Tuomas Karhula / Frendy

Monen yrityksessä elää vielä ajatus, että salasanat pitää vaihtaa säännöllisen tiheästi. Tämä tietoturvasääntö aiheuttaa ylimääräistä vaivaa ja onkin yllättävästi melko turha.

Kolme kuukautta on kutakuinkin normaali salasanan vaihtoväli, mutta usein sen vaihtoa saatetaan vaatia kuukaudenkin välein. Tietoturvan parantamisen sijaan tämä aiheuttaa ennemminkin turhaa käyttäjien vaihtuvuutta. Microsoft ja NIST ovat molemmat jo todenneet, ettei tiheä salasanojen vaihtaminen paranna yritysten tietoturvaa. Vaihtamisen sijaan on olemassa paljon parempiakin tapoja suojata salasanoja. Toinen sitkeästi istuva uskomus on, että salasanan tulisi olla mahdollisimman monimutkainen ollakseen turvallinen – väärin! Tämä uskomus tekee salasanoista äärimmäisen hankalasti muistettavia, joka taas näkyy tietoturvan paranemisen sijaan käyttäjien verenpaineessa.

Mutta miksi yksinkertaisempikin salasana on riittävä? Vastaus löytyy matematiikasta. Salasana “Rki&€ja1” on sinällään hyvä salasana sääntöjen mukaan, mutta aika hankala muistaa. Se ei kuitenkaan juuri eroa salasanan “tokjasik” tietoturvasta. Viimeisimmän murtamiseen menee tietokoneelta ehkä tunteja – ensimmäisen ehkä päiviä. Onko sillä väliä? No ei. Koneellisesti järkevässä ajassa murtumattoman ja helposti muistettavan salasanan saa aikaan esimerkiksi näin: “Maamamemaostaaan123” (MAAnantaina MAmma MEni MAnsikoita OSTAmAAN). Tällainen tapa hankaloittaa salasanan murtamista, mutta helpottaa muistamista. Pidempi on aina parempi. Muistettavuutta voi helpottaa käyttämällä eri palveluissa samaa salasanaa hieman muokattuna. Esimerkiksi Ylen palvelussa edellinen esimerkki voisi olla Maamamemaostaaan123_yl.

On tiettyjä asioita, joita salasanoissa tulisi ehdottomasti välttää. Jos salasana halutaan murtaa, on listassa merkki kerrallaan arvaamisen lisäksi muutama muukin tapa. Ensimmäinen on kokeilla kaikkia yleisimpiä salasanoja. Jopa 91% kaikista sanasanoista löytyy linkin listalta, ja nämä ovat koneelle todella nopea käydä läpi. Samoin sanakirjojen sanat on nopeasti käyty läpi. Netissä on myös murretuista salasanoista listoja, joilta löytyykin melkein kaikki loput käytössä olevat salasanat.

Miten järjestelmiin murtaudutaan?

Mennäänkö järjestelmiin sitten sisälle salasanoja arvaamalla? Se ei ainakaan vaikuta helpolta tavalta. Hyvin monessa järjestelmässä on rakennettuna järjestelmä, joka lukitsee tunnuksen vaikka kymmenen arvauksen jälkeen. Pelkkä arvailu ei siis tuo onnea. Puhumattakaan siitä, että joku ihminen yrittäisi arvata toisen salasanan. Jos salasana ei ole 123456 tai Etunimi1234, sen arvaaminen alkaa olla aika tekemätön paikka.

Miten salasanoja sitten murretaan? Tai oikeammin, miten järjestelmiin sitten murtaudutaan salasanoja käyttämällä? En mene tässä nyt haavoittuvuuksiin tai aukkojen hyödyntämiseen, vaan pidättäydyn tämän kirjoituksen osalta salasanoissa. Tässä on ehkä kaksi yleisintä tapaa:

• Käytetään muualta saatua salasanaa. Suurin osa sivustoista tallentaa salasanan hyvin suojattuna, mutta eivät kaikki. Usein näistä ovat kotoisin myös listat käytetyistä salasanoista. Yleensä nämä vielä liitetään käyttäjätunnukseen, joka taas hyvin usein on sähköpostiosoite. Tiedossa olevia käyttäjätunnus + salasanapareja on helppo kokeilla eri järjestelmiin.
• Kalastelu. Käyttäjiltä on melko helppoa viedä tunnukset huijaamalla. Tutkimukset ovat osoittaneet, että puolet käyttäjistä klikkaavat linkkiä, vaikka ovat tietoisia mahdollisesta riskistä. Sama tutkimus myös toteaa, että lähes kuka tahansa saadaan klikkaamaan linkkiä, jos käytetään tarpeeksi vaivaa.
• (Haavoittuvuudet, mutta lupasin olla menemättä tähän)

Miten sitten suojautua? Mitä voi tehdä ilman, että käyttäjät lopettavat tietokoneiden käytön ja työntävät mieluummin kynän silmäänsä kuin yrittävät muistaa liian hankalia salasanoja liian usein?

• Käytetään pitkiä, mutta helposti muistettavia salasanoja. Niitä ei tarvitse vaihtaa kerran kuussa – kerran vuodessa tai tarvittaessa riittää.
• Ei käytetä samoja salasanoja missään. Ei siis missään. Joko kehitetään hyvä muistisääntö lisäämällä sivuston/järjestelmän nimestä vaikka pari merkkiä alkuun ja loppuun tai käytetään salasanojen hallintasovellusta, kuten esimerkiksi LastPassia tai yrityskäytössä SecretServeriä.
• Monivaiheinen tunnistautuminen. Tämä on ehdottomasti oltava päällä kaikissa kriittisimmissä järjestelmissä. Monivaiheinen tunnistautuminen hankaloittaa todella paljon salasanojen hyväksikäyttöä. Hyvä salasana ei hyödytä, jos itse antaa salasanansa huijarille.
• Isommassa kuvassa tunnushallinta. Mihinkään järjestelmään ei pitäisi olla ryhmätunnuksia, vaan aina henkilökohtaisia tunnuksia. Näin voidaan myös jäljittää, kuka on tehnyt mitäkin. Tällöin poistuva henkilö ei vie myöskään mennessään salasanaa. On kuitenkin syytä muistaa lakkauttaa poistuvan henkilön tunnukset!
• Salasananhallintasovelluksista toimivia ratkaisuja ovat esimerkiksi Keepass yksityiseen käyttöön ja SecretServer yrityskäyttöön. Maksulliset palvelut tarjoavat enemmän ominaisuuksia ja ennen kaikkea käyttäjähallintaa, mutta ilmainen sovelluskin on parempi kuin ei mitään. Salasanoja voi myös hallita ensimerkiksi OneDrivessa tai Google Drivessa.
• Kun käytössä on oikeanlainen salasanapolitiikka, kenenkään ei tarvitse kirjoittaa salasanoja post it -lapulle!

Yhteenvetona vastaus otsikon kysymykseen, millainen on hyvä salasana:

• Pidempi on aina parempi (vähintään 12 merkkiä)
  
• Helposti muistettava (ei tarvitse olla Rki&€ja1)
  
• Joka paikassa on käytössä eri salasana (lisää helpostimuistettavan salasanan perään esimerkiksi erikoismerkki ja joku kirjainyhdistelmä palvelun nimestä)