Mikä tekee salasanasta hyvän? Tietoturvapäällikön vinkit salasanaviidakon hallintaan
Salasana toimii monen käyttämämme palvelun ”portinvartijana”. Tästä syystä salasanat ovat myös vuosikymmeniä olleet kalastelun kohteena. Salasanan ohella monissa järjestelmissä on tänä päivänä otettu käyttöön monivaiheinen tunnistautuminen, joka salasanan lisäksi käyttää jotain toista tunnistautumistapaa, kuten tekstiviestitse toimitettavaa varmistuskoodia. Facebook, Instagram, Twitter, Google, Microsoft ja monet muut tukevat jo monivaiheista tunnistautumista, joten jos haluat turvata tilisi paremmin, ota tämä käyttöön heti.
Sitten itse teemaan eli salasanaan! Moni lienee miettinyt, millainen on hyvä salasana. Esimerkiksi onko parempi käyttää pitkää salasanaa vai monimutkaista salasanaa. Teknisesti tarkasteltuna mitä pidempi salasana on, sitä turvallisempi se on, mutta erikoismerkeillä on myös merkitystä, kuten seuraava esimerkki osoittaa.
Salasanoja voidaan murtaa monella eri tavalla, mutta useimmiten keinoina on satunnainen arvaaminen tai vuodettujen salasanojen listojen käyttäminen. Tehokkaalla tietokoneella 8-merkkisen salasanan murtaminen laskennallisesti kestää noin 3 tuntia, mutta 16-merkkisen salasanan murtamiseen menee jo keskimäärin yli 81 086 000 vuotta. Erikoismerkkejä kannatta käyttää sen takia, että salasanan murtamiseen voidaan käyttää yleisimpiä sanojen listaa (kyllä, hakkerit ovat käyttäneet tällaisia listoja jo vuosia!). Esimerkiksi ”salasana” on niin yleinen, että salasanalistalla sen saa arvattua jo 0,19 millisekunnissa, kun taas sanan ”sa1asana” murtamiseen menee melkein kaksi päivää.
Joskus kuulee, että suomenkieliset salasanat olisivat lähtökohtaisesti turvallisia, koska harva osaa suomea. Nykyään on kuitenkin saatavilla myös suomenkielisten palvelujen tai suomalaisten tileiltä vuodettuja salasanalistoja. Näin ollen ”salasana” ei ole sen turvallisempi kuin englanninkielinen sisarsanaparinsa ”password”. Salasanan sijaan kannattaa harkita salalauseen käyttöä. Yhdistämällä useita suomalaisia sanoja ja käyttämällä ääkkösiä voi luoda pitkiäkin, mutta helposti muistettavia sanajonoja, salalauseita, joita on lähes mahdotonta murtaa.
Tärkeintä nimittäin on, että muistat salasanan itse. Jos salasana on niin pitkä ja monimutkainen, että se on kirjoitettava ylös ja liimattava muistilappu näyttöön alareunaan, hyväkin salasana menee hukkaan. Ja vielä vaikeamman haasteen heität kalastelijoille, kun käytät eri salasanaa tai -lausetta eri palveluissa ja muistat vaihtaa niitä säännöllisesti. Turvallista salasanapäivää – ja verkkoasiointia!
Vinkkejä salasanan muodostamiseen
- Valittu sana tai lause on enemmän kuin 8 merkkiä - mitä pidempi, sen parempi.
- Sana tai lause ei sisällä henkilökohtaista tietoa, kuten oikea nimi, yritys tai lemmikin nimi.
- Uusi salasana on merkittävästi erilainen kuin aiemmin käytetty salasana.
- Sana tai lause sisältää erikoismerkkejä, isoja ja pieniä kirjaimia ja/tai numeroita.
- Salasanan muistaa niin, ettei sitä tarvitsee kirjoittaa muistiin.
- Älä jaa salasanaasi muiden kanssa.
- Älä käytä samaa salasanaa muissa palveluissa.
- Käytä kaksivaiheista tunnistautumista, mikäli mahdollista. Älä luovuta kaksivaiheisen tunnistautumisen vahvistuskoodia muille tai hyväksy muiden tekemiä kirjautumisia/salasanan vaihtoja.
Blogin kirjoittaja on POP Pankin tietoturvapäällikkö Guoxi Yu. Blogia on päivitetty 3.5.2023.