06.04.2010 15:38

Salasanaa ei pidä eikä tarvitse kierrättää

Yhden ja saman salasanan käyttö monissa eri palveluissa on houkuttelevan helppoa, mutta samalla vaarallista. Tässä artikkelissa käsittelemme salasanojen valintaan ja ylläpitoon sellaisia käytäntöjä, jotka turvaavat selustaa epätavallisissakin tilanteissa.

Monille suomalaisille netin käyttäjille salasanakysymys nousi jälleen ajankohtaiseksi aiheeksi, kun suosittuun Älypää-pelipalveluun murtauduttiin maaliskuun loppupuolella. Murron yhteydessä palvelusta anastettiin tiettävästi liki 130 000 käyttäjän tiliavaimet. Näihin lukeutuivat käyttäjätunnukset, salasanat ja sähköpostiosoitteet.

Murto toi hyvin esille riskit, jotka piilevät saman salasanan käytössä useissa eri palveluissa. Asiaa voi verrata kotiavainten katoamiseen. Jos kaikki ovet aukeavat yhdellä ja samalla yleisavaimella, vorolla on vapaa pääsy niin kotiin kuin autoonkin. Mutta jos joka oveen on oma avaimensa ja avainnipusta katoaa vain yksi avain, on vahinkojen mahdollisuus selvästi pienempi.

Internetissä kaikkien ovien aukeaminen on iso riski, koska samalla se altistaa identiteettivarkaudelle. Jos samoilla tiedoilla pääsee urkkimaan uhrin asioita Facebookissa, Twitterissä, viihdeportaaleissa, ehkä jopa lukemaan uhrin sähköposteja, mikään ei estä pitkäkyntistä käyttämästä toisen henkilöllisyyttä väärin. Uhkakuvat ovat siis hyvin samanlaiset kuin vakavimmissa tietokalastelu- eli phishing-jutuissa, mutta tässä tapauksessa niiden toteutumiseen riittää minkä tahansa palvelun tietoturvan pettäminen, kuten Älypään tapauksessa saimme huomata.

Ei silti huoli panikoida. Tällaisilta uhilta on helppo suojautua suosimalla vahvoja salasanoja, joita ei koskaan käytä kahdessa paikassa samaan aikaan. Näin yhden salasanan vuotaminen ei vielä pääse torpedoimaan koko netti-identiteettiä.

Selvennetään heti kättelyssä termiä vahva salasana. Tavallisesti ihmisillä on tapana käyttää salasananaan jotain helposti muistettavaa kuten tietyn henkilön, eläimen tai esineen nimeä. Tietoturvayhtiö F-Secure mainitsi Älypää-murtoa koskevassa blogissaan, että myös yksinkertaiset sanakäännökset kuten ”salasana” (eng. password) ovat suomalaisten suosiossa. Kaikki nämä ovat kuitenkin heikkoja salasanavaihtoehtoja. Olipa asia miten henkilökohtainen tahansa, jos se koostuu vain tietystä sanasta, se ei pidättele pitkään salasanan murtajaa.

Salasanojen lujuus määräytyy siitä, miten pitkään sen voi odottaa kestävän tietokoneiden raa’alla laskuteholla tehtäviä hyökkäyksiä. Koska jo nykyaikainen kotitietokonekin pystyy tekemään useita miljoonia salasana-arvauksia sekunnissa, tavalliset pienikirjaimiset sanat löytyvät ilman sen suurempia tuskailuja. Jos murtoon valjastetaan isompia tietoverkkoja, salasana pettää entistä nopeammin.

Salasanan lujuutta lisäävät käytännössä kolme asiaa: monimutkaisuus, sattumanvaraisuus ja pituus. Monimutkaisuus ja sattumanvaraisuus tarkoittavat yksinkertaisimmillaan sitä, ettei salasanassa ole mitään loogista sanaa tai sanaliittoa, vaan se sisältää sattumanvaraisia merkkejä. Mukana tulisi olla pieniä kirjaimia, isoja kirjaimia, numeroita ja mielellään vielä erikoismerkkejä kuten huuto- ja dollarimerkkejä. Kaikki nämä lihottavat sitä merkkialuetta, jonka salasanan murtaja joutuu tutkimaan löytääkseen oikean salasanan. Toinen tärkeä tekijä on salasanan pituus. Lujassa salasanassa tulisi olla mielellään 8-12 merkkiä. Jokainen lisämerkki kasvattaa murtoon kuluvaa aikaa dramaattisesti.

