Printtaa tämä artikkeli Printtaa tämä artikkeli

 

Muistatko salasanasi?

 

 

Salasanat ja turvallisuus

Tässä ei ole tarkoitus arvostella ketään huonoista salasanoista. Tärkeintä on käyttää turvallisia salasanoja ja muistaa ne. Kuitenkin asia on helpommin sanottu kuin tehty, sillä se ei ole aivan yksinkertainen. On valotettava myös salasanojen merkitystä.

 

Joku voi sanoa, että minulla ei ole mitään salattavaa. Miksi salasanani kiinnostaisi ketään? Ehkä onkin parempi kysyä, miten tärkeänä pidät, että nettihenkilösi on vain itsesi käytettävissä. Että vain sinä voit sitä käyttää ja hyödyntää. Eivätkä laajat nettirikollisten piirit voi esiintyä sinuna, käyttää tunnuksiasi tai tietojasi itsesi tai kenen tahansa muun netin käyttäjän haitaksi.

 

Salasanat, käyttäjätunnukset ja niiden luettelot ovat nettirikollisten piirissä rahan arvoista tavaraa. Niitä kaupataan eteenpäin maksua vastaan. Et kai halua tietojasi mukaan tuohon maailmanlaajuiseen kaupankäyntiin ja käyttöön?

Nettiturvallisuuden gurut ovat kautta aikojen korostaneet, että salasanojen turvallisuus on tietotekniikan perusasioita. Se koskee meitä kaikkia riippumatta siitä miten vilkasta netin käyttömme on. Kaikkien salasanat kelpaavat ja niillä tehdään rahaa.

 

Salasanoja varastetaan

Nettirikolliset piirittävät kuin kärpäset sekä pienempiä että varsinkin suurempia sivustoja. Kaikista sivustojen varmistustoimenpiteistä huolimatta ne onnistuvat kuitenkin silloin tällöin kaappausyrityksissään.

Tällaisia onnettomuuksia on tapahtunut suurista sivustoista esim. PayPalille. Kun tuollainen murto huomataan, niin sivusto pyytää käyttäjiään vaihtamaan salasanansa. Asiakkaan kannalta on ongelma sitä suurempi jos samaa salasanaa on käytetty useammassa sivustossa. Pitäisi muistaa missä kaikissa ja käydä vaihtamassa niidenkin salasana. Muussa tapauksessa ovat tiedot jo rikollisten ulottuvilla.

Suosittujen maailmalaajuisten nettisivustojen lisäksi ovat kaikki sivustot pieniä blogeja myöten vaaravyöhykkeessä. Pienten sivustojen tietomurtoihin johtavia syitä on yleensä niiden päivitysten laiminlyönti ja puutteellinen turvallisuusvalvonta. Sivuston koko tai luonne ei siis ole ratkaiseva. Kaikki ovat robottien järjestelmällisessä seurannassa. Yleisen haravoinnin lisäksi tehdään sitten suurempiin sivustoihin rikollisten (ns krakkerien) tarkoin suunnittelemia murtoiskuja.

Salasanan tulee turvallisuuden takia olla riittävän mutkikas – tarkemmin jäljempänä. Tämä vaatimus johtaa puolestaan siihen, että niitä on vaikeata muistaa. Kun ei muista salasanaa omaan firmaansa tai johonkin muuhun, niin seuraava keino on sen uusiminen.

Tämä salasanojen vaihtaminen on viime aikoina johtanut yritysten valittamiseen sen suurista kustannuksista. Suomessa on puhuttu jopa kymmenistätuhansista euroista yritystä kohden. Kustannus riippuu tietysti siitä, millainen sopimus organisaatiolla on sen tietotekniikkaa hoitavan yrityksen kanssa. Näyttää siltä, että myös tällainen melko rutiininomainen toimenpideryhmä voidaan tehdä tuntuvan rahastuksen välineeksi. – Niin on tietotekniikassa usein: Jos ei tiedä tai osaa, niin joutuu helposti tavalla tai toisella maksamaan siitä odottamattoman suuren hinnan.

Ensin pitää olla hyvä turvallinen salasana ja sitten muistaa se. Salasanojen muistamista käsitellään tässä oppaassa vasta niiden luomisen jälkeen.
 

