jannenevalainen.com logo
password

Sananen salasanoista

Meitä monia varmasti yhdistää ainakin yksi yhteinen asia: Tuskailu salasanojen kanssa. 

Jos tunnet kuuluvasi joukkoon et ole yksin. IT-yhtiö Nordpassin mukaan keskivertohenkilöllä on tänä päivänä noin 100 salasanaa muistettavanaan. Luku voi kuulostaa suurelta mutta kun alat ynnäämään kaikki työhön liittyvät tilisi, sosiaaliset mediat, verkkokaupat, suoratoistopalvelut, sähköiset asiointitilit, korttien PIN-koodit ja pankkitunnukset niin luku ei välttämättä kuulostakaan enää niin mahdottomalta. 

Salasanat ovat kuitenkin jo vuosikymmeniä vanha juttu joten olemme varmasti oppineet luomaan tietoturvallisia salasanoja näiden vuosien aikana? Mikäli Nordpassin tutkimusta on uskominen asia ei todellakaan ole näin vaan pikemminkin päinvastoin: Käytämme edelleen todella helppoja ja arvattavia salasanoja. Nordpassin salasanalista paljastaa että Suomessa yleisimpien murrettujen salasanojen seassa on melko surullisia tapauksia top10 -listassa:

  1.  123456
  2. 12345
  3. salasana
  4. qwerty
  5. perkele
  6. 123456789
  7. salasana1
  8. paska123
  9. 12345678
  10. kakka123
 
Maailmanlaajuiset tilastotkaan eivät näytä sen paremmalta:
  1.  123456
  2. 123456789
  3. 12345
  4. qwerty
  5. password
  6. 12345678
  7. 111111
  8. 123123
  9. 1234567890
  10. 1234567
 

Salasana turvalliseksi

Mikä sitten on hyvä salasana? Valitettava tosiasia on että hyökkääjien ja verkkorikollisten metodit kehittyvät jatkuvasti salasanojen murtamisessa joten myös salasanojen täytyy olla nykyaikaisten vaatimusten mukaisia. Tunnuksellesi saatetaan kokeilla jopa tuhansia eri salasanayhdistelmiä lyhyessä ajassa joten heikot ja yleiset salasanat murtuvat sekunneissa.

Moni salasanoihin liittyvä perinteinen ohje toimii vielä tänäkin päivänä:

  1.  Salasanan pituus. Tästä löytyy monia näkemyksiä mutta nyrkkisääntönä voidaan pitää että mitä pidempi salasana sen parempi. Oma näkemykseni, pyri ainakin 15 merkkiseen salasanaan mikäli palvelu sen sallii. Yksi mahdollisuus on käyttää mahdollisuuksien mukaan myös salalauseita eli kirjoitat helposti muistettavan lauseen salasanaksi. Mutta ole varovainen, lauseen tulisi olla sellainen että sitä ei voi arvata joten älä käytä esimerkiksi yleisiä lausahduksia jos päädyt käyttämään salalausetta.
  2. Salasanan monimutkaisuus. Älä käytä helposti arvattavia salasanoja kuten tuotemerkkejä, ihmisten tai lemmikkien nimiä, työpaikkasi nimeä, yksinkertaisia numerosarjoja yms. Käytä salasanassa (ja myös salalauseessa) isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Vältä kuitenkin ilmiselviä yhdistelmiä: Tammikuu2022 on varmasti salasana joka kuuluu arvattavien salasanojen joukkoon.
  3. Älä uudelleenkäytä salasanaa muissa palveluissa. Jos käy niin huonosti että jokin käyttämäsi palvelu murretaan ja salasanasi joutuu vääriin käsiin murron seurauksena, käyttämääsi salasanaa varmasti kokeillaan myös muihin palveluihin. 
  4. Pidä salasanat omana tietonasi. Älä jaa niitä tuttujen kanssa äläkä kirjoittele niitä muistilappuihin jotka kiinnität näytön kulmaan kaikkien ohikulkijoiden ihailtavaksi.
 

Jo näillä muutamilla perussäännöillä pääsee jo mukavuusalueelle salasanojen kanssa. Lisää vinkkejä löydät esimerkiksi Kyberturvallisuuskeskuksen ohjeista.

