Digiturvamalli.fi
Kokeile
Kirjaudu
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Akatemian etusivu
Blogit
Salasanojen turvallisuus: Vältä 5 yleistä virhettä

Salasanojen turvallisuus: Vältä 5 yleistä virhettä

Passwords are like underwear: don't let people see it, change it very often, and you shouldn't share it with strangers.
- Chris Pirillo

Tietoturva ei ole pelkästään monimutkaisten järjestelmien ymmärtämistä tai sertifikaattien hankkimista. Kyse on ennakoivasta toiminnasta, jatkuvasta oppimisesta ja jokapäiväisten tapojen omaksumisesta, jotka vahvistavat digitaalisia puolustuksiasi. Yksi tärkeistä arjen käytännöistä on varmistaa salasanojesi turvallisuus.

Olemme kaikki tottuneet toitotukseen siitä, että useissa palveluissa ei saa käyttää samaa salasanaa. Salasanojen tulisi lisäksi olla vahvoja, eli riittävän pitkiä ja monipuolisia. Useimmille meistä tässä lueteltiin kaksi päinvastaista tavoitetta. Pitkiä, vaikeaselkoisia salasanoja ei voi muistaa kukaan, jolloin päädymme väistämättä tekemään vakavia tietoturvavirheitä, mikäli emme toimi suunnitelmallisesti - käyttäen järjestelmää salasanojen turvalliseen hallintaan.

Salasanasi voi päätyä vääriin käsiin monin eri tavoin

‍Tietovuotoja tapahtuu jatkuvasti. Nykyään lähes joka päivä voit lukea uutisista uusista tietovuodoista. Joihinkin tietovuotoihin liittyy suora salasanatietojen vuoto, kuten LinkedInin 164 miljoonan käyttäjän tietovuoto vuonna 2016 - ja 10 miljardin salasanan vuoto hakkerifoorumille vuonna 2024 selkokielisin salasanoin. Vuonna 2024 Meta sai sakot 600 miljoonan Facebook- ja Instagram-salasanan tallentamisesta selkokielisenä. Salasanojen lisäksi tietovuodot paljastavat yleensä joko liikesalaisuuksia tai henkilökohtaisia tietoja, joiden avulla huijarit voivat luoda vakuuttavampia tietojenkalasteluyrityksiä.

Tarkista onko sähköpostiosoitteesi ollut osa jotain tunnettua tietovuotoa sivustolta https://haveibeenpwned.com/. Sivulta https://haveibeenpwned.com/Passwords voit lisäksi tarkistaa, onko käyttämäsi salasana vuodetuiksi tiedettyjen salasanojen joukossa.

Tietovuodon tapahtuessa salattu salasanasikin voi paljastua

Oletko joskus lukenut uutisen tietovuodosta, jossa kerrottiin luottavaisesti, että "vuotaneet salasanat oli kuitenkin salattu"? Yleensä jokaisessa fiksusti hoidetussa verkkopalvelussa salasanat on salattu salausalgoritmillä ja suolattu, mutta tämä ei pelasta salasanoja paljastumiselta.

Kun huijari saa käsiinsä listan salausalgoritmillä salattuja salasanoja, hän pistää salasanojen murtamiseen tarkoitetun ohjelman töihin. Kun tiedot ovat vuotaneet palvelusta, murtamista voidaan tehdä ns. offline-hyökkäyksenä, eikä esimerkiksi online-kirjautumislomakkeilla käytettyjä rajoituksia oikean salasanan yrityskerroille enää olekaan. Nykyaikaisilla laskentatehoilla yleisimpiä salaustapoja käyttävä 8-kirjaiminen salasana murtuu minuuteissa.

Salasanat ovat helpommin murrettavissa kuin koskaan

Elämme digimaailmassa, jossa teemme verkossa ostoksia, ylläpidämme sosiaalisia suhteita - teemme oikeastaan kaikenlaisia tapahtumia ja liiketoimia. Meidän pitäisi olla huolestuneempia tästä, kuin yleensä olemme.