Turvallinen salasana
 
Salasanojen turvallisuudesta on netissä vaikka kuinka paljon ohjeita. Tavallista netin käyttäjää tämä määrä ja ohjeiden kirjavuus voi hämätä ja tehdä asian jopa vaikeaksi. Ohjeet ovat osittain erilaisia, yksi sivusto tai asiantuntija voi neuvoa yhtä ja toinen taas hiukan toisin. Kuitenkin kaikki ohjeet ovat hyödyllisiä. Ne puhuvat oikeata asiaa, josta voi olla yksityskohdissaan erilaisia ratkaisuja.

Turvallisen salasanan taustana ovat kokemukset nettirikollisten toiminnasta. Miten ne yrittävät automatisoiduin keinoin ja robotteja käyttämällä saada selville salanoja. Niillä on mm. käytettävissä erityisiä ohjelmia, jotka merkki merkiltä skannaavat salasanoja löytääkseen oikean merkkiyhdistelmän. Myös yleisimpiä salasanoja on helppo kokeilla ja selväkielisiä arvata.

Salasanan kokeileminen on rikollisille sitä vaikeampaa, mitä enemmän merkkejä siinä on. Jokainen merkki on erikseen tutkittava, mikä vaati aikaa ja konetehoja. Niinpä sivustojen yhteydessä on usein salasanojen arvostelusysteemi, joka kertoo, miten turvallinen keksimäsi salasana on. Tai ainakin sanotaan, että salasanassa tulee olla vähintään esim. kuusi tai kahdeksan merkkiä.

OK, hyvä tuokin, mutta se ei enää nykyisin riitä turvalliseksi salasanaksi. Siinä ei tule käyttää yleisimpiä salasanoa, selväkielisiä ilmaisuja ja helposti arvattavia. Tässä listaus Suomessa käytetyistä yleisimmistä salasanoista. Nämä – ja vastaavat – on nopeasti konnien kokeiltavissa, ne ovat  ->tässä.  Eikä sivustoilla sanota, että laadi mieluiten oma salasana tätä sivustoa varten, äläkä käytä sitä muualla!

Varmemman analyysin salasanasi vahvuudesta antaa netissä toimiva salasanojen luettavuuden online mittaus kuten Password Meter -> täällä  Myös muita salasanan luettavuuden analysoijia on  -> täällä.   Ja tekniset sekä tieteelliset perusteet yksityiskohtineen ilmenevät asiasta kiinnostuneille Wikipedian artikkelista ? täällä
 
Tiiviste: Millainen on siis turvallinen salasana

  • – Ei selväkielinen
  • – Vähintään 8 merkkiä, mutta huomaa, mitä enemmän sitä parempi!
  • – Käytä myös suuria kirjaimia (versaaleja) sekä numeroita ja erikoismerkkejä
  • – Käytä eri sivustoissa niitä varten tekemiäsi salasanoja, älä missään nimessä samaa useammissa paikoissa
  • – Jos olet epävarma salasanasi luotettavuudesta, niin testaa se (ks. Linkit)
  • – Salasanan tekee helpommin käytettäväksi sen muistettavuus. Tästä tarkemmin jäljempänä. 

 

Salasanojen hallinnointiohjelmat
 
Netissä toimii useita salasanoja hallinnoivia ohjelmia Password Managereita. Tunnetuimpia ja suosituimpia ovat KeePass ja LastPass, linkit tietoihin ja latauksiin alempana Linkeissä. Managerit ovat hyvin käyttökelpoisia osaaville. Kuitenkaan en pidä niitä mitenkään välttämättöminä tavallisille netin käyttäjille. On tullut oltua muutaman kerran mukana selvittämässä teknisistä voista aiheutuneita salasanojen hallinnan vaikeuksia tai listauksien katoamisia.

Myös selaimissa on yksinkertaisia salasanojen hallintaohjelmia. Lähinnä ne vain muistavat aikaisemmin käytetyn salasanan. Tämä on vielä kaukana siitä mitä varsinaiset Password Managerit pystyvät tekemään. Ne poistavat käyttöönotettaessa ensi töinään selaimien salasanahallinnan. Selaimien salasanojen muistilla on omat vaaratekijänsä. On mahdollista onkia niitä esille. Käytä harkinnan mukaan. Mukavuutta parantavia, mutta eivät täysin varmoja säilytyspakkoja.

