Salasanat Opas

Printtaa tämä artikkeli Printtaa tämä artikkeli
Neptun 25 elokuun, 2014

 

Muistatko salasanasi?

 

 

Salasanat ja turvallisuus

Tässä ei ole tarkoitus arvostella ketään huonoista salasanoista. Tärkeintä on käyttää turvallisia salasanoja ja muistaa ne. Kuitenkin asia on helpommin sanottu kuin tehty, sillä se ei ole aivan yksinkertainen. On valotettava myös salasanojen merkitystä.

 

Joku voi sanoa, että minulla ei ole mitään salattavaa. Miksi salasanani kiinnostaisi ketään? Ehkä onkin parempi kysyä, miten tärkeänä pidät, että nettihenkilösi on vain itsesi käytettävissä. Että vain sinä voit sitä käyttää ja hyödyntää. Eivätkä laajat nettirikollisten piirit voi esiintyä sinuna, käyttää tunnuksiasi tai tietojasi itsesi tai kenen tahansa muun netin käyttäjän haitaksi.

 

Salasanat, käyttäjätunnukset ja niiden luettelot ovat nettirikollisten piirissä rahan arvoista tavaraa. Niitä kaupataan eteenpäin maksua vastaan. Et kai halua tietojasi mukaan tuohon maailmanlaajuiseen kaupankäyntiin ja käyttöön?

Nettiturvallisuuden gurut ovat kautta aikojen korostaneet, että salasanojen turvallisuus on tietotekniikan perusasioita. Se koskee meitä kaikkia riippumatta siitä miten vilkasta netin käyttömme on. Kaikkien salasanat kelpaavat ja niillä tehdään rahaa.

 

Salasanoja varastetaan

Nettirikolliset piirittävät kuin kärpäset sekä pienempiä että varsinkin suurempia sivustoja. Kaikista sivustojen varmistustoimenpiteistä huolimatta ne onnistuvat kuitenkin silloin tällöin kaappausyrityksissään.

Tällaisia onnettomuuksia on tapahtunut suurista sivustoista esim. PayPalille. Kun tuollainen murto huomataan, niin sivusto pyytää käyttäjiään vaihtamaan salasanansa. Asiakkaan kannalta on ongelma sitä suurempi jos samaa salasanaa on käytetty useammassa sivustossa. Pitäisi muistaa missä kaikissa ja käydä vaihtamassa niidenkin salasana. Muussa tapauksessa ovat tiedot jo rikollisten ulottuvilla.

Suosittujen maailmalaajuisten nettisivustojen lisäksi ovat kaikki sivustot pieniä blogeja myöten vaaravyöhykkeessä. Pienten sivustojen tietomurtoihin johtavia syitä on yleensä niiden päivitysten laiminlyönti ja puutteellinen turvallisuusvalvonta. Sivuston koko tai luonne ei siis ole ratkaiseva. Kaikki ovat robottien järjestelmällisessä seurannassa. Yleisen haravoinnin lisäksi tehdään sitten suurempiin sivustoihin rikollisten (ns krakkerien) tarkoin suunnittelemia murtoiskuja.

Salasanan tulee turvallisuuden takia olla riittävän mutkikas – tarkemmin jäljempänä. Tämä vaatimus johtaa puolestaan siihen, että niitä on vaikeata muistaa. Kun ei muista salasanaa omaan firmaansa tai johonkin muuhun, niin seuraava keino on sen uusiminen.

Tämä salasanojen vaihtaminen on viime aikoina johtanut yritysten valittamiseen sen suurista kustannuksista. Suomessa on puhuttu jopa kymmenistätuhansista euroista yritystä kohden. Kustannus riippuu tietysti siitä, millainen sopimus organisaatiolla on sen tietotekniikkaa hoitavan yrityksen kanssa. Näyttää siltä, että myös tällainen melko rutiininomainen toimenpideryhmä voidaan tehdä tuntuvan rahastuksen välineeksi. – Niin on tietotekniikassa usein: Jos ei tiedä tai osaa, niin joutuu helposti tavalla tai toisella maksamaan siitä odottamattoman suuren hinnan.

