Salasanat

Lähivuosina Suomessa on tapahtunut lukuisia tietovuotoja, joissa periaatteessa kaikkien saataville on joutunut mm. henkilötunnuksia, käyttäjätunnuksia, sähköpostiosoitteita ja jopa salasanoja. Vaarallisin tilanne on se, että vuodettua salasanaa on käytetty useammassa paikassa, esim. verkkokaupoissa, joista väärinkäyttäjä voisi sitten tilailla tavaraa toisten laskuun.

Sinun heikko salasanasi vaarantaa muutkin

Vuodot johtuvat monenlaisista syistä, mm. valmisohjelmistojen turva-aukoista ja tietoturvaosaamisen puutteesta, mutta yleisin syy lienee liian heikko salasana. Kun murtautuja onnistuu arvaamaan tai koneellisesti selvittämään yhden heikon salasanan, sen avulla voi päästä käsiksi muihin salasanoihin ja hyökkäysreitteihin.

Huonoin mahdollinen salasana on oma nimi tai käyttäjänimi, joita murtautuja tyypillisesti kokeilee ensimmäisenä. Sellainen on verrattavissa siihen, että jättäisi kotiavaimen lukkoon aina lähtiessään.

Se on erityisen vaarallista, jos käyttää samaa salasanaa monessa verkkopalvelussa, koska tällöin murtautuja pääsee käsiksi moneen paikkaan saatuaan yhden salasanan selville.

Millainen on hyvä salasana?

Aiemmin pidettiin turvallisena vähintään 6–8 merkin yhdistelmää kirjaimia, numeroita ja välimerkkejä, mutta konetehojen kasvaessa noin lyhyet salasanat ovat muuttuneet alttiiksi automatisoiduille murroille, joissa hyökkääjän ohjelma kokeilee järjestelmällisesti erilaisia salasanoja, kunnes oikea löytyy. Viestintävirasto suosittaakin nykyään salasanan pituudeksi vähintään 15 merkkiä. Pituus tekee automatisoiduista murroista paljon vaikeampia.

Turvallinen salasana voi siis olla esimerkiksi pitkähkö, selväkielinen lause, esim: "MustaHevonenJuoksiTienYli". Sellainen on helpompi muistaa kuin merkityksetön merkkiyhdistelmä. Tietenkin lauseen täytyy olla sellainen, etteivät muut ihmiset voi arvata sitä.

Tietoturvatutkija Mikko Hyppönen kertoo lisää >>