[Teema] Salasanalla on väliä

Salasanat ja niiden hallinta vaikuttavat merkittävästi käyttäjien sähköisten palvelujen tietoturvaan. Usein palveluihin ja järjestelmiin pääsyn edellytys on salasana, jolla käyttäjä myös todennetaan. Joulukuun teemassa keskitytään salasanojen käyttöön liittyvään tietoturvaan. Hyvä alku on turvallisesti muodostettu salasana.

Verkkopalveluissa ja tietojärjestelmissä tarvitaan usein kykyä valvoa ja rajata sitä, kenellä on oikeus päästä käsiksi palvelun tietoihin tai muuttaa tietoja. Erityisesti internetpalveluissa salasana on suosittu tunnistamismenetelmä sen tunnettavuuden ja helppokäyttöisyyden vuoksi.

Käyttäjätunnuksin ja salasanoin suojataan tietoja ja rajataan pääsyä eri tietojärjestelmiin. Jokaisen on hyvä olla tietoinen yleisimmistä periaatteista salasanojen turvallisesta käytöstä.

Käyttäjätunnusta ja salasanaa voi ajatella tunnusparina, joista toinen on julkinen ja toinen taas salainen tieto.
Käyttäjätunnus on vähintään kohtuullisella vaivalla arvattavissa tai selvitettävissä. Hyvä esimerkki käyttäjätunnuksesta on sähköpostiosoite. Salasana puolestaan on salassa pidettävä tieto, jonka tarkoitus on varmistaa, ettei käyttäjätunnusta käytettäisi luvatta.

Mistä salasanoissa on kyse? Miten muodostaa hyvä salasana? Millä menetelmin salasanoja hyväksikäytetään? Miten hallita salasanoja? Lisäksi verrataan salasanoja muihin todentamismentelmiin ja annetaan palvelujen ylläpitäjille perusvinkkejä salasanojen hallintaan. Näitä asioita käsitellään joulukuussa ja teemakuukauden lopuksi Kyberturvallisuuskeskus julkaisee kootun salasana-ohjeen.

Vahvaa ja heikkoa käyttäjätunnistamista

Kun käytössä on vain käyttäjätunnus ja salasana -pari, puhutaan heikosta käyttäjätunnistuksesta. Heikkoa tunnistamista käytetään yleisesti lukuisissa kuluttajille suunnatuissa verkkopalveluissa sekä järjestelmissä, joissa suojausvaatimukset eivät ole korkeita. Tällaisia muita järjestelmiä voivat olla esimerkiksi kuluttajien koti-PC:t tai vaikkapa osa oppilaitosten tarjoamista tietotekniikkapalveluista.

Käyttäjän vahvalla tunnistamisella pyritään yksilöimään henkilö ja todentamaan, että hänen antamansa tunnisteet ovat aitoja ja oikeita. Vahva tunnistautuminen perustuu vähintään kahteen (2) seuraavista vaihtoehdosta:

  1. Käyttäjän oma tieto (esimerkiksi salasana)
  2. Käyttäjän hallussa oleva tieto (esimerkiksi sirukortti tai kertakäyttöiset PIN-koodit)
  3. Käyttäjän oma biometrinen ominaisuus (esimerkiksi sormenjälki tai iiris)

Vahvasta tunnistamisesta tyypillinen esimerkki on verkkopanki, jossa käyttäjällä on käyttäjätunnus, salasana ja hallussa oleva kertakäyttöinen avainlukulista.

Millainen on hyvä salasana?

Riittävän hankalien, mutta kuitenkin muistettavien, salasanojen kehittäminen useisiin eri palveluihin ei ole täysin vaivatonta. Seuraavat vinkit auttavat hyvän salasanan mudostamisessa:

1. Riittävän pitkä: Suositellaan vähintään 15 merkkiä

Hyvä lähtökohta salasanan pituudeksi on 15 merkkiä. Näin salasanojen sijaan sopivampi termi onkin salalause. Lähes kaikki nykyaikaiset järjestelmät ja palvelut hyväksyvät pitkät salasanat.