 

Salasanojen muistaminen ja käytettävyys
 
Salasanojen muistaminen on yksi niiden käytön ominaisuuksista. Helpommin muistettava on myös kätevämpi käyttää; se on nopeammin kirjoitettavissa näppäimistöltä. Mutta kuten jo alussa totesin, sanasanan luetettavuuden vaatimus tekee sen muistamisesta vaikeamman.

Muistamiseen voidaan vaikuttaa jo salasanan luomisvaiheessa. Suosittu tapa on keksiä jokin hyvin muistettava lause, otetaan esimerkiksi vaikka:

Purjehdi kauas myötätuulessa. Otetaan siitä vaikka – poimintatapoja voi jokainen soveltaa haluamallaan tavalla – jokaisen sanan ensimmäinen ja viimeinen kirjain. Saadaan Piksma. Olkoon se runko, jota vähän viimeistellään vaikka näin PiksmA?7. Siihen sitten lisätään halutun palvelun tai sivuston jokin tunnusmerkki, vakka neptunettiin nept. Saadaan neptunettiä varten salasanaksi vahva 12 merkin PiksmA?7nept. Ei mahdoton muistaakaan tai päätellä eikä ylivoimainen kirjoittaa.

Tuossa siis vain periaatetta. Jokainen voi helposti keksiä itselleen paljon parempia ja itselle hyvin muistettavia jostakin lauseesta eteenpäin lähteviä ratkaisuja.

Myös salasanojen säilyttämiseen on useita tapoja ja suosituksia. Tämän oppaan linkeissä Norton sanoo, että Älä kirjoita salasanoja muistiin paperille. Olen eri mieltä. Varmin tapa on kirjoittaa kohde, käyttäjätunnus ja salasana johonkin sitä varten varattuun vihkoon ja laittaa pöytälaatikkoonsa. Tämän opettaa erehdysten myötä käytäntö niille, joilla on paljon salasanoja. Ei siis mihin tahansa lappuun tai paperinkulmaan. Tätä varten voi tehdä vaikka oman erityisen lomakkeenkin ja printata niitä. Myös sivuston nimi on muistettava, muuten ei ole varmaa, mihin salasana on asetettu.

On näitä salasanoja laitettu tietokoneeseen, puhelimeen, jopa salattunakin, tai pilveen tai johonkin Password Managerien palveluun. Mutta tekniikka on aina haavoittuvainen. Koskaan ei ole sataprosenttisen varmaa, että salasana on varmassa tallessa ja aina hallinnoitavissa. Ei tietysti pöytälaatikossa olevassa vihossakaan, sillä talosi ja kirjoituspöytäsi voi palaa tai kotiisi voidaan murtautua. Ne ovat vihosta kuitenkin helpoiten esille satavissa eivätkä paljon yleisemmät tietotekniikan tekniset ongelmat pääse niihin kiinni.

Niin tosiaan, olosuhteista riippuen voit sitten lukita sen pöytälaatikkosi…
 
 

Linkit

 

 

Salasanojen luonti

Password Generator 

Salasanageraattori Windowsia varten

PWGen for Windows

 

Salasanojen hallintaohelmat

KeePass, tässä linkissä myös sen suomenkielinen versio

LastPass

 

Luotettavuuden mittaus

Password Meter

Muita luotettavuuden analysoijia

 

 

Asiaan liittyvää

100 yleisintä suomalaista salasanaa

 

 

 

Tagit: , ,

6 kommenttia juttuun “Salasanat opas”

  1. Päivi Vitali sanoo:

    Salasana ei missään nimessä saa olla helposti arvattavissa, vaan paras salasana on asia/ muisto, jonka vain itse tietää aloittaen isolla kirjaimella/ sekä lopuksi numero perään

  2. Neptun sanoo:

    Näin on. Jos lukee tämän artikkelin on siinä aika paljon neuvoja, millainen tulee turvallisen salasanan olla. Numeroiden ja isojen kirjaimien paikkaa ei tarvitse säädellä; mihin vain. Suosittelelen myös erikoismerkkejä & % ? = jne. Tekstiosuuden tulisi olla mieluiten suomea tai suomen tapaista – ei englantia. Suomen kieli on jo pieni salaus nettirikollisille.

