Millainen on hyvä salasana ja kuinka usein se tulisi vaihtaa?

Tuomas Karhula | Frendy

Monessa yrityksessä vaaditaan, että salasanat pitää vaihtaa tiheästi. Tämä tietoturvasääntö aiheuttaa ehkä eniten työarjen turhautumia ja on vieläpä melko turhaa.

Kolme kuukautta on melko normaali salasananvaihtoväli, mutta tietoturvaharhassa jotkut saattavat vaatia salasanan vaihtoa kuukauden välein. Tietoturvan parantamisen sijaan tämä aiheuttaa ennemminkin käyttäjien vaihtuvuutta.

Microsoft ja NIST ovat molemmat jo todenneet, ettei tiheä salasanojen vaihtaminen paranna yritysten tietoturvaa. Vaihtamisen sijaan on olemassa paljon parempiakin tapoja suojata salasanoja.

Parempia tapoja suojata salasana

Salasana on riittävän monimutkainen, mutta muistettava. Moni uskoo sitkeästi, että salasanan tulisi olla mahdollisimman monimutkainen ollakseen turvallinen – väärin! Tämä uskomus tekee niistä myös äärimmäisen hankalasti muistettavia, joka taas näkyy tietoturvan paranemisen sijaan käyttäjien verenpaineessa.

Miksi yksinkertaisempikin salasana riittää? Koska matematiikka.

Salasana ”Rki&€ja1” on sinällään hyvä salasana sääntöjen mukaan, mutta aika hankala muistaa. Se ei kuitenkaan juuri eroa salasanan ”tokjasik” tietoturvasta. Viimeisimmän murtamiseen menee tietokoneelta ehkä tunteja – ensimmäisen ehkä päiviä. Onko sillä väliä? No ei.

Koneellisesti järkevässä ajassa murtumattoman ja helposti muistettavan salasanan saa aikaan esimerkiksi näin: ”Maamamemaostaaan123” (MAAnantaina MAmma MEni MAnsikoita OSTAmAAN). Tällainen tapa hankaloittaa salasanan murtamista, mutta helpottaa muistamista. Pidempi on aina parempi.

Hyvä salasana EI löydy yleisimmin käytettyjen salasanojen listalta. Jos salasana halutaan murtaa, on listassa merkki kerrallaan arvaamisen lisäksi muutama muukin tapa, joista ensimmäinen on kokeilla kaikkia yleisimpiä salasanoja. Jopa 91 % kaikista sanasanoista löytyy listalta, ja nämä ovat koneelle todella nopea käydä läpi. Samoin sanakirjojen sanat on nopeasti käyty läpi. Netissä on myös murretuista salasanoista listoja, joilta löytyykin melkein kaikki loput käytössä olevat salasanat. Lue myös: Miten salasana murretaan

Millaisia keinoja on suojautua salasanojen väärinkäytöltä?

Miten sitten suojautua? Mitä voi tehdä ilman, että käyttäjät lopettavat tietokoneiden käytön ja työntävät mieluummin kynän silmäänsä kuin yrittävät luoda ja muistaa liian hankalia salasanoja liian usein?

  • Käytetään pitkiä, mutta helposti muistettavia salasanoja. Niitä ei tarvitse vaihtaa kerran kuussa – kerran vuodessa tai tarvittaessa riittää.
  • Ei käytetä samoja salasanoja missään. Ei siis missään. Joko kehitetään hyvä muistisääntö lisäämällä sivuston/järjestelmän nimestä vaikka pari merkkiä alkuun ja loppuun tai käytetään salasanojen hallintasovellusta, kuten esimerkiksi LastPassia tai yrityskäytössä SecretServeriä.
  • Monivaiheinen tunnistautuminen. Monivaiheinen tunnistautuminen hankaloittaa todella paljon salasanojen hyväksikäyttöä. Hyvä salasana ei hyödytä, jos itse antaa salasanansa huijarille. Lue lisää: MFA – kirjautumisen hankaloittaja vai tietojen pelastaja?
  • Isommassa kuvassa tunnushallinta. Mihinkään järjestelmään ei pitäisi olla ryhmätunnuksia, vaan aina henkilökohtaisia tunnuksia. Näin voidaan myös jäljittää, kuka on tehnyt mitäkin. Tällöin poistuva henkilö ei vie myöskään mennessään salasanaa. On kuitenkin syytä muistaa lakkauttaa poistuvan henkilön tunnukset!
  • Salasananhallintasovelluksista hyviä ratkaisuita ovat esimerkiksi Lastpass/Keepass yksityiseen käyttöön ja SecretServer yrityskäyttöön. Maksulliset tarjoavat enemmän ominaisuuksia ja ennen kaikkea käyttäjähallintaa, mutta hyvä olisi käyttää edes jotain. Salasanoja voi myös hallita esimerkiksi OneDrivessa tai Google Drivessa.
  • Kun käytössä on oikeanlainen salasanapolitiikka, kukaan ei kirjoita salasanoja post it -lapulle!

Hyvä salasana pähkinänkuoressa

  • Pidempi on parempi
  • Helposti muistettava on käyttäjäystävällinen
  • Joka paikassa on eri salasana

Heräsikö kysymyksiä?

Ota meihin yhteyttä ja kysy lisää tai