Tietoturva

Salasanasi ovat avaimia, joita käytät päästäksesi käsiksi henkilökohtaiseen tietoon, jota olet tallettanut tai joka on osoitettu sinulle. Ne ovat myös avaimia, joita käytät saadaksesi ulottuvillesi tiedon ja palvelut, joita tarvitset työssäsi tai jotka jokin toinen osapuoli tarjoaa käytettäväksesi. Usein salasanat toimivat myös osana henkilöllisyyden tunnistamissa palveluita käytettäessä.

Rikolliset ovat kiinnostuneita toisaalta tiedostasi ja palveluista, mutta toisaalta myös digitaalisesta henkilöllisyydestäsi. Digitaalisen henkilöllisyytesi avulla voidaan sinun nimissäsi tehdä verkko-ostoksia ja sitoumuksia, hakea verkossa kaupattavia pikalainoja ja esiintyä nimissäsi erilaisissa muissa yhteyksissä. Yleensä sinun on mahdotonta havaita digitaalisen henkilöllisyytesi väärinkäyttöä, ennenkuin se on jo tapahtunut ja mahdollinen hyöty on jo saatu. Myös ongelmien selvittäminen ja digitaalisen henkilöllisyytesi väärinkäytöksen osoittaminen jää sinun vastuullesi, on aikaa vaativaa, työlästä ja kallista.

Digitaalisen henkilöllisyyden suojaaminen on kuitenkin onneksi varsin helppoa. Yleisesti tunnistusvälineenä käyttävän salasanan tulee vain olla riittävän vahva ja se tulee säilyttää hyvin suojattuna.

Mikä tekee salasanasta vahvan?

Salasanaa vastaan hyökkäävälle pahimman vastuksen tarjoaa salasana, joka koostuu tai näyttää koostuvan satunnaisesta merkkijonosta, johon kuuluvat peräkkäiset merkit eivät näytä muodostavan mitään sanaa tai muodostuvan mikään muun kaavan kuin puhtaan satunnaisuuden mukaan. Salasanan muodostamisessa seuraavat kriteerit voivat auttaa sinua:

Luo pitkä salasana. Jokainen merkki, jonka lisäät salasanaasi tekee siitä moninkertaisesti vahvemman ja vaikeammin murrettavan. Salasanasi tulisi olla vähintään kahdeksan merkkiä pitkä ja mitä pidemmän teet siitä, sen parempi niin kauan kun sinun ei tarvitse kirjoittaa sitä mihinkään, muistaaksesi sen.

Yhdistelemällä useampia sanoja yhteen tai järjestelmän niin salliessa välilyönnillä eroteltuina, saadaan salasanaa monesti parempi vaihtoehto, salalause. Se voi olla helpompi muistaa kuin lyhyempi, mutta hyvä salasana ja on toisaalta pidempi ja vaikeampi arvata.

Yhdistelemällä isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä, luot suuremman joukon mahdollisia salasanassa tai salalausessa käytettäviä merkkejä ja teet siitä vaikeammin arvattavan. On syytä huomata, että yksistään salasanan pituus ei riitä:

Mitä vähemmän erilaisia merkkejä käytät salasanassasi, sen pidempi sen pitää olla, ollakseen yhtä vahva kuin lyhyempi salasana, jossa on käytetty suurempaa merkkijoukkoa. Sekä pieniä, että suuria kirjaimia sisältävä kahdeksan merkkinen salasana on 250 kertaa vahvempi kuin pelkkiä pieniä kirjaimia sisältävä saman mittainen salasana. Kaikkista näppäimiltöltä muodostettavista merkeistä koostuva kahdeksan merkin mittainen salasana on yli 1500 kertaa vahvempi kuin vain kirjaimia sisältävä saman mittainen salasana. Kasvattavamalla salasanojen pituus 14 merkkiin, on kaikkia merkkejä sisältävä salasana jo yli 35 miljoonaa kertaa vahvempi kuin saman mittainen, mutta pelkistä kirjaimista koostuva salasana.
Jos et voi käyttää salasanassasi erikoismerkkejä, tee siitä oleellisesti pidempi saadaksesi saman suojan. Ideaalinen salasana sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä yhdisteltynä sekaisin.
Käytä koko näppäimistöä, eikä vain yleisimpiä merkkejä. Numeroista vaihto-näppäimen kanssa tulevat merkit ovat hyvin yleisiä salasanoissa ja siksi suositeltavaa olisikin käyttää erikoismerkkien joukossa harvemmin käytettyjä tai sellaisia merkkejä, jotka ovat tyypillisiä vain omalle kielellesi. Muista kuitenkin, että tällaiset merkit eivät välttämättä ole kirjoitettavissa vierailta näppäimistöiltä.

