Nykyisessä digimaailmassa salasanoja on käytössä joka puolella. Salasanalla on merkittävä vaikutus tietoturvaan, mutta samalla se on myös merkittävä riski. Alla olevassa artikkelissa käyn läpi mikä on hyvä salasana ja mikä on hyvä tapa hallita salasanoja.
Alla on lueteltu maailmalla 10 yleisimmin käytössä olevaa salasanaa. Näistä esimerkiksi ensimmäisellä sijalla oleva salasanaa on käytetty yli 100 miljoonaa kertaa.
Lähde: Top 200 Most Common Password List 2021 | NordPass
Yleisimmin käytössä olevat salasanat ovat myös eri verkkorikollisten tiedossa. Käyttämällä automatiikkaa, verkkorikolliset pystyvät murtautumaan järjestelmiin sekunneissa. Onkin tärkeää, että sinun salasanasi on uniikki.
Salasanakäytännöt yrityksissä
Aiemmin yrityksissä suosittiin salasanan vanhenemiskäytäntöjä. Tämä tarkoitti sitä, että sama salasana sai olla käytössä, vaikka vain 3kk kerrallaan. Tämän negatiivinen puoli oli se, että jatkuvasti vaihtuvaa salasanaa oli vaikeaa muistaa. Tämän seurauksena salasana kirjoitettiin paperilapulle ja liimattiin näyttöön, salasanat olivat poikkeuksetta heikkoja ja usein ”uusi” salasana oli vain hieman päivitetty versio vanhasta esim. Salasana123 vaihtui Salasana456:een.
Tällainen salasana on helposti murrettavissa ja nykyisin suositus onkin, että käytetään vahvaa uniikkia salasanaa, joka ei vanhene.
Millainen on vahva salasana?
Salasanat useimmiten päätyvät vääriin käsiin tunnusten kalastelun tai ns. väsytyshyökkäys (brute-force) -menetelmien avulla.
Suositus vahvalle salasanalle on, että salasana on mahdollisimman pitkä ja sisältää vähintään yhden erikoismerkin ja numeron. Pitkä salasana on eri menetelmin vaikea murtaa.
Hyvä tapa muodostaa pitkä salasana on käyttää salasanalausetta, joka on helppo muistaa.
Esimerkki:
Kotona katsomme Salkkareita = KotonaKatsomme.Salkkare1ta
Tärkeää tässäkin tapauksessa on, että samaa salasanaa käytetään vain kerran.
Saman salasanan käyttäminen useammassa palvelussa tai järjestelmässä on riski sen takia, että mikäli käytössä olevassa palvelussa tai järjestelmässä tapahtuu tietomurto, niin samaa salasanaa käyttämällä hyökkääjällä on pääsy myös muihin palveluihin, joissa sama salasana on käytössä. Varsinkin sähköpostin vaarantuessa hyökkääjällä on pääsy useaan paikkaan ”unohdin salasanani” -toimintoa hyödyntämällä.
Miten muistan kaikki uniikit salasanat?
Vastaus kysymykseen on, että ei tarvitse.
Tässäkin tapauksessa tekniikka tuo hyvät apuvälineet tähän asiaan. Voit hyödyntää joko erillisiä salasananhallintaohjelmistoja, tai käyttää nettiselaimeen integroitua hallintaa.
Molemmissa tapauksissa ohjelmistot pitävät huolen eri palveluihin syötetyistä salasanoista ja osaavat ehdottaa oikeaa käyttäjätunnusta sekä salasanaa eri nettisivustoilla vierailtaessa. Tallennetut salasanat myös löytyvät ohjelmiston muistista, josta ne ovat helposti kopioitavissa järjestelmäkohtaisesti.
Uutta käyttäjätunnusta ja salasanaa luotaessa, nämä ohjelmistot myös osaavat ehdottaa vahvaa salasanaa ja tämän jälkeen salasana tallentuu muistiin.
Tärkeää on, että käytit joko nettiselaimen hallintaa tai erillistä ohjelmistoa, niin näissä ohjelmistoissa käytettävä salasana on tarpeeksi vahva.
Parhaassa tapauksessa sinun pitää jatkossa muistaa 1-2 vahvaa salasanaa, muut ovat ohjelmiston muistissa.
Esimerkkinä: Microsoft Edge -selaimen salasanojen hallinnan käyttäminen
Mitä jos salasananhallintaohjelmisto murretaan ja hyökkääjällä on pääsy minun salasanoihini?
Kyllä, huoli on aiheellinen, mutta hyvin epätodennäköinen. Näitä palveluita tarjoavat yritykset panostavat vahvasti tietoturvaan ja ovat monilta osin suojattuja hyökkäyksiltä. Isommalla todennäköisyydellä tietosi vaarantuu käyttämällä samaa heikkoa salasanaa useassa eri paikassa.
Esimerkkejä salasananhallintaohjelmistoista
1Password
NordPass
LastPass
Dashlane
Keeper
Roboform
Apple iCloud keychain (Vain Apple-käyttäjille)
Monivaiheinen tunnistautuminen
Monivaiheinen tunnistautumisen tuo lisäsuojan kirjautumiseen. Vaikka salasana olisi päätynyt vääriin käsiin, niin kirjautuminen estetään monivaiheista tunnistautumista hyödyntämällä.
Monivaiheisella tunnistautumisella kirjautuminen varmennetaan esimerkiksi tekstiviestin kautta saapuvalla koodilla tai käyttämällä kännykällä erillistä authenticator-sovellusta (esim. Microsoft authenticator, Google authenticator).
Tällä menetelmällä estetään yli 90% luvattomista kirjautumisyrityksistä.
Suosittelen monivaiheisen tunnistautumisen käyttöönottoa erityisesti yrityksille, jotka käyttävät Microsoft 365 -ympäristöä. Menetelmällä yrityksesi tiedot pysyvät paremmin turvassa ja nukut yösi rauhassa.
Jos tarvitset apua, miten yrityksesi salasanakäytännöt ja tekniikat laitetaan kuntoon, niin meiltä löytyy tähän apu nopeasti ja mutkattomasti!
Tommi Hirvinen
Myyntipäällikkö
