Salla Hekkala
Yle
Kymmenien salasanojen hallitseminen saa kenet tahansa solmuun. Kun panostaa tietoturvaansa oikeissa paikoissa, ei huono tuuri tai satunnainen tietoturvamokailukaan koidu katastrofiksi. Kysyimme asiantuntijoiden vinkit hyvään salasanaan ja salasanakokoelman hallintaan.
Salasanoja ole tehty pelkästään ihmisten kiusaksi, vaikka joskus siltä tuntuisi. Vahva salasana on yhä ykkösvaihtoehto hakkereilta ja muilta henkilökohtaisten tietojen nuuskijoilta suojautumiseen, vakuuttavat tietoturva-asiantuntijat.
Onko ainut hyvä salasana sitten muotoa #fJ21h6$a9%åq7845?by!as? Ei välttämättä.
Kuningaskuluttaja haastatteli Viestintäviraston kyberturvallisuuskeskuksen erityisasiantuntijaa Jussi Erosta, tietoturvayhtiö F-Securen johtavaa tutkijaa Jarno Niemelää sekä yritysten tietoturvaa muun muassa hakkeroimalla testaavan Silverskinin perustajaa Mikko Niemelää.
Tärkein neuvo ensin: Laita kaikkiin palveluihin eri salasana - tai panosta ainakin sähköpostin salasanaan
Salasanojen hallinnan tekee vaikeaksi se, että joka paikkaan pitäisi olla eri salasana. Jos on kuitenkin keksinyt loistavan ja turvallisen salasanan, miten sen turvallisuutta voi vähentää se, että sitä käyttää useammassa paikassa? Tietoturva-asiantuntijoiden mukaan yhteen salasanaan luottavan suurin uhka ovat löperöt palveluntuottajat.
Jos muualla hakkeroitu salasana käy myös sähköpostiin, ollaan jo aika pahassa pulassa.
Hyvin suojatussa verkkopalvelussa salasana menee läpi algoritmista/funktiosta, joka muuntaa sen palvelun serverillä joksikin muuksi. Vaikka hakkeri pääsisi murtautumaan palveluun, ei hän näin pääse suoraan käsiksi käyttäjän oikeaan salasanaan. Kaikissa palveluissa näin ei kuitenkaan toimita.
Pahimmillaan käyttäjätunnukset ja salasanat saattavat lojua palvelun serverillä sellaisenaan. Onnekas hakkeri voi samalla saada haltuunsa muita tietoja, kuten käyttäjän sähköpostiosoitteen. Ja jos muualla hakkeroitu salasana käy myös sähköpostitiliin, ollaan jo aika pahassa pulassa, kertoo Jussi Eronen Viestintäviraston kyberturvallisuuskeskuksesta.
– Sähköpostissa on viestejä eri palveluista ja vaikka tämä salasana ei johonkin niistä kävisikään, voi hakkeri tilata sähköpostiin uuden salasanan.
Eli jos jossain salasanaan kannattaa panostaa, on se pääasiallisesti käytetty sähköpostitili. Etenkin, jos sähköpostiosoitetta käytetään kirjautumistunnuksena muihin palveluihin. Myös Facebookin tunnuksilla kirjaudutaan moniin muihinkin palveluihin, jolloin salasanan vuotamisella voi olla käyttäjälle hyvin harmilliset seuraukset.
Tee salasanoja kuin Ruuneperi
Salasanan muodostamiseen kaikkien asiantuntijoiden ykkösohje on: tee siitä pitkä. Monissa palveluissa salasanan minimipituudeksi on määritelty 8 merkkiä. Tämä jää kuitenkin kauas asiantuntijoiden suosituksista.
Kyberhyökkäysyhtiö Silverskinin Mikko Niemelän mukaan hyvän salasanan tulisi olla ainakin 25 merkkiä.
- Itse käytän salasanana kokonaista runoa, yrityksiä niiden omasta pyynnöstä hakkeroiva Niemelä kertoo.
Itse käytän salasanana kokonaista runoa.
Lausemuotoista salasanaa suosittelee myös Kyberturvallisuuskeskus. Jussi Erosen mukaan salalauseen vahvuus on se, että mahdollisia sanoja taivutuksineen on maailmassa melkein äärettömästi, kun taas erilaisia merkkejä on vain joitakin kymmeniä.
F-Securen Jarno Niemelä on eri mieltä sanojen käyttämisestä salasanassa. Hänen mukaansa hyvä salasana ei voi olla sellainen, että ihminen pystyy sen muistamaan. Tämän tyyppisten salasanojen käyttäjän onkin turvauduttava salasanaohjelmaan tai -palveluun. Salasanat tallentava ohjelma löytyy myös F-Securelta.
Salasanaohjelmasta tai -palvelusta apua muistille
- Omat salasanansa ja tunnuksensa eri palveluissa voi tallentaa salasana-ohjelmaan tai -palveluun
- Salasanapalveluissa salasanat ovat yleensä pilvipalvelussa pääsalasanan takana. Salasanat ovat vaarassa, jos pääsalasana unohtuu tai joutuu vääriin käsiin.