Pitkä ja monimutkainen salasana on toki vaikea muistaa. Muisti asettaakin käytännön rajoituksia sille, millaisia salasanoja ihmiset voivat luoda, jos eivät käytä apuvälineitä. Mutta apujen käyttö on kaikkea muuta kuin tyhmää. F-Secure antoi hiljattain hyviä vinkkejä siihen, miten jokainen voi luoda vahvoja salasanoja kuormittamatta muistiaan. Ideana on rakentaa salasana useista osista, joista vain pienen osan joutuu painamaan mieleen. Kaiken muun voi kirjoittaa paperille.
 

Ensimmäisenä vaiheena on päättää kaikille salasanoille yhteinen pin-koodi, jota ei kerrota kellekään eikä kirjoiteta mihinkään. Se pidetään visusti omassa päässä. Koodin tulisi olla vähintään kolme merkkiä pitkä, esimerkiksi ”2f!”.

Tämän jälkeen jokaiselle palvelulle luodaan lyhenne, joka helpottaa salasanan tunnistusta. Gmail-sähköpostin lyhenne voisi olla vaikka ”gMa” ja Huuto.netin ”hTo”. Jokaisen lyhenteen perään lisätään neljä täysin mielivaltaista merkkiä. Nyt kahden edellä mainitun palvelun salasanan uniikiksi osaksi muodostuisi esimerkiksi ”gMarr42” ja ”hTo031Q”. Nämä ripsut voi kirjata ylös, koska ne eivät ole vielä koko salasana – emmehän unohda liittää mukaan pin-koodia.

Pin-koodin paikan jokainen voi päättää itse. Se voi olla salasanan alussa, lopussa tai keskellä. Esimerkiksi näin: ”2f!gMarr42” tai ”hTo031Q2f!”. Tärkeää on se, että pin-koodia ei saa kukaan muu tietää. Yhdessä muun salasanan kanssa se luo vahvan salasanakokonaisuuden, joka ei toistu missään paikassa kahta kertaa ja joka ei toisaalta kuormita liikaa muistiakaan. Helppoa ja turvallista!

Tällä tavoin rakentaen luotu salasana ei tietenkään ole ainoa vaihtoehto lujan ja helppokäyttöisen salasanan luomiseen. Salasanoja voi luoda esimerkiksi hauskoista lauseista käyttämällä sanojen alkukirjaimia. Tämän voi myös yhdistää omaan pin-koodiin. Netistä löytyy monia ohjelmallisia työkaluja salasanojen hallintaan. Monesti ne osaavat luoda pitkiä ja sattumanvaraisia salasanoja sekä tietysti tallentaa kaikki salasanat yhteen salasanalla suojattuun tiedostoon. Yksi tällainen ohjelma on KeePass, josta kerroimme aiemmassa salasanoja käsitelleessä artikkelissamme: Muistutus salasanojen tarpeellisuudesta.

Ohjelmallisesti hallittu salasanakirjasto on näppärä, jos salasanoja on paljon ja niitä tarvitsee pääasiassa yhdellä tietokoneella. Ohjelmien huono puoli on siinä, että ne jättävät aina ilmoille kysymyksiä luotettavuudesta. Miten hyvin salasanakirjasto on suojattu, mitä käy jos tietokoneeseen tulee vika ja miten saan salasanat mukaan turvallisesti? Monille peruskäyttäjille, joilla salasanoja ei ole kilometritolkulla, itse rakennettu salasananippu voikin olla paras ja helpoin vaihtoehto.

Joka tapauksessa kumpikin vaihtoehto antaa hyvät eväät korjata omia salasanakäytäntöjä ja kohentaa henkilökohtaista tietoturvaa. Tärkeintä on muistaa, ettei samoja salasanoja tule kierrättää monissa paikoissa ja että luja salasana koostuu muustakin kuin pelkästä sanasta.

Kimmo Pukkila

Linkit:

Tietokone - Iso salasanavuoto netissä Suomessa

F-Secure Weblog - Smart Aleck Passwords.

F-Secure Safe and Savvy - How to create and remember strong passwords.