Riittävä pituus varjelee salasanaa seuraavasti:

  • Salasanan arvaaminen ja toistaminen on vaikeaa, vaikka hallussa olisi käyttäjän henkilökohtaisia tietoja tai salasanan syöttämisen näkisi.
  • Tekninen selvittäminen laskennallisesti on hankalaa, vaikka salasanasta laskettu tiiviste olisi joutunut vääriin käsiin, esimerkiksi tietomurron vuoksi.

Salasanat tallennetaan tyypillisesti tiivisteinä usein eri menetelmin. Menetelmä on todennäköisesti tuoreempi ja turvallisempi, jos tallennettavan salasanan pituus on vähintään 15 merkkiä. Vanhat ja turvattomammat menetelmät soveltuvat lyhyempien salasanojen tallentamiseen. Esimerkiksi kaikkien 8-merkkisten salasanavaihtoehtojen tarkastaminen on helppoa ja melko nopeaa valmiiden taulukoiden avulla.

2. Salasana ei ole sana: Käytä lausetta tai sen lyhennettä

Kun poimii pitkän, mutta helposti muistettavan, lauseen sanojen alkukirjaimet, saa muodostettua jo kohtalaisen hyvän salasanan.

"Joulupukki tulee meille jo jouluaaton iltana, mutta muualla maailmassa usein vasta joulukuun 25. päivän vastaisena yönä!"

-> "Jtmjjimmmuvj25vy!"

Salasanana voi käyttää myös kokonaista lausetta, joka voi olla ulkopuoliselle aivan käsittämätön, kunhan sen itse muistaa. Esimerkiksi matkustuslippujen verkkopalveluun voisi toimia salalause:

Bussilla matkustaa 2 mustaa kissaa ja 3 valkoista koiraa, eli yhteensä 5 eläintä.

Kaikki järjestelmät eivät välttämättä hyväksy välilyöntejä salasanoissa, mutta lauseen voi kirjoittaa myös "yhteen putkeen" tai yhdistää osat erikoismerkein esimerkiksi:

"Bussilla_matkustaa#2#mustaa_kissaa.."

Nämä sanakirjoista löytymättömät salasanat toimivat sanakirjahyökkäystä vastaan, jossa salasanan arvailuun käytetään valmiita sanaluetteloita. Kahden tai useamman sanan yhdistäminen hidastaa paljastumista vain vähän. Myös kirjainten korvaaminen yleisesti käytetyillä numerovastineilla (i-kirjain korvataan ykkösellä, o-kirjain nollalla jne.) on automatisoitu salasanojen murtoohjelmiin.

3. Merkeillä on väliä: Numerot, kirjainten koot ja erikoismerkit käyttöön

Salasanojen murtaminen voi olla vaikeampaa, jos salasanassa käytetään mahdollisimman erilaisia merkkejä. Tämän vuoksi usein vaaditaan, että salasanassa tulisi olla isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Numeroita käytettäessä ei kannata turvautua vain ilmeisiin korvaavuuksiin (i=1, o=0). Merkkejäkin käytettäessä on tärkeää, että salasana on tarpeeksi pitkä!

4. Käytä apuohjelmia salasanojen muodostukseen

Salasanojen muodostamiseen on olemassa apuohjelmia, eli salasanageneraattoreita. Niiden avulla voi luoda riittävän pitkiä, satunnaisilta vaikuttavia, pseudosatunnaisia salasanoja. Generaattori voi tuottaa myös sellaisia salasanoja, jotka ovat helpommin lausuttavissa ja siten helpommin muistettavissa.

Samaa apuohjelmaa on mahdollista hyödyntää myös salasanojen säilömisessä. Tällöin kaikkia salasanoja ei tarvitse muistaa ulkoa - kunhan muistaa apuohjelman salasanan.

5. Älä helpota salasanamurtajan elämää "kissoilla", "Lissuilla" tai näppäimistön geometrisilla kuvioilla

Älä koskaan käytä salasanaa, joka on tunnetusti yleisessä käytössä, esim. "salasana" tai "salasana123", tai jokin etunimi. Vältä myös näppäimistöllä muodostettavia geometrisia kuvioita. Niitä murtajat kokeilevat ensimmäiseksi. Syntymäajat ja henkilötunnukset ovat myös kelvottomia salasanoja tai niiden osia.

Päivityshistoria

Asiasanat: Internet , Tietoturva , CERT , Kyberturvallisuus , Salasana , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248