Skip to content

Millainen salasanan tulee olla


Avainsanat: , , , ,

Salasanan pituus on vähintään 12 merkkiä, ja se saa mielellään olla pidempi: Mitä pidempi salasanasi on, sitä turvallisempi se on. Itse asiassa nykyään pitäisi puhua salalauseista salasanojen sijaan: turvalliset salasanat/-lauseet kun saisivat nykyään olla jo mielellään 16 merkkiä pitkiä. Hyvä salasana ei ole mikään yksittäinen olemassa oleva sana (mistään kielestä), paikka, nimi tms. Tällaiset helpot salasanat murtuvat sekunneissa valmiita sanastoja käyttämällä. Tiedoksi, että oman nimen käyttö on teknisesti estetty salasanassa, eli jos yrität tehdä niin heikon salasanan, että siinä olisi oma nimesi, se ei onnistu! Lisäksi salasanojen kierrättämistä on estetty siten, että järjestelmä ei hyväksy kolmea viimeksi käyttämääsi salasanaa.

Salasanaan ei kannata laittaa ä-, ö- eikä å-kirjaimia, sillä näiden merkkien kanssa voi tulla ongelmia (esim. jos käytössä onkin näppäinasetukset, joissa ko. merkkejä ei ole). Lisäksi joissakin järjestelmissä erityisesti seuraavat viisi merkkiä ‘ ” % ¤ & aiheuttavat ongelmia, jonka takia myös näitä kannattaa välttää. Tulostusjärjestelmä taas ei hyväksy erikoismerkkejä laajemminkaan.

Voit käyttää salasanassasi mitä tahansa merkkejä, mutta tiedä tämä: Jos et pääse kirjautumaan johonkin palveluistamme, mutta salasanasi toimii esim. MS 365:ssa, vaihda salasanasi sellaiseen, jossa ei ole erikoismerkkejä.

Kun vaihdat salasanasi uuteen, se onnistuu vain jos uusi salasana täyttää sille asetetut monimutkaisuusvaatimukset. Niiden mukaan salasanan pitää sisältää ainakin kolme seuraavista neljästä vaatimuksesta:

  1. pieni kirjain
  2. iso kirjain
  3. numero
  4. erikoismerkki (tosin tulostusjärjestelmään kirjautuminen saattaa epäonnistua, jos salasanassasi on erikoismerkkejä!)

Salasanasi on henkilökohtainen, etkä saa antaa sitä muille. Esim. ICT-palveluiden henkilökunta ei koskaan pyydä sinua kertomaan salasanaasi. Jos saat sähköpostiisi viestin, jossa salasanaasi pyydetään, kyseessä on huijausviesti. Älä kirjoita salasanaasi muistiin, ainakaan selväkielisesti.

Linkki sivulle, jossa on asiaa hyvistä salasanoista: Viestintäviraston Kyberturvallisuuskeskusen julkaisema salasanaohje [ulkoinen linkki]

Katso myös hyvä video aiheesta YLE Areenasta: Kyseessä on Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija Lasse Laukan lyhyt haastattelu (7,5 min) Aamu-TV:ssä 28.2.2018:


Mikä on hyvä salasana ja miten salasanoja murretaan?

Oamkin aiempi tietoturvavastaava vastasi kysymyksiin näin vuonna 2014, mutta tiedot pätevät edelleen:

Millainen salasanan pitäisi olla ja miksi tarvitset eri salasanan jokaiseen eri palveluun?

Ihmiset on opetettu vuosikausien aikana luomaan vaikeasti muistettavia, mutta valitettavan helposti nykytietokoneilla murrettavia salasanoja. Tyypillisissä salasanaesimerkeissä esitetään että “Hd28dc2Gq” on hyvä salasana. Valitettavasti tämä ei ole enää totta. Tuo salasana ei varsinaisesti ole ihan huono, mutta ei myöskään erityisen hyvä. Nykyisten suositusten mukaan salasana tulisi olla vähintään 12 merkkiä pitkä ja salasanan tulee koostua isoista ja pienistä kirjaimista, numeroista ja erikoismerkeistä. Salasana ei saa olla mikään yksittäinen minkään kielen sana. Ei edes mikään tunnettu lause höystettynä numeroilla tai erikoismerkeillä.

Mitä salasanoille tapahtuu tietomurroissa? 

Hyvin usein tietomurron yhteydessä palvelun käyttäjätunnusrekisteri ja salasanatietokanta onnistutaan varastamaan. Palvelusta riippuen salasanat ovat useimmiten tallennettuna ns. koostemuodossa (engl. “hashed password”), jolloin salasanoja ei voida suoraan nähdä sellaisenaan. Murtautujilla on kuitenkin yleensä käytettävissä verraten paljon tietoteknistä laskutehoa tai valmiiksi laskettuja salasanakoosteita, jolloin heikot salasanat ratkeavat aika nopeasti. Jos sinun salasanasi on riittävän vahva, se ei ratkea kovin nopeasti (jos koskaan).

Miksi minulla pitää olla kaikkiin palveluihin eri salasana?

Jos jonkin palvelun käyttäjätunnus ja salasana joutuu vääriin käsiin, tuota samaa tunnusta kokeillaan hyvin nopeasti myös muihin verkon palveluihin ja esimerkiksi mailiosoitteen osoittaman organisaation tietojärjestelmiin. Ikävänä puolena on se, että et voi koskaan olla varma palvelun tuottajasta ja siitä, kuinka hyvin salasanasi on suojattu. Pahimmassa tapauksessa jokin weppipalvelu tallentaa tunnuksesi ja salasanasi selväkielisenä (eli ilman mitään salausta) tietokantaan. Jos menetän tällaisen tunnuksen ja salasanan, vahingot rajoittuvat vain tähän kyseiseen palveluun, koska sama tunnus ja salasana ei ole missään muualla käytössä.

