« Takaisin

Millainen salasanan tulee olla

Salasanan pituus on vähintään 10 merkkiä, ja se saa mielellään olla pidempi: Mitä pidempi salasanasi on, sitä turvallisempi se on. Itse asiassa nykyään pitäisi puhua salalauseista salasanojen sijaan: turvalliset salasanat/-lauseet kun saisivat nykyään olla jo mielellään 16 merkkiä pitkiä. Hyvä salasana ei ole mikään yksittäinen olemassa oleva sana (mistään kielestä), paikka, nimi tms. Tällaiset helpot salasanat murtuvat sekunneissa valmiita sanastoja käyttämällä. Tiedoksi, että oman nimen käyttö on teknisesti estetty salasanassa, eli jos yrität tehdä niin huonoa salasanaa, että siinä on oma nimesi, se ei onnistu! Lisäkksi salasanojen kierrättämistä on estetty siten, että järjestelmä ei hyväksy kolmea viimeksi käytämääsi salasanaa.

Salasanaan ei kannata laittaa ä-, ö- eikä å-kirjaimia, sillä näiden merkkien kanssa voi tulla ongelmia (esim. jos käytössä onkin näppäinasetukset, joissa ko. merkkejä ei ole). Lisäksi joissakin järjestelmissä seuraavat viisi merkkiä ‘ ” % ¤ & aiheuttavat ongelmia, jonka takia myös näitä kannattaa välttää (voit vapaasti käyttää noitakin merkkejä, mutta tiedä, että jos yleensä pääset kirjautumaan Oamkin palveluihin, mutta et johonkin niistä, niin käy silloin vaihtamassa salasanasi sellaiseen, jossa ko. merkkejä ei ole; tämän jälkeen päässet taas kirjautumaan kaikkiin palveluihin) . Kun vaihdat salasanasi uuteen, se onnistuu vain jos uusi salasana täyttää sille asetetut monimutkaisuusvaatimukset. Niiden mukaan salasanan pitää sisältää ainakin kolme seuraavista neljästä vaatimuksesta:

  1. pieni kirjain
  2. iso kirjain
  3. numero
  4. erikoismerkki

Salasanasi on henkilökohtainen, etkä saa antaa sitä muille. Esim. IT-palveluiden henkilökunta ei koskaan pyydä sinua kertomaan salasanaasi. Jos saat sähköpostiisi viestin, jossa salasanaasi pyydetään, kyseessä on huijausviesti. Älä kirjoita salasanaasi muistiin, ainakaan selväkielisesti.

Linkki sivulle, jossa on asiaa hyvistä salasanoista: Viestintäviraston Kyberturvallisuuskeskusen julkaisema salasanaohje [ulkoinen linkki]

Katso myös hyvä video aiheesta YLE Areenasta: Kyseessä on Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija Lasse Laukan lyhyt haastattelu (7,5 min) Aamu-TV:ssä 28.2.2018:


Tässä Oamkin tietoturvavastaava kertoo näkemyksensä siitä, 

mikä on hyvä salasana ja miten salasanoja murretaan?

Millainen salasanan pitäisi olla ja miksi tarvitset eri salasanan jokaiseen eri palveluun?

Ihmiset on opetettu vuosikausien aikana luomaan vaikeasti muistettavia, mutta valitettavan helposti nykytietokoneilla murrettavia salasanoja. Tyypillisissä salasanaesimerkeissä esitetään että “Hd28dc2Gq” on hyvä salasana. Valitettavasti tämä ei ole enää totta. Tuo salasana ei varsinaisesti ole ihan huono, mutta ei myöskään erityisen hyvä. Nykyisten suositusten mukaan salasana tulisi olla vähintään 12 merkkiä pitkä ja salasanan tulee koostua isoista ja pienistä kirjaimista, numeroista ja erikoismerkeistä. Salasana ei saa olla mikään yksittäinen minkään kielen sana. Ei edes mikään tunnettu lause höystettynä numeroilla tai erikoismerkeillä.

Kysymyksiä ja vastauksia:

Mitä salasanoille tapahtuu tietomurroissa? Hyvin usein tietomurron yhteydessä palvelun käyttäjätunnusrekisteri ja salasanatietokanta onnistutaan varastamaan. Palvelusta riippuen salasanat ovat useimmiten tallennettuna ns. koostemuodossa (engl. “hashed password”), jolloin salasanoja ei voida suoraan nähdä sellaisenaan. Murtautujilla on kuitenkin yleensä käytettävissä verraten paljon tietoteknistä laskutehoa tai valmiiksi laskettuja salasanakoosteita, jolloin heikot salasanat ratkeavat aika nopeasti. Jos sinun salasanasi on riittävän vahva, se ei ratkea kovin nopeasti (jos koskaan).

Miksi minulla pitää olla kaikkiin palveluihin eri salasana? Jos jonkin palvelun käyttäjätunnus ja salasana joutuu vääriin käsiin, tuota samaa tunnusta kokeillaan hyvin nopeasti myös muihin verkon palveluihin ja esimerkiksi mailiosoitteen osoittaman organisaation tietojärjestelmiin. Ikävänä puolena on se, että et voi koskaan olla varma palvelun tuottajasta ja siitä, kuinka hyvin salasanasi on suojattu. Pahimmassa tapauksessa jokin weppipalvelu tallentaa tunnuksesi ja salasanasi selväkielisenä (eli ilman mitään salausta) tietokantaan. Jos menetän tällaisen tunnuksen ja salasanan, vahingot rajoittuvat vain tähän kyseiseen palveluun, koska sama tunnus ja salasana ei ole missään muualla käytössä.

