen tunnistautuminen ei kuitenkaan ole aukoton – etenkin jos salasanat ovat muuten turvattomia.
Muistisääntö 4: Kukaan ei voi muistaa kaikkia salasanojaan – käytä ohjelmaa apuna
Helpoin tapa käyttää vahvoja ja ainutlaatuisia salasanoja on jonkin salasanojen hallinnointisovelluksen käyttö.
Kääntöpuolena tässä on se, että salasanasi ovat tämän jälkeen vain niin turvallisia kuin käyttämäsi pääsalasana sekä järjestelmä, jossa salasanat ovat tallessa. Etuna on, että yksi pääsalasana voi olla niin monimutkainen, ettei mikään tietokone pysty käytännössä koskaan ratkaisemaan sitä.
Mikä on hyvä salasanojen hallinnointisovellus?
Markkinoilla on saatavilla useita salasanojen hallinnointisovelluksia, joita voit käyttää luomaan ja muistamaan monia ainutlaatuisia ja monimutkaisia salasanoja.
Esimerkiksi Androidissa ja Applen iOS ja MacOS käyttöjärjestelmissä on nykyään sisäänrakennettuna salasanojen hallinnointisovellus.
Myös useimmat selaimet, kuten Safari, Chrome, Edge ja Firefox, sisältävät omat salasanojen hallinnointiominaisuudet tai hyödyntävät käyttöjärjestelmien olemassa olevia ominaisuuksia. Muita mahdollisia sovelluksia ovat esimerkiksi 1Password, KeePass, LastPass tai RoboForm.
Loppujen lopuksi mikään ei tee salasanasta täysin varmaa, mutta toimivilla käytännöillä ja monivaiheisilla tunnistautumismenetelmillä salasanasi voivat olla aivan riittävän turvallisia.
Kiinnostuitko?
Ota yhteyttä.