Suurin osa digitaalisesta informaatiosta on nykyään salasanan takana. Lähes kaikki tiedot sähköposteista serverien hallintaan ovat salasanan suojaamia. Myös suurin osa bitcoineista turvataan salasanalla. Monesti salasana on myös ainoa suojakeino. Hyvät salasanakäytännöt ovat nykyään tietoturvan kannalta välttämättömiä. Tässä oppaassa kerromme lyhyesti, millainen on hyvä salasanakäytäntö ja miten salasanoja kannattaa luoda ja hallita.
Salasanan on täytettävä muutamia kriteerejä ollakseen laadukas. Salasanan on oltava riittävän pitkä ja monimutkainen ollakseen mahdoton arvattavaksi. Samaan aikaan sen oli kuitenkin oltava myös riittävän helppo muistettavaksi. Nämä kaksi vaatimusta ovat lähtökohtaisesti ristiriidassa. Yleensä salasana on sitä helpompi murtaa, mitä helpompi se on muistaa.
Salasanan laadukkuutta mitataan entropialla eli merkkijonon monimutkaisuudella ja satunnaisuudella. Merkkijonossa “abcd” ei ole juuri lainkaan entropiaa, siinä missä merkkijono “Kdh36jdW” on jo huomattavan entropinen. Monet sivustot mittaavat salasanojen entropiaa ja ilmoittavat käyttäjille sen perusteella, että onko salasana niiden mukaan laadukas.
Salasanan entropia kasvaa muun muassa lisäämällä salasanaan isoja kirjaimia ja numeroita. Mitä enemmän erilaisia merkkejä on käytössä, sitä vaikeammaksi salasanan arvaaminen muuttuu. Pelkästään isot ja pienet alkukirjaimet kaksinkertaistavat käytössä olevien merkkien määrän ja siten tekevät salasanan arvaamisesta noin tuhat kertaa vaikeampaa.
Vaikka monet palvelut nimenomaisesti edellyttävät isoja ja pieniä kirjaimia sekä numeroita, on pelkkä salasanan pituuden lisääminen kaikista tehokkain keino parantaa salasanan turvallisuutta. Jokainen merkki moninkertaistaa mahdollisten vaihtoehtojen määrän, eikä hyvässä salasanassa ole välttämätöntä käyttää valtavaa määrää erilaisia merkkejä.
Salasana on yksi modernin digielämämme kulmakivistä, mutta silti hyvin monet tekevät sen suhteen kamalia virheitä.
Hyvän salasanan muodostaminen sanoista
Salasanojen kehittämiseksi ja muistamiseksi on luotu erilaisia tekniikoita, joiden avulla salasanan voi muistaa helposti ilman, että siitä tulee liian heikko. Yksi paljon käytetty menetelmä on tehdä salasana esimerkiksi yhdistämällä viisi tai kuusi toisiinsa liittymätöntä sanaa. Tällainen salasana olisi siis esimerkiksi “LuolaKauppiasParkkiTuuletusaukkoKaiutin”.
Tietokone suhtautuu tällaiseen salasanaan samalla tavalla kuin sattumanvaraiseen, pitkään merkkirivistöön, minkä vuoksi salasanan murtaminen on hyvin vaikeaa. Sen sijaan ihmiselle viiden sanan muistaminen on paljon helpompaa kuin monimutkaisten kirjain- ja numeroyhdistelmien muistaminen.
Vaikka tätä menetelmää pidetään helppona yleiskeinona luoda hyviä salasanoja, on siinäkin puutteensa. Sanoista luotu salasana voidaan murtaa niin sanotulla sanakirjahyökkäyksellä, jossa tietokone yrittää erilaisten kirjainyhdistelmien sijasta erilaisia sanayhdistelmiä. Lisäksi ihmisillä on psykologinen tapa käyttää samankaltaisia sanoja tai sanayhdistelmiä.