Mutta entäs se sadan eri salasanan muistaminen? Salasanoja ei kannata piilottaa paperilapulla näppäimistön tai hiirimaton alle mutta nykyisin on tarjolla myös useita sovelluksia jotka muistavat salasanat puolestasi. Useimmat salasanamanagerit toimivat salasanojen säilöntäpaikkana jolloin pääset kaikkiin salasanoihisi käsiksi yhden salasanan kautta. Tässäkin korostuu turvallisuus: Käytä vain turvallisia, vaikeasti murrettavia salasanoja salasanamanagerien pääsalasanana. Myös laitteiden turvallisuuden täytyy olla kunnossa, on ikävää jos tietokoneelle pesiytynyt haittaohjelma saa ongittua kaikki salasanat salasanasovelluksesta. 

Asetukset kuntoon

Ei ole mitenkään tavatonta että salasanat pääsevät myös unohtumaan. Suurin osa käyttämistämme palveluista salliikin helposti salasanan vaihdon kunhan se on määritetty palvelun asetuksiin. Unohtuneen salasanan voi usein helposti vaihtaa esimerkiksi puhelimeen tai sähköpostiin tulevalla linkillä. Turvakysymyksiä on syytä välttää koska pahimmillaan tilejä on murrettu katsomalla sosiaalisesta mediasta turvakysymyksiin vastaukset (esimerkiksi syntymäaika,asuinkaupunki). Yksi hyvä käytäntö (mikäli sovellus tämän mahdollistaa) on myös pyytää sovellusta lähettämään ennalta määritettyyn sähköpostiin ilmoitus mikäli palveluun kirjaudutaan uudelta laitteelta. Näin saadaan välittömästi tieto mahdollisesta tietoturvariskistä.

Mikäli epäilet että tunnuksesi on joutunut vääriin käsiin, voit tarkistaa esimerkiksi Have I Been Pwned -sivustolla onko tunnuksesi vuotanut rikollisten käyttöön johonkin käyttämääsi palveluun suunnatun tietomurron yhteydessä. Mikäli löydät sähköpostitunnuksesi joltakin murtolistalta tiedät että on syytä vaihtaa salasana palveluun väärinkäytöksen estämiseksi.

Monivaiheinen tunnistautuminen käyttöön 

Salasanoissa on yksi perustavanlaatuinen ongelma: Olivat ne miten monimutkaisia tai vaikeasti arvattavia tahansa, ne voidaan varastaa. Salasanoja varastetaan usealla eri tavalla kuten haittaohjelmien tai huijausviestien kautta. Tästä syystä onkin todella tärkeää käyttää monivaiheista tunnistautumista aina kun se on mahdollista. Moni palvelu onneksi tarjoaa jo tätä, tosin vielä harmittavan usein käyttäjän pitää itse löytää ja aktivoida ominaisuus sovelluksen asetuksista. 

Monivaiheisen tunnistamisen avulla palveluun kirjautumiseen ei enää riitä vain salasana vaan käyttäjän täytyy myös omistaa jotain. Usein tämä on käyttäjän matkapuhelin johon käyttäjä saa kirjautuessa esimerkiksi tekstiviestikoodin tai vahvistuspyynnön erilliseen sovellukseen. Monivaiheinen tunnistautuminen kannattaa: Esimerkiksi Microsoftin mukaan monivaiheinen tunnistautuminen voi estää  yli 99% tileihin kohdistuvista hyökkäyksistä.

Kohti salasanattomuutta

Salasanojen pitkä valtakausi on onneksi pikkuhiljaa murentumassa. Jo nyt käytössämme on eri tunnistautumistapoja jotka mahdollistavat salasanattoman kirjautumisen ja tulevaisuudessa salasanat tulevatkin yhä enemmän väistymään vahvempien, salasanattomien tekniikoiden tieltä. Matka on kuitenkin pitkä ja tulemme vielä käyttämään pitkään salasanoja useassa palvelussa. Siksi onkin syytä tehdä pikainen tarkistus salasanoihin ja päivittää salasanat vastaamaan nykyajan vaatimuksia.

RSS Kyberturvallisuuskeskus
Artikkelit
Sanapilvi
apt Azure AD CVE CVSS Entra ID forms identiteetti intune kyberrikollisuus kyberturvallisuus kyberturvallisuussuunnitelma MFA Microsoft 365 Microsoft 365 Business Premium Mitä kuuluu Microsoft Passwordless Purview Salasanat Stream supply chain attack Teams tietoturva tuottavuus ubuntu Windows 11 yleinen

Copyright jannenevalainen.com. All rights reserved

Youtube Linkedin

Tietosuojaseloste