Tämän kirjoituksen tarkoituksena on esitellä hyviä käytäntöjä, joiden avulla salasanojen käyttämisestä tulee sekä helpompaa että turvallisempaa.
Olemme kaikki tottuneet toitotukseen siitä, että useissa palveluissa ei saa käyttää samaa salasanaa. Salasanojen tulisi lisäksi olla vahvoja, eli riittävän pitkiä ja monipuolisia. Useimmille meistä tässä lueteltiin kaksi päinvastaista tavoitetta. Pitkiä, vaikeaselkoisia salasanoja ei voi muistaa kukaan, jolloin päädymme väistämättä tekemään vakavia tietoturvavirheitä, mikäli emme toimi suunnitelmallisesti - käyttäen järjestelmää salasanojen turvalliseen hallintaan.
Salasanasi voi päätyä vääriin käsiin monin eri tavoin
Tietovuotoja tapahtuu jatkuvasti
Nykyään lähes päivittäin uutisista voi lukea uusista tietovuodoista. Osassa tietovuodoista vuotaa salasanatietoja suoraan, mm. LinkedIn-palvelusta vuoti 164 miljoonan käyttäjän tiedot vuonna 2016 ja Liiketoimintasuunnitelma.com-palvelusta 130 000 suomalaisen tiedot vuonna 2018 - selkokielisine salasanoineen. Salasanojen lisäksi tietovuotojen yhteydessä paljastuu yleensä joko liikesalaisuuksia tai henkilökohtaisia tietoja, joiden avulla huijarit voivat luoda entistä vakuuttavampia tietojenkalasteluyrityksiä.
Tarkista onko sähköpostiosoitteesi ollut osa jotain tunnettua tietovuotoa sivustolta https://haveibeenpwned.com/. Sivulta https://haveibeenpwned.com/Passwords voit lisäksi tarkistaa, onko käyttämäsi salasana vuodetuiksi tiedettyjen salasanojen joukossa.
Tietovuodon tapahtuessa salattu salasanasikin voi paljastua
Oletko joskus lukenut uutisen tietovuodosta, jossa kerrottiin luottavaisesti, että "vuotaneet salasanat oli kuitenkin salattu"? Yleensä jokaisessa fiksusti hoidetussa verkkopalvelussa salasanat on salattu salausalgoritmillä ja suolattu, mutta tämä ei pelasta salasanoja paljastumiselta.
Kun huijari saa käsiinsä listan salausalgoritmillä salattuja salasanoja, hän pistää salasanojen murtamiseen tarkoitetun ohjelman töihin. Kun tiedot ovat vuotaneet palvelusta, murtamista voidaan tehdä ns. offline-hyökkäyksenä, eikä esimerkiksi online-kirjautumislomakkeilla käytettyjä rajoituksia oikean salasanan yrityskerroille enää olekaan. Nykyaikaisilla laskentatehoilla yleisimpiä salaustapoja käyttävä 8-kirjaiminen salasana murtuu minuuteissa.
Salasanat ovat helpommin murrettavissa kuin koskaan
Tavalla tai toisella hakkeroiduksi joutumisen todennäköisyys on jopa 31% vuodessa. Elämme digimaailmassa, jossa teemme verkossa ostoksia, ylläpidämme sosiaalisia suhteita - teemme oikeastaan kaikenlaisia tapahtumia ja liiketoimia. Meidän pitäisi olla huolestuneempia tästä, kuin yleensä olemme.
Hakkeri voi joskus pyrkiä saamaan laitteellesi klikkauksiasi seuraavan "key loggerin" tai puhelimesi ruutua duplikoivan ohjelman, ja päätellä salasanan tätä kautta, mutta näihin voit vaikuttaa suuresti turvallisella laitteen käytöllä. Kun puhutaan verkkopalveluista vuotavista salasanoista ja niiden murtamisesta simppeleillä salasanan murtamisohjelmilla, salasanan pituus vaikuttaa suoraan murtamiseen kuluvaan aikaan. Nämä ohjelmat kokeilevat eri yhdistelmiä, kunnes osuu oikein. 5-kirjaimisella salasanalla aika on sekunteja, 10-kirjaimisella vuosia.
Laskentateho sekä hakkereiden käyttämät menetelmät salasanamurtajien opettamiseen kehittyvät jatkuvasti, joten nämä murtamisajat lyhenevät kokoajan.
Salasanasi pyritään toki myös onkimaan sinulta suoraan
Phishing on yksi yleisimmistä tietoturvaongelmista. Siinä huijari pyrkii tekeytymään luottamaksesi tahoksi ja saada sinua antamaan luottamuksellista tietoa - esimerkiksi kirjautumistunnuksesi kyseiseen palveluun. Phishing-huijaukset ovat nykyään hyvin taitavasti toteutettuja, eikä niistä ole välttämättä kovinkaan helppoa havaita, onko kyseessä huijaus vai aiheellinen kysely.
Kekseliäät tee-se-itse -ratkaisut salasanahallintaan toimivat yleensä huonosti
Jos salasanoja ei siis saa käyttää uusiksi, saattaa mieleen juolahtaa ajatus luoda oma kekseliäs algoritmi salasanojen muodostamiseen. Salasanoja murtavat huijarit ja heidän käyttämänsä ohjelmat ovat kuitenkin yleensä vähintään yhtä kekseliäitä. Jos käytät jotain järkeiltyä tapaasalasanojen muodostamiseen, yleensä yhden salasanan paljastuminen johtaa siihen, ettei itse metodin ja muiden salasanojen päättelyyn enää vaadita kauheasti vaivaa.