Sanoista muodostetun salasanan turvallisuutta on kuitenkin mahdollista parantaa muutamalla yksinkertaisella tempulla. Mikäli salasanassa käytetään useammalla eri kielellä olevia sanoja, tekee se suuresta osasta sanakirjahyökkäyksiä kelvottomia. Suomalaisella on onneksi käytössään yleensä ainakin kolme kieltä, joista kaksi ovat hyvin harvinaisia. Käyttämällä suomen, ruotsin ja englannin sanoja sekaisin, tulee sanakirjahyökkäyksistä lähes mahdottomia. Sanojen valitseminen aidosti sattumalla esimerkiksi avaamalla sanakirjan muutamasta satunnaisesta kohdasta on puolestaan hyvä keino parantaa salasanan psykologista turvallisuutta.
Esimerkki hyvästä eri sanoista muodostetuista salasanasta olisi: “LiikeCoatSulakeBriefcaseDenGliderIn”.
Käytä runoja tai lauluja, kuten esi-isäsi
Ihminen muistaa helpommin tarinoita kuin sattumanvaraisia merkkijonoja. Lajimme on käyttänyt tätä ominaisuutta hyväkseen jo ennen kirjoitustaidon keksimistä, jolloin tieto siirrettiin ja säilytettiin punomalla se lauluiksi ja tarinoiksi. On paljon helpompi muistaa “alussa oli suo, kuokka ja Jussi” kuin “XblId82Yz?!”
Tämä ominaisuus on hyvä myös salasanojen luomiseksi. Laadukkaan ja näennäisesti sattumanvaraiselta merkkijonolta näyttävän salasanan voi luoda erilaisten runojen pohjalta käyttämällä erilaisia algoritmeja.
Mikäli runosta otetaan jokaisen sanan ensimmäinen ja viimeinen kirjain, saadaan runon pohjalta muodostettua kirjainyhdistelmä, joka itsessään on hyvin vaikea muistaa. Jos kuitenkin muistat itse runon ja sen, miten olet käyttänyt runoa, voit palauttaa monimutkaisen salasanan aina mieleesi. Käytetään esimerkkinä tuota Väinö Linnan kuuluisaa aloitusta, josta tulisi kirjainyhdistelmä “aaoisokajaji”.
Pidemmät runonpätkät luovat tietysti pidempiä salasanoja:
“Den glider in
i mål igen
Vi ska kämpa
vi ska ge
alt det vi har
vi ska ta
gul igen”
Tästä Kirkankin laulamasta klassikkokappaleesta saisi jo pidemmän ja monimutkaisemman salasanan: “dngrinimlinvisakavisageatdtvihrvisataglin”. Koitapa vaan lähteä arvaamaan tuollainen salasana, tai edes muistaa se. Kuitenkin jos elit vuonna 1995, todennäköisesti tulet muistamaan tuon kappaleen hautaan saakka.
Nämä kaksi ovat luonnollisesti vain esimerkkejä. Mikäli päätät käyttää tätä metodia, kannattaa varmistaa, että salasanasi ei perustu johonkin aivan liian yleiseen runoon, lauluun tai kappaleeseen. U2:n hittibiisit ovat paljon tunnetumpia kuin esimerkiksi Kalevalan naimarituaaleista kertova runolaulu.
Merkittävät tapahtumat, kokemukset ja tarinat jäävät ihmisten mieleen paremmin kuin epämääräiset kirjainyhdistelmät.
Salasanojen hallitsemiseen on ohjelmia
Yksi valitettavan yleinen tietoturvaongelma on, että monet käyttävät samoja salasanoja tai lähes samoja salasanoja useissa eri paikoissa. Tämä on luonnollisesti helppoa, mutta käytännössä se kasvattaa riskejä huomattavasti. Mikäli yksikään näistä palveluista, joissa salasanaa käytät, joutuu esimerkiksi hakkeroinnin kohteeksi ja palvelun käyttäjätiedot joutuvat nettiin, niin olet pulassa. Sen jälkeen hakkerit voivat päästä käsiksi kaikille niille sivustoille, joilla käytät samaa salasanaa.
Hyvän tietoturvan kannalta on välttämätöntä käyttää eri salasanoja etenkin niissä palveluissa, jotka koet kaikista tärkeimmiksi. Vaikka monissa paikoissa voikin käyttää samaa salasanaa tai esimerkiksi saman salasanan erilaisia muunnoksia, kannattaa tärkeimpiä palveluja varten valita selkeästi erilaiset salasanat.