Ensin pitää olla hyvä turvallinen salasana ja sitten muistaa se. Salasanojen muistamista käsitellään tässä oppaassa vasta niiden luomisen jälkeen.

 

Turvallinen salasana

 
Salasanojen turvallisuudesta on netissä vaikka kuinka paljon ohjeita. Tavallista netin käyttäjää tämä määrä ja ohjeiden kirjavuus voi hämätä ja tehdä asian jopa vaikeaksi. Ohjeet ovat osittain erilaisia, yksi sivusto tai asiantuntija voi neuvoa yhtä ja toinen taas hiukan toisin. Kuitenkin kaikki ohjeet ovat hyödyllisiä. Ne puhuvat oikeata asiaa, josta voi olla yksityskohdissaan erilaisia ratkaisuja.

Turvallisen salasanan taustana ovat kokemukset nettirikollisten toiminnasta. Miten ne yrittävät automatisoiduin keinoin ja robotteja käyttämällä saada selville salanoja. Niillä on mm. käytettävissä erityisiä ohjelmia, jotka merkki merkiltä skannaavat salasanoja löytääkseen oikean merkkiyhdistelmän. Myös yleisimpiä salasanoja on helppo kokeilla ja selväkielisiä arvata.

Salasanan kokeileminen on rikollisille sitä vaikeampaa, mitä enemmän merkkejä siinä on. Jokainen merkki on erikseen tutkittava, mikä vaati aikaa ja konetehoja. Niinpä sivustojen yhteydessä on usein salasanojen arvostelusysteemi, joka kertoo, miten turvallinen keksimäsi salasana on. Tai ainakin sanotaan, että salasanassa tulee olla vähintään esim. kuusi tai kahdeksan merkkiä.

OK, hyvä tuokin, mutta se ei enää nykyisin riitä turvalliseksi salasanaksi. Siinä ei tule käyttää yleisimpiä salasanoa, selväkielisiä ilmaisuja ja helposti arvattavia. Tässä listaus Suomessa käytetyistä yleisimmistä salasanoista. Nämä – ja vastaavat – on nopeasti konnien kokeiltavissa, ne ovat  ->tässä.  Eikä sivustoilla sanota, että laadi mieluiten oma salasana tätä sivustoa varten, äläkä käytä sitä muualla!

Varmemman analyysin salasanasi vahvuudesta antaa netissä toimiva salasanojen luettavuuden online mittaus kuten Password Meter -> täällä  Myös muita salasanan luettavuuden analysoijia on  -> täällä.   Ja tekniset sekä tieteelliset perusteet yksityiskohtineen ilmenevät asiasta kiinnostuneille Wikipedian artikkelista -> täällä.

 
Tiiviste: Millainen on siis turvallinen salasana

  • – Ei selväkielinen
  • – Vähintään 8 merkkiä, mutta huomaa, mitä enemmän sitä parempi!
  • – Käytä myös suuria kirjaimia (versaaleja) sekä numeroita ja erikoismerkkejä
  • – Käytä eri sivustoissa niitä varten tekemiäsi salasanoja, älä missään nimessä samaa useammissa paikoissa
  • – Jos olet epävarma salasanasi luotettavuudesta, niin testaa se (ks. Linkit)
  • – Salasanan tekee helpommin käytettäväksi sen muistettavuus. Tästä tarkemmin jäljempänä. 

 

 

Salasanojen hallinnointiohjelmat

Netissä toimii useita salasanoja hallinnoivia ohjelmia Password Managereita. Tunnetuimpia ja suosituimpia ovat KeePass ja LastPass, linkit tietoihin ja latauksiin alempana Linkeissä. Managerit ovat hyvin käyttökelpoisia osaaville. Kuitenkaan en pidä niitä mitenkään välttämättöminä tavallisille netin käyttäjille. On tullut oltua muutaman kerran mukana selvittämässä teknisistä voista aiheutuneita salasanojen hallinnan vaikeuksia tai listauksien katoamisia.