Hakkeri voi joskus pyrkiä saamaan laitteellesi klikkauksiasi seuraavan "key loggerin" tai puhelimesi ruutua duplikoivan ohjelman, ja päätellä salasanan tätä kautta, mutta näihin voit vaikuttaa suuresti turvallisella laitteen käytöllä. Kun puhutaan verkkopalveluista vuotavista salasanoista ja niiden murtamisesta simppeleillä salasanan murtamisohjelmilla, salasanan pituus vaikuttaa suoraan murtamiseen kuluvaan aikaan. Nämä ohjelmat kokeilevat eri yhdistelmiä, kunnes osuu oikein. 5-kirjaimisella salasanalla aika on sekunteja, 10-kirjaimisella vuosia.

Laskentateho sekä hakkereiden käyttämät menetelmät salasanamurtajien opettamiseen kehittyvät jatkuvasti, joten nämä murtamisajat lyhenevät kokoajan.

Salasanasi pyritään toki myös onkimaan sinulta suoraan

Phishing on yksi yleisimmistä tietoturvaongelmista. Siinä huijari pyrkii tekeytymään luottamaksesi tahoksi ja saada sinua antamaan luottamuksellista tietoa - esimerkiksi kirjautumistunnuksesi kyseiseen palveluun. Phishing-huijaukset ovat nykyään hyvin taitavasti toteutettuja, eikä niistä ole välttämättä kovinkaan helppoa havaita, onko kyseessä huijaus vai aiheellinen kysely.

Vuonna 2024 Hive Systems testasi, kuinka kauan kestää erilaisten salasanojen murtautuminen. (lähde euronews.com)

5 yleistä virhettä salasanaturvallisuudessa

1. Heikkojen salasanojen käyttö

Yksi suosituimmista salasanoista tuntuu olevan iän ikuisesti 'password'. Se löytyy yllä mainitulta https://haveibeenpwned.com/Passwords sivustolta vuodettuna miljoonien käyttäjätietojen yhteydessä, ja silti edelleen uusimmissa tutkimuksissa sijoittuu aina suosituimpien salasanojen "top kymppiin". Kekseliäs o:sta 0:an tai a:sta @-merkkiin muuttaminen ei tilannetta myöskään pelasta. Nämä ovat tuloksia haveibeenpwned-sivustolta, kertoen montako kertaa kyseinen salasana on nähty mukana tietovuodoissa:

  • password - 3,645,804 kertaa
  • p@ssw0rd - 50,431 kertaa
  • p@ssw0rd! - 563 kertaa

Kun testaan sivustolla salasanojen hallintajärjestelmäni suosittelemaa satunnaista salasanaa '8oQ%z7$hJTOL3!RV', vastaus on nolla kertaa. Järkevintä on siis löytää työkalut, joiden avulla voi käyttää satunnaisia salasanoja, joita ei tarvitse itse tietää, saatika yrittää muistaa.

2. Helposti arvattavien tietojen käyttäminen

Aleksi86! tai Tampere20#. Näyttääkö tutulle salasanatyylille? Useimmat itse keksityt salasanatavat ovat itse asiassa erittäin yleisiä ja arvattavia. Käytämme aloittavana sanana esimerkiksi nimeä, paikkaa tai muuta yleistä sanaa, ehkäpä isolla kirjoitettuna. Jatkamme numerolla ja loppuun yksi yleinen, pakollisena vaadittu erityismerkki (!, @, # tai sitä rataa).

Lopputulos on, että tällaista mallia salasanoja murtava ohjelma osaa odottaa, ja tekee monia oikeita arvauksia jo ennen salasanan varsinaisen murtamisen aloittamista. Salasanoja vuotaa niin paljon, että murtajilla on paljon tietoa yleisistä salasanojen mudoostustekniikoista - älä siis käytä niitä vaan pysyttele täysin satunnaisten salasanojen parissa.

"Käytänpä useita sanoja peräkkäin..."

Olet voinut kuulla, että on järkevämpää käyttää esimerkiksi 4-sanaista tunnuslausetta lyhemmän salasanan sijasta. Tämä voi todella olla turvallisempaa, mutta usein täysin irrelevanttia, koska jokaiseen järjestelmään tulisi kuitenkin käyttää eri salasanaa. Jos joku muistaa 100 neljän sanan muodostamaa tunnuslausetta, antaa palaa vaan. Useimmille meistä on turhaa yrittää saada salasanoista muistettavia - muistettavaa kertyy vaan yksinkertaisesti liian paljon, olivatpa ne miten yksinkertaisia tahansa.