Korvaa kirjaimia merkein - huono idea
Yksi suosituimmista salasanoista tuntuu olevan iän ikuisesti 'password'. Se löytyy yllä mainitulta https://haveibeenpwned.com/Passwords sivustolta vuodettuna miljoonien käyttäjätietojen yhteydessä, ja silti edelleen uusimmissa tutkimuksissa sijoittuu aina suosituimpien salasanojen "top kymppiin". Kekseliäs o:sta 0:an tai a:sta @-merkkiin muuttaminen ei tilannetta myöskään pelasta. Nämä ovat tuloksia haveibeenpwned-sivustolta, kertoen montako kertaa kyseinen salasana on nähty mukana tietovuodoissa:
- password - 3,645,804 kertaa
- p@ssw0rd - 50,431 kertaa
- p@ssw0rd! - 563 kertaa
Kun testaan sivustolla salasanojen hallintajärjestelmäni suosittelemaa satunnaista salasanaa '8oQ%z7$hJTOL3!RV', vastaus on nolla kertaa. Järkevintä on siis löytää työkalut, joiden avulla voi käyttää satunnaisia salasanoja, joita ei tarvitse itse tietää, saatika yrittää muistaa.
Yhdistelen muistettavan salasanan tutuista asioista - huono idea
Aleksi86! tai Tampere20#. Näyttääkö tutulle salasanatyylille? Useimmat itse keksityt salasanatavat ovat itse asiassa erittäin yleisiä ja arvattavia. Käytämme aloittavana sanana esimerkiksi nimeä, paikkaa tai muuta yleistä sanaa, ehkäpä isolla kirjoitettuna. Jatkamme numerolla ja loppuun yksi yleinen, pakollisena vaadittu erityismerkki (!, @, # tai sitä rataa).
Lopputulos on, että tällaista mallia salasanoja murtava ohjelma osaa odottaa, ja tekee monia oikeita arvauksia jo ennen salasanan varsinaisen murtamisen aloittamista. Salasanoja vuotaa niin paljon, että murtajilla on paljon tietoa yleisistä salasanojen mudoostustekniikoista - älä siis käytä niitä vaan pysyttele täysin satunnaisten salasanojen parissa.
"Käytänpä useita sanoja peräkkäin..."
Olet voinut kuulla, että on järkevämpää käyttää esimerkiksi 4-sanaista tunnuslausetta lyhemmän salasanan sijasta. Tämä voi todella olla turvallisempaa, mutta usein täysin irrelevanttia, koska jokaiseen järjestelmään tulisi kuitenkin käyttää eri salasanaa. Jos joku muistaa 100 neljän sanan muodostamaa tunnuslausetta, antaa palaa vaan. Useimmille meistä on turhaa yrittää saada salasanoista muistettavia - muistettavaa kertyy vaan yksinkertaisesti liian paljon, olivatpa ne miten yksinkertaisia tahansa.
Järjestelmä salasanahallintaan on paras, ja ainoa järkevä ratkaisu
Mitä siis tehdä, jos haluat pitää salasanasi turvassa? Sinun tulisi käyttää salasanojen hallintaan suunniteltua ohjelmistoa.
Tällainen ohjelmisto on kuin se pieni musta kirja, jonne kirjoitat kaikki salasanat muistiin, mutta salattu ja helppokäyttöisempi. Salasanatietojen suojaaminen on näiden salasanahallintajärjestelmiä tarjoavien tahojen ydinosaamista, ja mm. LastPass kuvaileekin melko laajasti periaatteita, joilla he ovat pyrkineet rakentamaan monitasoisen suojauksen "holveillemme". Heidän tavoitteenaan on varmistaa, että loukkaustilanteissakaan holvien salattu sisältö ei koskaan vaarannu. Lisäksi tällaisen palveluntarjoajan intresseissä on myös tarkistaa, etteivät muista palveluista vuotaneet salasanat vastaa käyttäjien pääsalasanoja. Tällainen kumppani on hyvä olla arjessa mukana.
Salasanojen hallintajärjestelmä antaa sinun aina rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen puolestasi. Salasanan hallintajärjestelmät on lisäksi suunniteltu toimimaan useiden laitteiden kanssa. Rekisteröidyitpä uuteen palveluun puhelimeltasi, läppäriltäsi tai tabletiltasi, salasana ja käyttäjätunnus laitetaan automaattisesti holviin, josta ne ovat noudettavissa seuraavalla kirjautumiskerralla, olipa laite taas mikä tahansa.
Kaksi suosituinta salasanasysteemiä ovat nykyään LastPass ja 1Password, joista ainakin LastPassia voi käyttää jo ilmaiseksi. Tässä vielä yksi artikkeli 1Password vs. LastPass -vertailusta kiinnostuneelle.
Eli muista salasanajärjestelmän pääsalasana + laitteen pääsykoodi - nämä riittävät
Vielä yksi haaste on ainakin jäljellä. Kuinka keksit tarpeeksi vahvan salasanan salasanojen hallintajärjestelmän pääsalasanaksi? Tässä tapauksessa se aiemmin mainittu tunnuslause (engl. passphrase) voisi toimia. Tunnuslauseen tekoon saat apuja / ideoita esimerkiksi osoitteesta useapassphrase.com.
Toinen vaihtoehto on luottaa muistiisi ja pakottaa itsesi käyttämään pääsalasanaa tarpeeksi usein, jotta se ei unohdu. Tämä toimii yleensä riittävän hyvin esimerkiksi puhelimen tai tabletin pääsykoodeille, jotka pitää toki muistaa, että pääsee sinne salasanahallintaan käsiksi.