    Myös salasanan pituudella on oma merkityksensä. Robottien salasana analysaattoreilla menee sitä enemmän aikaa mitä enemmän merkkejä salasanassa on. Artikkelissä on myös linkki, missä voi mitata suunittelemasi salasanan turvallisuuden. Eikä samaa salasanaa joka paikkaan, sillä tietovuotoja on koko ajan. Silloin on aika homma käydä muuttamassa se joka paikassa.

    Hyvä, että olet selvillä salasanojen turvallisuudesta!

  3. Kaisa Huttunen sanoo:

    Halusin ehdottomasti laittaa palautetta tästä hyvästä artikkelista koskien salasanoja. Etenkin pidin alun taustoituksesta ja perusteluista, miksi jokaisen tulisi käyttää tarpeeksi vahvaa salasanaa. Sitä ei mielestäni voi korostaa liikaa, koska kuten tässäkin tekstissä todetaan: Kaikkien salasanat kelpaavat ja niillä tehdään rahaa.

    Kirjoitin itse vasta vahvoista salasanoista ja tiivistin sen kuuden kohdan listaan, jotta se olisi mahdollisimman selkeä myös ns. tavallisille netin käyttäjille.

    Nostamani pointit olivat: 1. riittävän pitkä, 2. ei ennalta-arvattava, 3. ei koostu pelkistä sanakirjasanoista, 4. sisältää erikokoisia kirjaimia, numeroita ja erikoismerkkejä, 5. käytössä vai yhdessä palvelussa ja 6. vaihdetaan säännöllisesti.

    Mitä mieltä olet nostoista? Olisitko itse nostanut jotain muuta?

    Kokonaisuudessaan kirjoitus löytyy täältä: https://www.zoner.fi/vahvat-salasanat-ja-salasanojen-hallinta/.

  4. Neptun sanoo:

    Kyllähän nuo tärkeimpiä ovat. Toisaalta tietokoneen käyttäjiltä ei kannata vaatia kovin monipuolisia toimenpiteitä, koska ne silloin jäävät usein kokonaan tekemättä. Jo pituuskin on hyvä muistaa. Suomen kieli on lisäksi eräänlainen salakirjoitus sekin.

    Muokkasin kommenttiasi, sillä muuten se olisi avannut linkitetyn sivun. Hm, et kai suoraa käytä aineistona muiden kirjoituksia omissa artikkeissasi?

  5. Kaisa Huttunen sanoo:

    Tuo pituus onkin haastava asia! Eräs meidän asiantuntijoista oli jopa sitä mieltä, että oikeasti vahva salasana olisi jopa 30 merkkiä pitkä.

    En luonnollisestikkaan käytä suoraan muiden tekemää aineistoa kirjoituksessani. Toki olen lukenut ja keskustellut asiantuntijoiden kanssa aiheesta paljon, joten sitä kautta totta kai jonkinlaisia yhteyksiä voi muodostua. Kaikkien tietojen pohjalta olen kuitenkin muodostanut oman näkemykseni ja kirjoituksen kuuden kohdan lista on vain minun ajatukseni siitä, mitkä ovat ne keskeisimmät jutut vahvan salasanan kohdalla.

  6. Neptun sanoo:

    Salasanojen pituudesta tulee mieleen esim. phpBB foorumien – jollainen Neptunetissäkin – sisäiset salasanat, jotka ovat usean sadan kirjain- ja merkkiydistelmän valtava listaus. Jos niitä muuttaa pitää käyttää erityistä generaattoria, jolla niitä tehdään. Aikoinaan ihmettelin niiden tarvetta, mutta ehkä ne ovat sitten hyväksi. Toisaalta yksi kohta kahden metin panssaria ei suojaa kuitenkaan hyökkäyksiltä muualle kohteeseen, tuossa tapauksessa. Tavallisten käyttäjien salasanat ovat sitä parempia mitä pitempiä, koska silloin roboteilta menee aina enemmän aikaa sen selvittämiseen. Uskoisi niiden käyttävän aikaansa tehokkaammin eli lyhyempiin salasanoihin.

    Oikein koostat artikkeleja. Tiedothan ovat aina kaikkien yhteisiä. Lisäksi sinulla on aivan omia lisäyksiä niihin. Jos laitat vielä kommettia, niin voisitko itse poistaa siitä sen URLn (tämä on sivuston turvallisuusasioita).

Jätä kommentti

Voit käyttää näitä tageja: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>