- Turvallisempi vaihtoehto on salasanaohjelma, jossa salasana on tallennettuna vain omalle laitteelle, kuten tietokoneelle tai matkapuhelimeen. Tällöin pitää kuitenkin huolehtia, ettei laite kadotessaan tai hajotessaan vie myös kaikkia salasanoja mukanaan. Kannattaa varmistaa, että tiedot on synkronoitu myös jollekin toiselle käytössäsi olevalle laitteelle.
- Kyberturvallisuuskeskuksen mukaan salasanan voi myös tallentaa paperilapulle. Lunttilapusta tulee luonnollisesti huolehtia hyvin. On myös syytä varmistaa, etteivät salasanat ole kirjattuna siinä muodossa, että ulkopuolinen osaa yhdistää ne oikeisiin tunnuksiin.
Kerro oikea nimesi vain pakon edessä
Myös käyttäjätunnusten varioimista kannattaa harkita. F-Securen Jarno Niemelä ei anna palveluille edes oikeaa nimeään, ellei tälle ole jotain järkevää syytä kuten se, että palvelussa käytetään myös luottokorttia, jossa täytyy olla sama nimi kuin kirjautumistiedoissa.
– Silloin kun palvelulla ei ole laillista syytä tietää kuka olen, valehtelen aina. Kaikkiin niihin tunnistautumiskysymyksiin laitan satunnaisen merkkijonon.
Jos palvelulla ei ole laillista syytä tietää kuka olen, valehtelen aina.
Kun käyttäjätunnus vaihtelee, on hakkerin vaikeampi päästä käsiksi käyttäjän muihin tileihin, vaikka yksi palvelu murrettaisiinkin.
Käytä myös muita suojauskeinoja – salasanan korvaajaksi niistä ei kuitenkaan ole
Kun palvelu tarjoaa jonkinlaistan lisäsuojaa kuten tekstiviestivarmennetta, käytä sitä, sanovat tietoturva-asiantuntijat. Erilaisista biometrisistä tunnistuskeinoista eli esimerkiksi kasvotunnistuksesta on toivottu jopa salasanojen korvaajaa, mutta sellaista teknologiaa, joka korvaisi salasanan ei ole kuitenkaan asiantuntijoiden mukaan lähitulevaisuudessa näkyvissä. Esimerkiksi melko yleisesti käytetyt sormenjälkitunnistus tai mobiilivarmenne eivät nekään ole täysin murtamattomia. Salasanan kanssa ne tarjoavat kuitenkin käyttäjälle lisäsuojaa.
Kyberturvallisuuskeskuksen Jussi Erosen mukaan helpoin tapa hakkerille tai tietojen urkkijalle saada salasanoja käsiinsä on yhä kysyminen. Luotettavat palveluntuottajat eivät koskaan kysy salasanaa esimerkiksi sähköpostilla. Hakkeri voi myös huijata käyttäjän sivulle, joka näyttää esimerkiksi verkkopankin etusivulta. Kannattaakin aina tarkistaa osoitekentästä, että on todella sillä sivulla, jolle haluaa kirjautua sisään.
Näin hakkeri nappaa tietosi
- Hakkerit tietävät, että ihmiset käyttävät usein samanlaisia salasanoja. Siksi murtaminen aloitetaan yleensä sellaisilla salasanoilla, joihin on jo törmätty jossain muualla. Näitä salasanoja murtautujilla saattaa olla valmiina jopa miljoonia. Jos olet turvautunut esimerkiksi hyvin suosittuun salasanaan "salasana", on hyvin todennäköistä, että hakkerit murtavat tilisi alta aikayksikön.
- Hakkeri ei suinkaan aina käy salasanakentän kimppuun. Kun tiettyyn palveluun halutaan murtautua, laitetaan salasanakenttään jokin yleisimmistä salasanoista. Sen kanssa sitten testataan kaikki palvelusta löytyvät käyttäjätunnukset, jotka esimerkiksi suurissa yrityksissä on helppo muodostaa työntekijöiden nimistä. Yleensä joltakin käyttäjältä löytyy heikko salasana.
- Salasanoja ei arvaile ihminen vaan kone, joka voi testata miljardeja eri salasanoja sekunnissa. Vaikka hakkerit eivät siis olisi sinun perässäsi, kannattaa oman salasanansa kanssa olla tarkkana.
- Biometrisiin tunnistautumiskeinoihin kehitellään murtomenetelmiä sitä mukaan, kun uusia tunnistautumistapoja syntyy. Kasvojentunnistukseen voidaan näyttää kuvaa tai videota, sormenjälki taas voidaan kopioida. Nämä keinot ovat kuitenkin usein sen verran vaivalloisia, ettei tavallisen ihmisen tarvitse niistä juuri huolehtia.