3. Salasanojen uudelleenkäyttö

Keskiarvoisesti henkilö käyttää samaa salasanaa uudelleen 14 kertaa. Salasanojen uudelleenkäyttö usealla eri tilillä on kriittinen virhe. Jos yksi tili vaarantuu, kaikki muut tilit, joilla on sama salasana, ovat vaarassa. Tämä käytäntö voi johtaa dominoefektiin, jossa yhden palvelun tietoturvaloukkaus voi paljastaa arkaluonteisia tietoja useilla eri alustoilla.

Jos salasanoja ei siis saa käyttää uusiksi, saattaa mieleen juolahtaa ajatus luoda oma kekseliäs algoritmi salasanojen muodostamiseen. Salasanoja murtavat huijarit ja heidän käyttämänsä ohjelmat ovat kuitenkin yleensä vähintään yhtä kekseliäitä. Jos käytät jotain järkeiltyä tapaa salasanojen muodostamiseen, yleensä yhden salasanan paljastuminen johtaa siihen, ettei itse metodin ja muiden salasanojen päättelyyn enää vaadita kauheasti vaivaa.

4. Salasanoja ei päivitetä säännöllisesti

Ole rehellinen, muistatko omistavasi tilin, jolla on sama salasana vuodesta toiseen? Jotkin alustat voivat pakottaa käyttäjät vaihtamaan salasanan säännöllisesti, ja vaikka se saattaa tuntua ikävältä tehtävältä, kun se tulee esiin pahimmalla mahdollisella hetkellä, ovat siitä saatavat hyödyt sen arvoisia. Kaikkia tietoturvaloukkauksia ja haavoittuvuuksia ei havaita heti. Jos salasana kuitenkin paljastuu tietomurrossa tai haittaohjelman kautta, sen päivittäminen säännöllisesti minimoi hyökkääjän mahdollisuuden hyödyntää sitä.

5. MFA:n käyttämättä jättäminen

Monitekijätodennus, tai yleisemmin tunnettu MFA, lisää ylimääräisen turvakerroksen vaatimalla salasanan lisäksi toisenlaista todentamista. Tämä voi olla tekstiviestikoodi, todennussovellus tai biometrinen tekijä, kuten sormenjälki tai kasvojentunnistus. Vaikka salasana vaarantuisi, MFA voi siis estää luvattoman pääsyn. Ilman MFA:ta tilisi on pelkästään salasanasi varassa, mikä lisää haavoittuvuutta.

Järjestelmä salasanahallintaan on paras, ja ainoa järkevä ratkaisu

Keskivertokäyttäjällä on yli 90 salasanaa vaativaa käyttäjätiliä. Mitä siis tehdä, jos haluat pitää salasanasi turvassa? Sinun tulisi käyttää salasanojen hallintaan suunniteltua ohjelmistoa.

Tällainen ohjelmisto on kuin se pieni musta kirja, jonne kirjoitat kaikki salasanat muistiin, mutta salattu ja helppokäyttöisempi. Salasanatietojen suojaaminen on näiden salasanahallintajärjestelmiä tarjoavien tahojen ydinosaamista, ja mm. LastPass kuvaileekin melko laajasti periaatteita, joilla he ovat pyrkineet rakentamaan monitasoisen suojauksen "holveillemme". Heidän tavoitteenaan on varmistaa, että loukkaustilanteissakaan holvien salattu sisältö ei koskaan vaarannu. Lisäksi tällaisen palveluntarjoajan intresseissä on myös tarkistaa, etteivät muista palveluista vuotaneet salasanat vastaa käyttäjien pääsalasanoja. Tällainen kumppani on hyvä olla arjessa mukana.

Salasanojen hallintajärjestelmä antaa sinun aina rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen puolestasi. Salasanan hallintajärjestelmät on lisäksi suunniteltu toimimaan useiden laitteiden kanssa. Rekisteröidyitpä uuteen palveluun puhelimeltasi, läppäriltäsi tai tabletiltasi, salasana ja käyttäjätunnus laitetaan automaattisesti holviin, josta ne ovat noudettavissa seuraavalla kirjautumiskerralla, olipa laite taas mikä tahansa.

