Vahvat salasanat ja salasanojen hallinta

Kaisa Huttunen

Salasanan tarkoituksena on suojata henkilökohtaisia tietojasi, käyttäjätiliäsi, sivustoasi tai laitettasi, jotta kuka tahansa ei pääsisi niihin käsiksi. Vahvat salasanat parantavat merkittävästi yrityksen tietoturvaa.

Tässä kirjoituksessa annamme vinkkejä vahvan salasanan muodostamiseen. Vahvat salasanat ovat pitkiä ja sisältävät kirjaimia, numeroita ja erikoismerkkejä. Ne ovatkin usein vaikeasti muistettavia, mutta onneksi niiden muistamista voi helpottaa hyödyntämällä tässä kirjoituksessa esiteltäviä salasanojen hallintaohjelmia.

Helposti arvattavia salasanoja, kuten 123456 ja qwerty. Vahva salasana sisältää merkkejä, numeroita ja kirjaimia.

Hyvä salasana turvaa tietosi

Monissa palveluissa käyttäjät tunnistetaan käyttäjätunnuksen ja salasanan avulla. Käyttäjätunnus on usein helposti pääteltävissä, sillä se voi olla esimerkiksi sähköpostiosoite tai muodostua nimen pohjalta. Siksi on tärkeä määrittää aina hyvä salasana. Salasanalla pyritäänkin varmistamaan, että kyseessä on oikea henkilö ja hänellä on oikeus päästä käsiksi käyttäjän tietoihin, tiliin tai vaikkapa sivustolle.

Heikko tai helposti arvattava salasana voikin johtaa tietojesi päätymiseen vääriin käsiin tai mahdollistaa kotisivullesi murtautumisen. Pahimmillaan kotisivut voivat toimia esimerkiksi haittaohjelmien levittäjänä, joka voi asettaa sinut sivuston omistajana ikävään asemaan ja heikentää kävijöiden luottamusta sivustoasi kohtaan. Salasanojen vahvuuteen kannattaakin kiinnittää huomiota.

Panosta erityisesti sellaisten salasanojen vahvuuteen, joita käytät muiden salasanojen palauttamiseen tai joilla hallitset muita salasanoja. Tällaisia ovat esimerkiksi salasanojen hallintaohjelmien tai sähköpostien salasanat.

Vinkki: Monet palvelut tarjoavat mahdollisuuden kaksivaiheisen tunnistuksen käyttämiseen. Kannattaakin aina harkita, onko tarpeen käyttää kaksivaiheista tunnistusta. Kaksivaiheisessa tunnistautuminen tarkoittaa sitä, että kirjautuminen pitää vahvistaa salasanan lisäksi esimerkiksi puhelimeen saapuvalla kertakäyttöisellä koodilla.

Kädet puisen talon suojana. Vahvat salasanat antavat vastaavasti turvan tärkeille tiedoillesi.

Miten salasanat päätyvät vääriin käsiin?

Salasanat voivat päätyä vääriin käsiin useilla eri tavoilla, esimerkiksi palveluissa tapahtuvien tietomurtojen seurauksena. Vastuulliset palveluntarjoajat tiedottavat asiakkaitaan tapahtuneista tietomurroista tai -vuodoista mahdollisimman pian niiden havaitsemisen jälkeen ja kehottavat vaihtamaan tarvittavat tiedot.

Tietojen kalastelu ja haittaohjelmat ovat yleisiä tapoja saada salasanoja vääriin tarkoituksiin. Kalastelun tavoitteena on saada käyttäjä itse syöttämään tiedot esimerkiksi pankin sivua muistuttavalle tietojenkalastelusivustolle. Haittaohjelma voi puolestaan tutkia esimerkiksi päätelaitteiden tiedostoja ja löytää selaimiin tai ohjelmiin tallennettuja salasanoja.

Salasanat voidaan murtaa myös erilaisten hyökkäysten avulla. Esimerkiksi väsytyshyökkäyksessä eli brute force -hyökkäyksessä salasana yritetään murtaa kokeilemalla jokaista mahdollista numero-, kirjain- ja merkkiyhdistelmää. Hyökkäyksessä hyödynnetään usein myös sanakirjoista löytyviä sanoja.