Miksi salasana ei saa olla mikään tunnettu lause, minkään kielen sana tai jokin muu helposti muistettava juttu? Koska salasanamurtajat ottavat tämän huomioon. Tahot jotka murtavat salasanoja (joillekkin ihan harrastustoimintaa), ovat keränneet hakukoneen tavoin netistä valtavat määrät tekstinäytteitä ja käyttävät noita näytteitä apuna salasanoja murtaessa. Yksi moderni ATI:n näytönohjain pystyy laskemaan esim. Truecrypt-ohjelman koostettua salasanaa noin 10 miljoonan salasanavaihtoehdon minuuttivauhtia. Salasanamurtajilla on tyypillisesti käytössä useita rinnakkain laskevia suorittimia tai kokonaisia koneverkostoja. Jokin tunnetun kielen sana tai yksinkertaiset lauseet ratkeavat melko nopeasti. Salasanamurto-ohjelmat osaavat myös yhdistää tavallisia sanoja ja yksittäisiä merkkejä ja numeroita, joten salasana “Volvo4ever” ei ole mitenkään erityisen hyvä salasana, vaikka saattaakin vaikuttaa kohtuullisen hyvältä salasanalta.

Miksi salasanaa pitää vaihtaa? Entä jos salasanat varastetaan palvelusta, eikä kukaan huomaa sitä kuukausiin tai vuosiin? Nyt murtautujalla on pitkä aika käytettävissä salasanojen murtamiseen. Jos salasanoja vaihdetaan säännöllisesti, ei noilla vanhoilla salasanolla tee enää mitään kun ne aikanaan ratkeavat.

Kuulostaa pahalta. Millainen olisi sitten hyvä salasana? Tähän onkin vaikea vastata yksiselitteisesti. Kaikki järjestelmät eivät aina anna mahdollisuutta määritellä kovin monimutkaista salasanaa. Tyypilliset rajoitukset ovat käytettävissä olevat merkit ja salasanan pituus. Onneksi useimmat palvelut antavat yleensä käyttää vähintään 14-16 merkkiä pitkää salasanaa, joka koostuu isoista ja pienistä kirjaimista ja numeroista. Tuolla yhdistelmällä saa jo melko hyviä salasanoja aikaiseksi. Tärkeää on että tällainen “kirjain-numero-sekamelska”-salasana ei missään määrin muistuta mitään sanaa tai ole esimerkiksi “QaZWsXEdCRfVTgB”. Miksi em. salasana on “helppo”?

On olemassa salasanakoulukunta joka käyttää helposti muistettavia sanoja, mutta muodostaa niistä pitkiä ja sekavia lauseita. Tämä on mahdollista vain jos järjestelmä antaa määritellä erittäin pitkiä salasanoja. Esimerkiksi jokin tällainen pitkä salasana voisi olla “VitamiinejasyotinKilpikonnallejonkaNimioliHund”. Tuota samaa voisi tietty käyttää sitten muistisääntönä salasanaan:”VsKjNoH” ja tuohon sitten lisäksi läjä joitakin satunnaisia tai jollain erillisellä muistisäännöllä erikoismerkkejä ja numeroita, jolloin lopullinen salasana voisi olla “7#,VsKjNoH2.@”.

Kuulostaa melko paranoidilta! Ikävä kyllä näin nämä salasana-asiat vaan nykyään ovat. Toki näissäkin kannattaa säilyttää maalaisjärki (niinkuin muissakin tietoturvajutuissa!).
Tässä on kuitenkin pari esimerkkiä koneellisesti murretuista salasanoista:

“youcantguessthis password1980”

“Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn1”

“The first printed books have a unique smell to them.”

Em. esimerkit poimittu Ars Technican artikkeleista:

arstechnica.com/security/2013/10/how-the-bible-and-y...

arstechnica.com/security/2013/08/thereisnofatebutwha...

Mikä on kaksivaiheinen tunnistus? Kun kirjaudut tällaiseen järjestelmään onnistuneesti, se ei vielä riitä. Nyt palvelu lähettää ennalta määriteltyyn matkapuhelinnumeroon tekstiviestin (tai puhelimen sovellukseen jonkin sanoman), jossa on lyhyt pin-koodi. Sinun pitää syöttää tietyn ajan kuluessa tuo vastaanotettu koodi, jotta kirjautuminen onnistuu. Jos joku onnistuu varastamaan käyttäjätunnuksesi ja salasanasi, niillä ei vielä tee mitään, koska heillä ei ole sinun matkapuhelintasi. Tällä hetkellä mikään Oamkin järjestelmistä ei tue kaksivaiheista tunnistamista, mutta voit käyttää sitä joidenkin merkittävimpien nettipalveluiden kanssa (mm. Twitter, Google, Facebook). Ohessa Googlen ohje: https://support.google.com/accounts/answer/180744?hl=f


[Kaikki käyttäjätunnuksiin ja salasanoihin liittyvät ohjeet]

« Takaisin

Tämä artikkeli julkaistiin kategorioissa henkilöstölle, Oamk, OHJE, Ohjeet & tiedotteet, opiskelijoille and tagged , , , . Lisää permalink suosikkeihisi. Seuraa tänne tulevia kommentteja RSS-feedin avulla. Jätä kommentti tai trackback: Trackback URL.
Kirjaudu sisälle kommentoidaksesi tätä artikkelia