Nykyajan digitaalisessa maailmassa kukaan ei voi välttyä siltä, että jokainen palvelu vaatii erillisen käyttäjätunnuksen ja salasanan luontia. Vaikka salasanojen laatiminen ja muistaminen voi tuntua turhauttavalta, on ehdottoman tärkeää, että niistä tekee riittävän tietoturvallisia.
Helposti arvattavissa oleva salasana voi pahimmillaan aiheuttaa jopa mittavat taloudelliset vahingot, sillä murretun salasanan kautta hakkeri voi päästä käsiksi jopa uhrinsa luottokorttitietoihin.
On olemassa tiettyjä asioita, joihin salasanaa laatiessa kannattaa kiinnittää erityistä huomiota.
Tietoturvayhtiö Check Point Suomen ja Baltian teknologiajohtajan Markku Malilan mukaan salasanaa laatiessa kannattaa kiinnittää huomiota ensisijaisesti sen pituuteen.
– Salasanan pitäisi olla riittävän pitkä. Tänä päivänä suositus on vähintään 12 merkkiä. Salasanan olisi silti hyvä olla 14 merkkiä tai enemmän, Malila neuvoo Verkkouutisille.
Pelkän merkkimäärän pituuden lisäksi kannattaa huomioida, että salasanassa on myös erikoismerkkejä, numeroita ja erikokoisia kirjaimia.
Siinä on järjestelmien välillä eroja, millaisia erikoismerkkejä salasanaan voi syöttää. Malilan mukaan esimerkiksi risuaita (#), prosenttimerkki (%) ja muut erikoismerkit ovat hyvä keino parantaa salasanan tietoturvaa.
Hänen mukaansa voidaan myös ajatella, että suomalaisessa ja skandinaavisessa aakkosissa mukana olevat ääkköset ja öökköset voidaan luokitella erikoismerkeiksi. Salasanassa kannattaa käyttää myös erikokoisia kirjaimia eli pieniä ja isoja kirjaimia sekaisin.
– Jos nämä kaikki ovat käytössä, salasanan tietoturvassa ollaan jo aika hyvissä kantimissa.
Salasanan pituuden suhde salasanan tietoturvallisuuteen perustuu Malilan mukaan tietokoneen laskentatehoon: pitkän salasanan murtaminen vaatii huomattavasti enemmän aikaa ja resursseja kuin lyhyen salasanan murtaminen.
– Silloin kun salasanan pituus on riittävä ja siinä on käytetty erikoismerkkejä, numeroita ja isoja ja pieniä kirjaimia, salasanan murtamisaika kasvaa huomattavasti.
Salasanassa ei saisi olla mitään käyttäjän omaan nimeen tai käyttäjänimeen viittaavia asioita. Salasanaa laatiessa kannattaa välttää myös esimerkiksi lasten tai lemmikkien nimien käyttöä.
– Kaikki helposti arvattavat kombinaatiot olisi myös syytä pitää pois. Myös kaikkia helposti arvattavia sanoja, kuten ”password” tulisi tietenkin välttää.
Toinen tärkeä muistisääntö on se, että samaa salasanaa ei koskaan saisi käyttää useassa palvelussa.
– Jokaisessa järjestelmässä pitäisi olla eri salasana, Malila muistuttaa.
Joissakin yrityksissä on tapana, että työntekijöiden pitää vaihtaa salasanat aina kvartaalin eli vuosineljänneksen välein. Malila ei näe salasanojen vaihtelua tarpeellisena, mikäli niiden tietoturva on muuten kunnossa.
Asiassa on myös se riski, että tiheästi vaihdetut salasanat eivät välttämättä muutu aiempia paremmiksi.
– Koska ihminen on luonteeltaan kuitenkin peruslaiska, käytännössä silloin salasanoja pyritään muuttamaan jollain pienellä keinolla edellisestä salasanasta. Samalla pikkuhiljaa salasanan hyvyyden merkitys pienenee.
Salasanamanageri helpottaa salasanojen luomista – taustalla piilee kuitenkin riski
Markkinoilla on useita salasanamanagereita, jotka generoivat käyttäjän puolesta satunnaisia salasanoja. Niiden etuna on se, että salasanat eivät ole millään tavalla käyttäjään sidottuja, joten ne eivät ole arvattavissa. Etuna on myös se, että salasanamanageri luo yksilöllisen salasanan jokaiseen palveluun erikseen.
Malila muistuttaa, että myös salasanamanagereihin liittyy omat riskinsä. Samalla hän huomauttaa, että myös salasanamanagereita on erilaisia: osa niistä tallentaa salasanat vain paikallisesti laitteelle tai paikalliselle palvelimelle, kun osa tallentaa tiedot pilvipalvelimelle.
Etenkin pilvipalvelimen kautta toimivissa salasanamanagereissa on olemassa se riski, että salasanat voisivat tietomurron kautta päätyä vääriin käsiin.
– Esimerkiksi vuonna 2022 oli tapaus, jossa merkittävän pilvipohjaisen salasanamanagerin järjestelmä ”korkattiin”. Tapahtuman ensimmäisessä vaiheessa hyökkääjät onnistuivat pääsemään työntekijän koneen kautta kehitysympäristöön ja sieltä ohjelmiston lähdekoodiin. Toisessa vaiheessa hyökkääjät onnistuivat viemään käyttäjien salattua tietoa.