Vahvat salasanat auttavat suojautumaan erilaisista hyökkäyksiltä ja minimoimaan myös tietovuotojen, kalastelujen ja haittaohjelmien aiheuttamia ongelmia.

Millainen on vahva salasana?

Kokosimme kuuden kohdan listan siitä, millainen on vahva salasana.

1. Riittävän pitkä

Hyvä salasana on riittävän pitkä, mieluummin lause kuin yksittäinen sana. Arviot salasanan riittävästä pituudesta vaihtelevat, mutta vähintään 15 merkkiä pitkä salasana on jo vahva. Pitkä salasana suojaa hyvin väsytyshyökkäykseltä, koska pitkä salasana on hidas ratkaista murto-ohjelman avulla, eikä se ole yleensä sen takia enää kannattavaa.

2. Ei ennalta-arvattava

Vahva salasana ei ole ikinä ennalta-arvattava. Salasanoina tai niiden osina ei kannatakaan käyttää esimerkiksi lasten, lähteisten tai lemmikkien nimiä, syntymäpäiviä tai muitakaan henkilökohtaisia tietoja. Ennalta-arvattaviksi voidaan laskea myös yleisesti käytetyt salasanat, kuten salasana, salasana123, qwerty tai password. Näppäimistöllä geometrisen kuvion muodostavat salasanat ovat myös huonoja vaihtoehtoja.

3. Ei koostu pelkistä sanakirjasanoista

Hyvä salasana ei koostu pelkistä sanakirjasanoista, sillä pelkkien sanakirjasanojen käyttäminen voi helpottaa merkittävästi salasanan murtamista. Esimerkiksi puhekieliset ja murreilmaisut vaikeuttavatkin selvästi salasanan murtamista. Sanojen rikkomiseen voi käyttää myös kirjoitusvirheitä ja ylimääräisiä merkkejä. Vahvan salasanan ei tulisi sisältää lainkaan sanakirjasta löytyviä sanoja.

4. Sisältää erikokoisia kirjaimia, numeroita ja erikoismerkkejä

Vahva salasana sisältää sekä isoja että pieniä kirjaimia, numeroita ja erikoismerkkejä. Erilaisia merkkejä tulisi esiintyä vahvassa salasanassa mahdollisimman sekaisin. Numeroita ja erikoismerkkejä käyttäessä ei kannata turvautua ilmeisimpiin ratkaisuihin eli vaihtaa esimerkiksi o-kirjaimia nolliksi tai i-kirjaimia huutomerkeiksi.

5. Käytössä vain yhdessä palvelussa

Hyvä salasana on käytössä vain yhdessä paikassa. Jokaista palvelua, sivustoa ja ohjelmaa varten tulisikin olla omat ja riittävän erilaiset salasanat, yhden merkin vaihtaminen ei riitä. Esimerkiksi tietomurtojen yhteydessä saatuja tunnuksia saatetaan testata useisiinkin palveluihin, mutta jos jokaiseen palveluun on käytössä oma uniikki salasana, se suojaa muut tunnukset.

6. Vaihdetaan säännöllisesti

Vahva salasana vaihdetaan säännöllisesti, esimerkiksi kolmen kuukauden välein. Säännöllinen salasanan vaihtaminen suojaa tilanteissa, jossa salasanat pääsevät jostain syystä vuotamaan. Salasanaa ei pidä vaihtaa sellaiseen, joka on jo aiemmin ollut käytössä jossain muualla. Jos epäilet salasanan paljastuneen, kannattaa se vaihtaa välittömästi uuteen.

Salasanageneraattori ja salasanojen hallinta

Ihmiset eivät ole yleensä hyviä keksimään monimutkaisia kirjaimia, numeroita ja erikoismerkkejä sisältäviä yhdistelmiä. Salasanageneraattoreita kannattaakin käyttää apuna vahvojen salasanojen muodostamiseen. Monista salasanojen hallintaohjelmista löytyy salasanageneraattori sisäänrakennettuna.

Nainen yrittää muistaa salasanaa. Vahvat salasanat ovat vaikeita muistaa.