Eri käyttökohteita salasanoille tulee nykyaikana väkisin suuria määriä. Koska hyvä tietoturva edellyttää, että salasanat ovat riittävän erilaisia, voi monien salasanojen hallitseminen olla vaikeaa. Tämän ongelman ratkaisemiseksi on olemassa monia erilaisia niin sanottuja avainnippuohjelmia, jotka tallettavat käyttäjän puolesta useita salasanoja. Käyttäjän tulee muistaa ainoastaan yksi niin sanottu pääsalasana, jonka avulla hän pääsee käsiksi kaikkiin muihin salasanoihin. Monet näistä ohjelmista myös osaavat luoda automaattisesti äärimmäisen monimutkaisia ja kestäviä salasanoja.
Kaikista tunnetuin ja käytetyin tällaisista salasanoja käsittelevistä ohjelmista on LastPass. LastPass tallettaa salasanat pilveen, jolloin käyttäjä pääsee käsiksi niihin miltä tahansa koneelta, kunhan hän muistaa LastPass-salasanansa. LastPassia voi käyttää älypuhelimella tai selaimille voi ladata erillisen LastPass-lisäosan.
LastPassia käyttävän on huomattava muutamia tärkeitä seikkoja. LastPass perustuu suljettuun koodiin, eli kukaan ei tarkalleen tiedä, mitä järjestelmä on syönyt. Lisäksi LastPass tallettaa salasanat pilveen. Salasanat on siis fyysisesti tallennettu muualla sijaitseville kiintolevyille. LastPassilla ei ole myöskään erityisen kehuttava historia, vaan järjestelmä on joutunut useita kertoja hakkerointien kohteiksi ja sinne talletetut salasanat ovat vuotaneet nettiin.
LastPass on hyvä ja kätevä työkalu, mutta kaikista tärkeimpien salasanojen kohdalla sen kanssa kannattaa olla varovainen. Tallettaisitko esimerkiksi kotiavaimesi jonkun tuntemattoman ihmisen varastossa, jos tietäisit, että tuon ihmisen varastolla käy toistuvasti rosvoja? Tuskin. LastPassille onkin olemassa hyviä, huomattavasti turvallisempia vaihtoehtoja, jotka käyvät myös tärkeämpiin salasanoihin.
Tunnetuin näistä vaihtoehdoista lienee KeePassX. KeePassX toimii ulkoisesti hyvin samalla tavalla kuin LastPass, mutta siinä on monia etuja, jotka tekevät siitä huomattavasti turvallisemman.
KeePassX tallettaa salasanat paikallisesti omalle kovalevyllesi, muistitikullesi tai muulle vastaavalle paikalliselle talletuslaitteelle. Tämän vuoksi KeePassX ei ole samalla tavalla altis hakkereille, eikä kukaan voi saada salasanojasi haltuunsa murtautumalla jollekin ulkoiselle palvelulle, kuten LastPassiin. Toinen erittäin hyvä puoli KeePassXissa on, että ohjelma perustuu avoimeen koodiin. Jokainen voi siis halutessaan tarkistaa, miten ohjelma toimii ja ettei siinä ole mitään vakavia haavoittuvuuksia tai muita ongelmia. KeePassX soveltuu erinomaisesti myös arvokkaampien salasanojen tallentamiseen.
Avainnippuohjelmat ovat erinomainen tapa lisätä tietoturvaa ja hallita suuria määriä salasanoja. Kuitenkin kaikista tärkeimmät salasanat kannattaa edelleen opetella muistamaan siten, että niiden käyttäminen onnistuu myös ilman avainnippuja.
Hyvän salasanakäytännön avulla voit suojella itseäsi ja omaisuuttasi. Pelkästään muutamilla yksinkertaisilla peruskäytännöillä voit vähentää riskiä, että joku esimerkiksi tunkeutuisi tilillesi ja veisi bitcoinisi tai käyttäisi sähköpostiasi lähettääkseen koko kaverilistallesi peniskuvia. Hyvän salasanan avulla olet turvassa, mutta ilman hyvää salasanaa tietosi ovat luettavissa jokaiselle, joka vain jaksaa nähdä riittävästi vaivaa.
Salasanaan kannattaa suhtautua kuin kotiavaimeen, sillä salasanan merkitys alkaa pian olla fyysistä avainta suurempi.