Vastaavissa tilanteissa on Malilan mukaan iso riski, että käyttäjän salasanoja pääsee vuotamaan vääriin käsiin.
Jotkut salasanamanagerit mahdollistavat myös esimerkiksi luottokorttitietojen tallentamisen. Vaikka korttitietojen tallentaminen tuntuisikin elämää helpottavalta asialta, asiaa kannattaa pohtia mahdollisten tietomurtojen varalta tarkemmin.
– Itse en lähtisi luottokorttitietoja tallentamaan mihinkään salasanamanageriin, Malila toteaa.
Salasanamanageri toimii usein niin, että käyttäjän tallentamat salasanat on tallennettu erillisellä salasanalla varustetun tietokannan taakse. Tämä on se käyttäjän itsensä laatima erillinen salasana, jonka avulla pääsee käsiksi kaikkiin salasanamanagerin luomiin satunnaisiin salasanoihin.
Tästä salasanasta käytetään myös termiä ”master password”.
– Käytännössä se tarkoittaa sitä, että salauksen taso on hyvin paljon sidonnainen käyttäjän itsensä asettamasta salasanasta eli ”master passwordista”, millä pääsee kaikkiin muihin salasanoihin käsiksi. Jos se jostain syystä pääsee vääriin käsiin, kaikki muutkin salasanat päätyvät vääriin käsiin.
Malila korostaa, että salasanamanagerit voivat olla hyvä tapa salasanojen luontiin ja hallinnointiin. Hän kehottaa kuitenkin kiinnittämään huomiota aina siihen, kenen valmistajan tarjoamasta palvelusta on kyse.
– Pitää muistaa se, että markkinoilla saattaa olla sellaisia managereita, jotka ovat verkkorikollisten tarjoamia. Jos tällaisen salasanamanagerin ottaa käyttöön, kannattaa aina varmistua siitä, kuka sovelluksen taustalla oikeasti toimii.
Unohda vanha ohje paperille kirjoitetusta salasanasta
Vanhan ohjeen mukaan tietoturvallisin tapa on kirjoittaa salasana paperille ja pitää sitä varmassa säilössä. Malila itse ei suosittele toimimaan näin.
– Esimerkiksi itse en kirjoita salasanoja paperille tänä päivänä enää ollenkaan.
Jos salasana on kirjoitettuna paperille, Malilan mukaan on olemassa riski, että salasana päätyy fyysisesti vääriin käsiin.
– Varsinkin jos salasanaa on säilytetty paperille, joka on unohtunut työpöydän kulmalle tai muuhun paikkaan, mihin muillakin on pääsy.
Mikäli salasanan haluaa välttämättä kirjoittaa paperille, Malila suosittelee säilyttämään sitä lukitussa kassakaapissa, jotta ulkopuoliset eivät pääse siihen käsiksi.
Missä salasanoja sitten kannattaisi säilyttää?
– Paras tapa tietenkin olisi, että ne pysyisivät omassa muistissa. Se on kaikkein turvallisin tapa.
Hauskalta vaikuttava somekampanja voikin olla tietojenkalastelu
Joissakin palveluissa on käytössä myös erillisiä turvakysymyksiä, joiden avulla käyttäjä voi palauttaa unohtamansa salasanan. Turvakysymykset olivat yleisiä esimerkiksi sähköpostipalveluissa 2000-luvun ensimmäisinä vuosikymmeninä.
Malilan mukaan turvakysymyksiä käytetään palveluissa edelleen, mutta ei ainoana ratkaisuna.
– Jos käyttäjä haluaa resetoida salasanansa, olisi hyvä ettei sitä voi tehdä pelkästään turvakysymyksen avulla.
Tämä johtuu siitä, että tyypillisesti turvakysymys on ollut tasoa ”mikä oli äitisi tyttönimi?” tai ”mikä oli alakoulun opettajasi nimi?”.
Malila varoittaa, että etenkin sosiaalisessa mediassa on ajoittain nähty kampanjoita, joissa on yritetty udella ihmisten tietoja tämäntyyppisiin turvakysymyksiin.
– Somessa saattaa kiertää esimerkiksi hauskalta vaikuttava kampanja, jossa pitää tehdä jouluun liittyvä tonttunimi äitinsä tyttönimestä ja toisesta omasta etunimestään. Moni käyttäjä ei välttämättä tule ajatelleeksi, että näihin kampanjoihin voi liittyä riskejä, joissa paljastaa turvakysymyksiinsä vastauksia.
Malila mukaan turvakysymys voi olla hyvä keino tilinsä palauttamiseen, kunhan se ei ole ainoa todennusketjun osa.
– Yksittäisenä keinona turvakysymysten käyttö ei ole missään nimessä OK. Mutta monivaiheisen todennusketjun osana nämä ovat edelleen toimivia vaihtoehtoja.
LUE MYÖS:
Näitä tietoja ei saa ikinä julkaista somessa – asiantuntijalta varoitus