Myös selaimissa on yksinkertaisia salasanojen hallintaohjelmia. Lähinnä ne vain muistavat aikaisemmin käytetyn salasanan. Tämä on vielä kaukana siitä mitä varsinaiset Password Managerit pystyvät tekemään. Ne poistavat käyttöönotettaessa ensi töinään selaimien salasanahallinnan. Selaimien salasanojen muistilla on omat vaaratekijänsä. On mahdollista onkia niitä esille. Käytä harkinnan mukaan. Mukavuutta parantavia, mutta eivät täysin varmoja säilytyspakkoja.

 

Salasanojen muistaminen ja käytettävyys

Salasanojen muistaminen on yksi niiden käytön ominaisuuksista. Helpommin muistettava on myös kätevämpi käyttää; se on nopeammin kirjoitettavissa näppäimistöltä. Mutta kuten jo alussa totesin, sanasanan luetettavuuden vaatimus tekee sen muistamisesta vaikeamman.

Muistamiseen voidaan vaikuttaa jo salasanan luomisvaiheessa. Suosittu tapa on keksiä jokin hyvin muistettava lause, otetaan esimerkiksi vaikka:

Purjehdi kauas myötätuulessa. Otetaan siitä vaikka – poimintatapoja voi jokainen soveltaa haluamallaan tavalla – jokaisen sanan ensimmäinen ja viimeinen kirjain. Saadaan Piksma. Olkoon se runko, jota vähän viimeistellään vaikka näin PiksmA?7. Siihen sitten lisätään halutun palvelun tai sivuston jokin tunnusmerkki, vakka neptunettiin nept. Saadaan neptunettiä varten salasanaksi vahva 12 merkin PiksmA?7nept. Ei mahdoton muistaakaan tai päätellä eikä ylivoimainen kirjoittaa.

Tuossa siis vain periaatetta. Jokainen voi helposti keksiä itselleen paljon parempia ja itselle hyvin muistettavia jostakin lauseesta eteenpäin lähteviä ratkaisuja.

Myös salasanojen säilyttämiseen on useita tapoja ja suosituksia. Tämän oppaan linkeissä Norton sanoo, että Älä kirjoita salasanoja muistiin paperille. Olen eri mieltä. Varmin tapa on kirjoittaa kohde, käyttäjätunnus ja salasana johonkin sitä varten varattuun vihkoon ja laittaa pöytälaatikkoonsa. Tämän opettaa erehdysten myötä käytäntö niille, joilla on paljon salasanoja. Ei siis mihin tahansa lappuun tai paperinkulmaan. Tätä varten voi tehdä vaikka oman erityisen lomakkeenkin ja printata niitä. Myös sivuston nimi on muistettava, muuten ei ole varmaa, mihin salasana on asetettu.

On näitä salasanoja laitettu tietokoneeseen, puhelimeen, jopa salattunakin, tai pilveen tai johonkin Password Managerien palveluun. Mutta tekniikka on aina haavoittuvainen. Koskaan ei ole sataprosenttisen varmaa, että salasana on varmassa tallessa ja aina hallinnoitavissa. Ei tietysti pöytälaatikossa olevassa vihossakaan, sillä talosi ja kirjoituspöytäsi voi palaa tai kotiisi voidaan murtautua. Ne ovat vihosta kuitenkin helpoiten esille satavissa eivätkä paljon yleisemmät tietotekniikan tekniset ongelmat pääse niihin kiinni.

Niin tosiaan, olosuhteista riippuen voit sitten lukita sen pöytälaatikkosi…
 
 

Linkit

 

 

Salasanojen luonti

Password Generator 

Salasanageraattori Windowsia varten

PWGen for Windows

Salasanojen hallintaohelmat

KeePass, tässä linkissä myös sen suomenkielinen versio

LastPass

Luotettavuuden mittaus

Password Meter

Muita luotettavuuden analysoijia

 

 

Asiaan liittyvää

100 yleisintä suomalaista salasanaa

 

 

 

Tagit: , , ,