Vahvat salasanat ovat pitkiä ja sisältävät monenlaisia merkkejä, mikä tekee niiden muistamisen lähes mahdottomaksi. Jokaiseen palveluun tulee myös olla oma erillinen salasana, jota vieläpä vaihdetaan säännöllisesti. Muistettavia salasanoja kertyykin helposti useita, jopa useita kymmeniä. Salasanojen hallintaohjelmat voivat hoitaa salasanojen muistamisen puolestasi.

Useat salasanojen hallintaohjelmat muistavat salasanojen lisäksi myös käyttäjätunnukset. Osa ohjelmista poimii tiedot automaattisesti ensimmäisellä kirjautumiskerralla, kun taas osaan tiedot pitää syöttää manuaalisesti. Tiedot tallennetaan salatussa muodossa joko pilveen tai paikalliselle levylle.

Salasanojen hallintaohjelmassa oleviin tietoihin pääsee käsiksi niin sanotun pääsalasanan avulla, jonka vahvuuteen kannattaakin kiinnittää erityistä huomiota. Pääsalasanaa ei tule missään nimessä unohtaa, sillä silloin tietojasi ei välttämättä voida lainkaan palauttaa. Useissa salasanojen hallintaohjelmissa on mahdollista käyttää myös kaksivaiheista tunnistusta.

Erilaisia salasanojen hallintaohjelmia on olemassa markkinoilla monia erilaisia ja eri hintaisia, joten jokainen varmasti löytää niistä itselleen sopivan. Esittelemme tässä kaksi suosittua salasanan hallintasovellusta KeePassin ja LastPassin.

KeePass

KeePass on ilmainen avoimen lähdekoodin salasanojen hallintaohjelma, joka tallentaa käyttäjän salasanat ja muut kirjautumistiedot paikalliselle levylle. KeePassistä on olemassa viralliset versiot Windows-, Mac- ja Linux-käyttöjärjestelmille. Ohjelma on saatavilla mm. englanniksi ja suomeksi.

KeePass Logo

KeePassiin kirjaudutaan pääsalasanalla, mutta se mahdollistaa myös kaksivaiheisen tunnistuksen käyttämisen. KeePassissa on salasanageneraattori sisäänrakennettuna ja siihen on saatavilla jopa yli 100 erilaista lisäosaa. Lisäosilla saa esimerkiksi salasanat synkronoitua eri pilvitallennustiloihin, kuten Google Driveen tai Dropboxiin. KeePass ei kopioi salasanoja ja muita tietoja automaattisesti selaimesta, vaan ne täytyy syöttää ohjelmaan käsin. Toisaalta tietoihin saa lisättyä mm. muistiinpanoja, erilaisia ikoneita ja asetettua vanhentumispäivämäärän.

Lue lisää KeePassistä täältä.

LastPass

LastPass on salasanojen hallintaohjelma, joka tallentaa salasanat ja kirjautumistiedot pilvipohjaiseen tallennustilaan. LastPassista on olemassa ilmaisversion lisäksi myös useita maksullisia versiota. LastPassin saa asennettua monien selaimien lisäosaksi ja siitä löytyy myös mobiiliapplikaatiot Androidille, iOSille ja Windows-puhelimille. Ohjelma voi käyttää mm. englanniksi ja suomeksi, vaikkakin suomennettu versio on vielä paikoin keskeneräinen.

LastPass logo

LastPassiin kirjautuminen tapahtuu pääsalasanalla ja siihen on mahdollista lisätä myös pääsalasanaa koskeva vihje, joka auttaa pääsalasanan muistamisessa. Kaksivaiheinen tunnistautuminen on myös mahdollista. LastPassiin on sisäänrakennettu salasanageneraattori ja turvallisuushaaste. Turvallisuushaaste auttaa sinua arvioimaan omien salasanojesi turvallisuutta ja ohjaa tarvittaessa vaihtamaan ne turvallisempiin. LastPass tarjoaa salasanojen ja muiden tietojen tallentamista yleensä automaattisesti ensimmäisellä kirjautumiskerralla.

Lue lisää LastPassistä täältä.