Mikä on oikeasti hyvä salasana ja miksi tarvitset hyvän sellaisen? (Tämän luettuasi haluat päivittää salasanasi)

Elämme yhteiskunnassa, jossa meillä on oltava paljon erilaisia salasanoja tai pääsykoodeja. Meillä on yleensä henkilökohtaiset salasanat ja pääsykoodit omiin laitteisiimme ja lisäksi vielä työelämän salasanat ja pääsykoodit. Muistettavia salasanoja on siis paljon. Moni turvautuukin käyttämään useassa paikassa yhtä ja samaa salasanaa tai ei kotilaitteille vaihda salasanaansa tasaisin väliajoin. Tämän jutun luettuasi ymmärrät, miksi salasanoihin kannattaa kiinnittää huomiota ja miksi samaa salasanaa ei kannata käyttää monessa laitteessa ja/tai järjestelmässä.

Lähdetään liikkeelle siitä, mikä on turvallinen salasana ja miksi it-alan ammattilaiset jauhavat turvallisen salasanan tärkeydestä?

Salasanojen turvallisuuden mittarina käytetään yleensä entopiaa. Salasanan entropia kasvaa, kun salasana on pitkä ja merkkien laajuutta lisätään. Näin ollen turvallisena salasana voidaan tällä hetkellä  pitää lausetta, johon sisällytät mielellään myös erikoismerkkejä, isoja kirjaimia ja numeroita.

Lisäksi lause kannattaa rakentaa sellaiseksi, että vain sinä sen tiedät. Kannattaa miettiä vaikkapa omaa lapsuutta ja rakentaa lause sen mukaan. Esimerkiksi jos äitisi on lapsuudessasi käyttänyt vihreää ruudullista essua, voit muotoilla salasanasi ”SynnyinVuonna1990JaKunOlin5vuotiasAitiniKayttiVihreaaEssua”. Tällainen salasana on pitkä, mutta pitkät salasanat, joissa on lause (jonka muistat itse kuitenkin helposti) ovat huomattavasti vaikeampia murtaa.

Esimerkissä salasana on pitkä, mutta jo yli 12 merkin salasanaa yleisesti pidetään riittävän pitkänä, riippuen toki, onko siihen sisällytetty isojakirjaimia/numeroita/erikoismerkkejä, joita ehdottomasti tulisi salasanassa olla, jotta se on turvallinen.

Entropiasta vielä lyhyesti sen verran, että hyvin hyvin karkeasti ja yksinkertaistetusti sen voi käsittää (käsittääkseni; saa kommentoida alas lisähuomioita!) seuraavasti: ensinnäkin entropia on siis salasanojen vahvuuden mittari. Entropia kertoo sen, kuinka paljon epävarmuutta salasanassa on, jota purkaja arvaa. Entropian yksikkö on bitti. Salasanan entropian kasvattaminen yhdellä bitillä tarkoittaa, että vaihtoehdot kaksinkertaistuvat. Mikäli salasanalauseen kuuluu n bittiä entropiaa, niin salasanan arvaaminen vaatii keskimäärin 2n-1 yritystä. On tutkimus, jonka oletuksilla 2020-luvulla pitäisi olla vähintään 86 bittiä entropiaa, jotta se olisi turvallinen (vs. 2000-luvulla vastaava luku 70 bittiä entropiaa). (Lähteet: Cyclonis, RIT Cyber Security Class Blog, WhatIs).

Kukaan ei varmaan ole voinut viime vuosina välttyä uutisilta, jossa suomalaistenkin salasanoja on murrettu kymmeniä tuhansia. Yksinkertainen salasana murretaan parhaimmillaan muutamassa minuutissa. Lisäksi netin syövereissä myydään hyvällä hinnalla salasanalistoja. Näin ollen kaappareiden on nykyään helppoa lähteä arvailemaan ja murtamaan henkilöiden salasanoja. Yksinkertaiset salasanat menevät läpi aina joihinkin tileihin, kun niitä lingotetaan eri käyttäjätunnuksille (pahoittelut; en osaa paremmin selittää tätä, kuinka se toimii, mutta käy kurkkaamassa Ylen Digitreenit: Salasanakone – testaa kuinka nopeasti salasana murretaan).

Kokeilin itse tuota salasanakonetta ja ylempänä antamaani esimerkkisalasanaan (SynnyinVuonna1990JaKunOlin5vuotiasAitiniKayttiVihreaaEssua) kone antoi vastauksen hyvin vaikeasti arvattava ja että rikolliset murtaisivat sen satojen vuosien kuluttua. Toisin on, jos kirjoitat salasanakoneeseen vaikkapa sanan Kissa03, jonka rikolliset murtavat 2 sekunnissa. Tästä syystä turvallinen salasana on erittäin tärkeä.

Viestintäviraston Pidempi parempi -sivulla on valmiiksi kysymyksiä, joilla saat lingottua itsellesi salasanaehdotuksen, mikäli tuskailet salasanan keksimisen kanssa. Sivusto korostaa myös salasanan pituuden tärkeyttä.

Miksi salasana tulisi olla eri erilaisiin ohjelmiin? Vastaus on lyhykäisyydessään siinä, että jos kirjaudut tietokoneelle samalla salasanalla, on kaikki sähköpostisi, sosiaalisen median tilisi ym. varustettu samalla salasanalla, on se rikolliselle helppoa kauraa. Ei tarvita kuin yksi murto ja heillä on käytännössä hallussa kaikki käyttämäsi ohjelmat.

Työsalasanat ja kotisalasanat kannattaa myös pitää erilaisina. Ethän tule kotiisikaan työpaikan kulkuavaimella. Samaa tai jo samantyylistä salasanaa kun käyttää, voisi sitä verrata yleisavaimeksi, jolla murtovaras pääsee jokaiseen kerrostalon huoneistoon kulkemaan vapaasti.

Miten sitten voi muistaa kaikki nämä salasanat? Tämä on kai se suurin syy sille, miksi useimmat meistä eivät vaihda salasanoja tarpeeksi usein, ellei järjestelmä sitä pakota (kuten usealla työpaikalla) tai eivät tee salasanoista riittävän pitkiä. Listaan kuitenkin muutamia vinkkejä, joilla voit luoda itsellesi nohevan ja vaikeasti murrettavan salasanan, sekä sen unohtuessa löytää sen.

• Keksi salasana omasta elämästäsi, mutta ei liian ilmeistä kuten ”KoiraniNimiOnMusti”. On kuitenkin helpompaa muistaa lausesalasana, joka kertoo sinusta, esimerkiksi lapsuudestasi jokin yksittäinen asia, kuten edellä esimerkissäni.
• Kirjoita salasana paperille ja laita se turvalliseen paikkaan säilöön. Paperille kirjoitettu salasana on uniikki ja käytännössä se hukkuu vain, jos hävität sen. Salasana kannattaa säilyttää kaukana laitteesta, johon salasana käy.
• Ota avuksi ohjelma, joka säilyttää salasanasi. Monesti ohjelmat ovat maksullisia, mutta ilmaisia ohjelmia ovat esimerkiksi: Applen iCloud avainnippu, Google smart lock, LastPass (maksullinen, mutta löytyy myös suppeampi ilmaisversio) ja F-Secure Key (myös maksuton suppeampi versio olemassa).

Mitä ajatuksia salasanat herättävät; tuskastumista vai koetko ne sinua identifioivaksi tavaksi tunnistautua järjestelmiin, että olet sinä? Tietotekniikkaturvallista sunnuntaita!