Fakta
Millainen on hyvä salasana?
Salasanan tulisi olla ainakin 12 merkkiä pitkä. Se ei saa sisältää omaa nimeäsi, käyttäjätunnustasi, yrityksesi tai yhteisösi nimeä, perheenjäsentesi tai lemmikkisi nimeä.
Siinä ei ole omaa syntymäaikaasi tai oikeita sanoja.
Se eroaa selkeästi aikaisemmasta salasanastasi.
Salasanan pitäisi sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä, kuten @, %, !.
Viime vuoden viisi suosituinta salasanaa Länsi-Euroopassa ja Pohjois-Amerikassa olivat 123456, password, 12345678, qwerty, 12345. Ne on helppo ulkopuolisen arvata.
Pankkikortti ja puhelin vaativat pin-koodin, työpaikan ja kodin tietokoneet omat salasanansa. Vielä pitäisi muistaa sähköpostitilien, nettikauppojen ja muiden palvelujen tunnukset.
Nykyihminen tempoilee salasanaviidakossa, joka on soluttautunut arkeemme pikku hiljaa.
”Jo kreikkalaiset historioitsijat tunsivat salasanan käsitteen ennen ajanlaskumme alkua. Polybius kirjoitti, että salasanaa on käytetty roomalaisten yövartioryhmien keskinäisessä tunnistamisessa”, Tampereen teknillisen yliopiston professori
Pekka Loula sanoo.
Salasanan voi määritellä tunnisteeksi, jolla pystytään identifioimaan henkilö luotettavasti.
Tietokoneisiin käyttäjätunnukset ja salasanat tulivat 1960-luvun alussa, kun yhtä konetta alkoi käyttää useampi kuin yksi ihminen.
Tavalliselle väelle ne tulivat tutuiksi 1980-luvulla, kun tietojenkäsittelyyn tarkoitetut kotikoneet yleistyivät.
Nykyisin kotikoneellakin on aikaisempaa merkittävämpiä sisältöjä, kuten sähköpostitilejä ja valokuvia. Koneeseen eivät pääse käsiksi kuin salasanan tietävät, jos ei ole muuttanut asetuksia siten, että käyttöjärjestelmä ei kysy salasanaa.
”On vaikea jäljittää sitä ajankohtaa, missä laitteen tai sen sisältämän tiedon arvo on noussut niin korkeaksi, että sitä alettiin suojaamaan”, Aalto-yliopiston professori
Jukka Manner tietoliikenne- ja tietoverkkotekniikan laitokselta sanoo.
Tulevaisuudessa saatamme vapautua kymmenien salasanojen muistamisesta.
Omilla pankkitunnuksilla pääsee jo useaan kotimaiseen palveluun. Tietoturvayhtiöt tarjoavat erilaisia salasanojen hallintaohjelmia: käyttäjällä on hallussaan yksi salasana, jonka muistamalla ohjelma antaa käyttöösi muut salasanat.
Joihinkin älypuhelimiin ja tietokoneisiin voi kirjautua omalla sormenjäljellä, joka painetaan lukijaan. Salasanana voidaan käyttää myös silmän iiristä tai kasvoja.
Loulan mukaan biometrisiin tunnisteisiin sisältyy kuitenkin vielä niin paljon ongelmia, ettei niitä kannattaisi yksistään käyttää salasanana.
Tulevaisuudessa onkin todennäköistä, että järjestelmään tai koneeseen pääsee vasta, kun salasanan lisäksi antaa sormenjälkensä.
Tai esimerkiksi muistitikun, jonka avulla voi avata salasanoja sisältävän tiedoston tietokoneelta.
Omien salasanojen turvallisuus kannattaa varmistaa, koska pahimmillaan joku voi varastaa identiteettisi vaikka viemällä suojaamattoman älypuhelimen.
”Tyypillinen vahinko on, että hyökkääjä saa tätä kautta sähköpostiohjelmiston salasanan käyttöönsä, menee verkkokauppaan ja tekee tilauksen”, Loula sanoo.