Miksi salasana ei saa olla mikään tunnettu lause, minkään kielen sana tai jokin muu helposti muistettava juttu?

Koska salasanamurtajat ottavat tämän huomioon. Tahot jotka murtavat salasanoja (joillekkin ihan harrastustoimintaa), ovat keränneet hakukoneen tavoin netistä valtavat määrät tekstinäytteitä ja käyttävät noita näytteitä apuna salasanoja murtaessa. Yksi moderni ATI:n näytönohjain pystyy laskemaan esim. Truecrypt-ohjelman koostettua salasanaa noin 10 miljoonan salasanavaihtoehdon minuuttivauhtia. Salasananmurtajilla on tyypillisesti käytössä useita rinnakkain laskevia suorittimia tai kokonaisia koneverkostoja. Jokin tunnetun kielen sana tai yksinkertaiset lauseet ratkeavat melko nopeasti. Salasananmurto-ohjelmat osaavat myös yhdistää tavallisia sanoja ja yksittäisiä merkkejä ja numeroita, joten salasana “Volvo4ever” ei ole mitenkään erityisen hyvä salasana, vaikka saattaakin vaikuttaa kohtuullisen hyvältä salasanalta.

Miksi salasanaa pitää vaihtaa?

Entä jos salasanat varastetaan palvelusta, eikä kukaan huomaa sitä kuukausiin tai vuosiin? Nyt murtautujalla on pitkä aika käytettävissä salasanojen murtamiseen. Jos salasanoja vaihdetaan säännöllisesti, ei noilla vanhoilla salasanoilla tee enää mitään kun ne aikanaan ratkeavat.

Kuulostaa pahalta. Millainen olisi sitten hyvä salasana? 

Tähän onkin vaikea vastata yksiselitteisesti. Kaikki järjestelmät eivät aina anna mahdollisuutta määritellä kovin monimutkaista salasanaa. Tyypilliset rajoitukset ovat käytettävissä olevat merkit ja salasanan pituus. Onneksi useimmat palvelut antavat yleensä käyttää vähintään 14-16 merkkiä pitkää salasanaa, joka koostuu isoista ja pienistä kirjaimista ja numeroista. Tuolla yhdistelmällä saa jo melko hyviä salasanoja aikaiseksi. Tärkeää on että tällainen “kirjain-numero-sekamelska”-salasana ei missään määrin muistuta mitään sanaa tai ole esimerkiksi “QaZWsXEdCRfVTgB”. Miksi em. salasana on “helppo”?

On olemassa salasanakoulukunta joka käyttää helposti muistettavia sanoja, mutta muodostaa niistä pitkiä ja sekavia lauseita. Tämä on mahdollista vain jos järjestelmä antaa määritellä erittäin pitkiä salasanoja. Esimerkiksi jokin tällainen pitkä salasana voisi olla “VitamiinejasyotinKilpikonnallejonkaNimioliHund”. Tuota samaa voisi tietty käyttää sitten muistisääntönä salasanaan:”VsKjNoH” ja tuohon sitten lisäksi läjä joitakin satunnaisia tai jollain erillisellä muistisäännöllä erikoismerkkejä ja numeroita, jolloin lopullinen salasana voisi olla “7#,VsKjNoH2.@”.

Kuulostaa melko paranoidilta!

Ikävä kyllä näin nämä salasana-asiat vaan nykyään ovat. Toki näissäkin kannattaa säilyttää maalaisjärki (niinkuin muissakin tietoturvajutuissa!).
Tässä on kuitenkin pari esimerkkiä koneellisesti murretuista salasanoista:

“youcantguessthis password1980”

“Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn1”

“The first printed books have a unique smell to them.”

Em. esimerkit poimittu Ars Technican artikkeleista:

arstechnica.com/security/2013/10/how-the-bible-and-y...

arstechnica.com/security/2013/08/thereisnofatebutwha...

Mikä on kaksivaiheinen tunnistus?

Kun kirjaudut tällaiseen järjestelmään onnistuneesti, se ei vielä riitä. Nyt palvelu käyttää tunnistuksen tukena joko erillistä mobiilisovellusta tai se voi lähettää ennalta määriteltyyn matkapuhelinnumeroon tekstiviestin, jossa on lyhyt PIN-koodi. Sinun pitää tietyn ajan kuluessa joko kuitata kirjautuminen mobiilisovelluksessa tai syöttää palveluun tuo vastaanotettu koodi, jotta kirjautuminen onnistuu. Jos joku onnistuu varastamaan käyttäjätunnuksesi ja salasanasi, niillä ei vielä tee mitään, koska heillä ei ole sinun matkapuhelintasi. Meillä on käytössä kaksivaiheinen tunnistus ja lisäksi voit käyttää sitä myös merkittävimpien nettipalveluiden kanssa (mm. Twitter, Google, Facebook). Ohessa Googlen ohje: https://support.google.com/accounts/answer/180744?hl=f

« Takaisin

Tämä artikkeli julkaistiin kategorioissa English version available, Kaikki ohjeet, Oamk , Oamkin henkilöstölle, Oamkin opiskelijoille, saavutettava sisältö ja tageilla , , , , . Lisää permalink suosikkeihisi.