Eli muista salasanajärjestelmän pääsalasana + laitteen pääsykoodi - nämä riittävät

Vielä yksi haaste on ainakin jäljellä. Kuinka keksit tarpeeksi vahvan salasanan salasanojen hallintajärjestelmän pääsalasanaksi? Tässä tapauksessa se aiemmin mainittu tunnuslause (engl. passphrase) voisi toimia. Tunnuslauseen tekoon saat apuja / ideoita esimerkiksi osoitteesta useapassphrase.com.

Toinen vaihtoehto on luottaa muistiisi ja pakottaa itsesi käyttämään pääsalasanaa tarpeeksi usein, jotta se ei unohdu. Tämä toimii yleensä riittävän hyvin esimerkiksi puhelimen tai tabletin pääsykoodeille, jotka pitää toki muistaa, että pääsee sinne salasanahallintaan käsiksi.

Loppusanat

Monet lankeavat yleisiin virheisiin, kuten heikkojen salasanojen käyttämiseen, saman salasanan käyttämiseen useilla eri tileillä tai helposti arvattaviin tietoihin, mikä lisää heidän haavoittuvuuttaan merkittävästi. Lisäksi salasanojen säännöllisen päivittämisen laiminlyönti voi jättää tilit avoimiksi hyökkäyksille.

Onneksi salasanojen hallintajärjestelmien ja monitekijätodennuksen kaltaiset välineet voivat tarjota vahvempia turvatoimia. Salasanahallintajärjestelmä helpottaa salasanojen turvallista luomista ja tallentamista, ja monitekijätodennus lisää olennaisen tärkeän ylimääräisen puolustuskerroksen, joka vaikeuttaa huomattavasti hakkerien luvatonta pääsyä järjestelmään. Näiden vinkkien ja yleisten virheiden muistaminen ei ole vain järkevää vaan välttämätöntä digitaalisen identiteettisi suojaamiseksi.

Kirjoittanut
Aleksi Pulkkanen
16.1.2025
@
apulkkanen
LinkedIn

Sisältö

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

Salasanojen turvallisuus: Vältä 5 yleistä virhettä

Salasanojen turvallisuutta ei pidä aliarvioida nykyisten uhkien edessä. Yksi järkevä vaihtoehto turvalliseen salasanojen hallintaan on käyttää tarkoitukseen suunniteltuja ohjelmistoja.
16.1.2025

Vaatimuskehikkokatsaus, CISO:n rooli & ja toimittaja-arvioinnit: Digiturvamallin tuote- ja uutiskooste 12/2024 🛡️

Joulukuun tuote-ja uutiskooste esittelee Toimittajien tietoturva-arvioinnit sekä uusia konsernitason ominaisuuksia Lisäksi aiheina on katsaus vuden 2025 tärkeisiin vaatimuskehikkoihin ja CISO:n sekä henkilöstön roolit organisaation tietoturvassa.
20.12.2024

TISAX: autoteollisuuden standardi tutuksi

Ottamalla TISAXin haltuun autoteollisuuden toimijat voivat parantaa tietoturvaa, tehostaa vaatimustenmukaisuutta ja vahvistaa markkina-asemaansa. Lue lisää TISAXista, sen soveltamisalasta, vaatimuksista ja kuinka ISO 27001 sopii kuvaan.
4.12.2024

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Vaatimuskehikkojen hallinta
GDPR
Tehtävien hallinta
Raportointi
Riskien hallinta
Näytä kaikki
Webinarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
NIS2:n yleisesittely
GDPR & ISO 27701:n hyvät käytännöt
Tiedonhallintamalli ja tietoturvatoimenpiteet
ISO 27001:n yleisesittely
Näytä kaikki
Ohjeet
Asennus ja integraatiot
Vaatimuskehikot
Kumppaneille
Raportointi
Pääkäyttäjälle
Näytä kaikki
Blogit
Salasanojen turvallisuus: Vältä 5 yleistä virhettä
Vaatimuskehikkokatsaus, CISO:n rooli & ja toimittaja-arvioinnit: Digiturvamallin tuote- ja uutiskooste 12/2024 🛡️
TISAX: autoteollisuuden standardi tutuksi
Tunnistetaan kasvu: Cyberday muuttaa!
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.