Vahinkoa voi aiheutua myös käyttäjän edustamalle yritykselle tai yhteisölle, jos hyökkääjä pääsee yrityksen intranettiin.
”Jos hyökkääjä pääsee jonkun käyttäjätilille, hän voi yrittää käynnistää palveluja, joilla saisi ylemmän käyttäjän käyttäjäoikeuden eli admin-oikeuden.”
”Näin voi tuhota tietoa, ladata haitta- tai vakoiluohjelmia, mitä tahansa”, Pekka Loula sanoo.
Anna ohjelman luoda ja muistaa salasanasi
Kuinka monta salasanaa ihminen voi oppia ja muistaa, F-Securen tutkimusjohtaja Mikko Hyppönen?
KIMMO MÄNTYLÄ
Mikko Hyppönen
”Aikoinaan meille opetettiin, että pitää valita joka palveluun erilainen, monimutkainen, vaikea ja pitkä salasana eikä sitä saa kirjoittaa mihinkään muistiin. No, nämä säännöt olivat ajalta, jolloin ihmisten piti muistaa korkeintaan viisi salasanaa. Nykyään käyttäjillä voi olla kymmeniä tai jopa satoja salasanoja eri palveluihin. Vanhat neuvot eivät enää mitenkään toimi. Suosittelen salasanojen muistelemisen sijaan käyttämään salasanan hallintaohjelmaa: se muistaa salasanat puolestasi.”
Montako salasanaa sinun pitää muistaa ja miten muistat ne?
”Minulla on salasananhallintaohjelmassa talletettuna salasana yli 300 eri palveluun. En voisi mitenkään muistaa niitä itse.”
Osa palveluista pakottaa uusimaan salasanan säännöllisesti. Miten se kannattaa tehdä?
”Kannattaa antaa ohjelman luoda uusi salasana, jolloin se on varmasti tarpeeksi pitkä ja monimutkainen.”
Voiko verkkoselainten muistia käyttää apuna?
”Selaimen voi laittaa muistamaan salasanasi, mutta ei kannata. Salasanaohjelmat integroituvat selaimiin ja hoitavat tämän turvallisemmin.”
Mitkä ovat pahimpia mokia, joita voi tehdä muistaakseen salasanat? Mitä itse olet tehnyt?
”Pahin moka lienee se, että käyttää samaa salasanaa sekä jossain tärkeässä palvelussa että jossain huuhaa-palvelussa.”
Neurologi neuvoo muuntelemaan yhtä salasanaa
Miten salasanat kannattaa luoda, jotta ne muistaa, Husin psykiatriakeskuksen neurologian erikoislääkäri Kati Juva?
”Monilla on tai kannattaisi olla joku perussalasana, joka pysyy samana, ja jossa on numero, iso kirjain sekä erikoismerkki: esimerkiksi abC123#. Vaihtuva osa voi liittyä esimerkiksi ajankohtaan, esimerkiksi 2016abC123# tai kevät16abC123#, 16-1abC123# tai tammiabC123#. Nämä voivat toki olla arvattavissa. Mitä tahansa ajan mukana muuttuvaa muuttujaa voi käyttää monimutkaisemmin, esimerkiksi 100 miinus oman lapsen ikä.”
Montako salasanaa sinun pitää muistaa ja miten muistat ne?
”Minulla on aivan liikaa salasanoja. Varsinaisella työpaikallani Husissa on yksi salasana sekä Windowsiin että esimerkiksi potilastietojärjestelmään. Näihin pääsen myös sirullisella toimikortilla, jonka pin-koodi ei muutu. Helsingin kaupungin järjestelmään on toinen salasana. Sitten lääkäriaseman vastaanotolla on kaksi eri salasanaa, joista toisen voi korvata toimikortilla ja sen pin-koodilla. Tämän lisäksi on vielä yhden hoivaosaston järjestelmä, johon on kaksi salasanaa. Näissä järjestelmissä on myös monta käyttäjätunnusta. Sanokoot tietoturvaekspertit mitä tahansa, minulla on pakko olla nämä yhdistelmät kirjattuna. Logiikka ja muisti voisivat toimiakin, jos voisin vaihtaa salasanan kaikkiin yhtä aikaa, mutta osassa salasana ei vaihdu lainkaan, osassa vuosittain tai neljännesvuosittain ja yhdessä kuukausittain. Lisäksi on lukuisia paikkoja, kuten verkkokauppoja, joissa käytän yleensä käyttäjätunnuksena sähköpostiosoitetta ja abC123# -tyyppistä salasanaa.”
Kuinka monta salasanaa ihminen voi oppia?
”Ei liene estettä oppia useampiakin, mutta se vie kapasiteettia muulta aivotoiminnalta.”
Miten muististaan voi huolehtia ja miten sitä voi kehittää?
”Käyttämällä muistia sekä olemalla sosiaalinen ja aktiivinen. Pitämällä huolta terveydestään ja verenkiertoelimistöstä: korkea verenpaine, kolesteroli, diabetes, tupakointi ja runsas alkoholinkäyttö heikentävät muistia. Muistiharjoitukset auttavat kehittämään sitä osa-aluetta, mitä testataan: numerosarjojen opettelu edistää niiden oppimista.”
Mitkä ovat pahimpia salasanamokia tietoturvan kannalta? Mitä niistä olet itse tehnyt?
”Minulla on salasanat paikassa, josta joku voi ne yrittäessään saada. Olen kuitenkin varmistanut, että huomaisin, jos näin kävisi. Kerran kirjoitin yhden version salasanasta paperilapulle, joka jäi työpöydälle. Hieman sekava potilas nappasi lapun ja kysyi, mitä tämä on.”
Salasanat voi muistaa teemojen avulla
Miten salasanat kannattaa luoda, jotta ne muistaa, Viestintäviraston tietoturva-asiantuntija Ilkka Sovanto?
”Luon salasanoja kahdella tavalla. Enemmistö salasanoista on koneen arpomia pitkiä merkkijonoja, joita minulla ei ole aikomuksena muistaa tai edes kirjoittaa itse. Näitä käytän useimpien nettipalveluiden kanssa. Muistettavaksi tarkoitetut salasanat luon yhdistelemällä erilaisia sanoja salalauseiksi, jotka ovat pitkiä, mutta muistettavissa.”
Montako salasanaa sinun pitää muistaa ja miten muistat ne?
”Pikaisella laskennalla pääsin reilusti sadan paremmalle puolelle. Suurimman työn hoitavat salasanan hallintaohjelmat, joita käytän useita. Useimmiten salasanat tulevat luontevasti lihasmuistista, mutta salalauseiksi rakennetut sanat ovat myös helposti palautettavissa mieleen tietyistä teemoista. Esimerkiksi Sirkka_Mummon maistuvaiset sähköankeriaat, Nam!”
Osa palveluista pakottaa uusimaan salasanan säännöllisesti. Miten se kannattaa tehdä?
”Saatan pysytellä samassa teemassa tai sitten salasananhallintasovelluksesta arvotaan vain uusi salasana.”
Voiko verkkoselainten muistia käyttää apuna?
”Verkkoselaimeen en tallenna salasanoja, koska haittaohjelmat vohkivat yleensä ensimmäisenä ne. Firefoxiin on mahdollista asettaa pääsalasana, joka ainakin tekee niiden viemisestä hieman hankalampaa.”
Mitkä ovat pahimpia mokia tietoturvan kannalta?
”Yleisin ja vakavin ongelma on saman salasanan kierrätys useassa palvelussa. Kun yksi palvelu murretaan, salasanaa kokeillaan muihinkin palveluihin. Itsekin myönnän joskus sortuneeni tähän.”
Lapin uutiset