Käytä salasanoja tai -lauseita, jotka ovat helppoja muistaa, mutta vaikeita arvata. Toisin kuin yleisesti väitetään, ei salasanan kirjoittaminen muistiin ole mitenkään väärin ja huonosti tehty, kun muistivälinettä säilytetään turvallisesti, se ei suoraan tai välillisesti paljasta ulkopuoliselle mistä salasanasta on kyse tai että edes on kyse salasanasta, eikä se paljasta mihin käyttäjätunnukseen tai muuhun identiteettiin salasana liittyy.

Paperilapulle kirjoitettu salasana on huomattavasti vaikeampi tai mahdoton paljastaa Internetin kautta, verrattuna mihin tahansa ohjelmistopohjaiseen Password Manager -järjestelmään tallennettu salasana.

Luo vahva, muistettava salasana

Näillä askelilla etenet kohti vahvempaa salasanaa:

Mieti jotain lausetta, joka on sinulle helppo muistaa, mutta jonka sisältö muiden on vaikeaa arvata. Tämä muodostaa perustan salasanan tai salalauseen luomiseksi. Helposti muistettava lause voisi olla vaikka "Veljeni Jorma asuu Tallinnassa ja on töissä hitsarina."
Tarkista onko mahdollista käyttää salalausetta vai rajoittaako salasanalla suojattava järjestelmä salasanan pituutta tai siinä käytettäviä merkkejä. Jos voit käyttää salalausetta, jossa on välilyönnit sanojen välissä, tee niin.
Jos järjestelmä ei tue salalauseita, muunna lause salasanaksi. Ota ensimmäinen kirjain jokaisesta lauseen sanasta ja olet luonut uuden merkityksettömän sanan. Aiemmasta esimerkistä tulisi näin: "vjatjoth".
Lisää salasanan monimutkaisuutta sekoittamalla isoja ja pieniä kirjaimia sekä numeroita. Myös kirjaimia kannattaa vaihdella ja kirjoittaa sanoja väärin. Esimerkiksi yllä olevassa salalauseessa veljen nimi voitaisiin kirjoittaa väärin ja "ja"-sana korvata &-merkillä. Muuntelumahdollisuuksia on paljon ja mitä pidemmästä lauseesta on kyse, sen vaikeampi salasanasta voidaa tehdä. Salalauseesi voisi olla "Velj Ni JarM0 aSuU tA LinNaSsa&NoTÄisSö HiStarIna." Jos järjestelmä ei tue salalauseita, salasana voisi kääntyä muotooon "V1aTj&tH".
Lisää lopuksi joitakin erikoismerkkejä. Voit käyttää merkkejä, jotka näyttävät kirjaimilta. On kuitenkin syytä muistaa että jos i tai l ja 1 näyttävät sinusta samoilta, niin ne näyttävät rikollisenkin mielestä. Sen sijaan mieleen ei välttämättä tule että j olisi korvattu numerolla 1 tai huutomerkillä (!). Sanoja voi myös yhdistellä poistamalla välilyöntejä tai erotella kirjoittamalla yhdyssanoja erikseen "Lappeen ranta", tehdäksesi salasanasta vaikeamman.
Älä testaa salasanaasi millään Internetistä ladattaavalla testityökalulla. Älä edes sellaisella, joka väittää ettei se lähetä salasanaa verkon yli, sillä vaikka tänään olisikin näin, niin ensi viikolla tai kuukauden päästä väite ei välttämättä pidäkään paikkaansa.

Vältä seuraavia tapoja luodessasi salasanoja

Monet yleisesti käytetyt tavat salasanojen luomisessa ovat helppoja arvattavia rikollisille. Välttääksesi heikkoja, helposti arvattavia salasanoja:

Vältä sarjoja ja merkkien toistoa. "0987654321", "iiiiii", "hijklmno" ja näppäimistöllä peräkkäin olevat merkit, kuten "qwertyuiop", ovat helppoja arvattavia, eivätkä tee salasanastasi turvallisempaa.
Vältä samalta näyttävien merkkien vaihtamista keskenään. Rikolliset ja muut väärinkäyttäjät eivät mene harhaan ja osaavat korvata a:n @-merkillä, A:n 4:llä, o:n 0:lla (nolla) sekä muut samannäköisten ja samalla tavalla lausuttavien merkkien korvaamiset. Salasana "S@14$an4" on siis käytännössä yhtä helppo murrettava kuin "salasana". Tällaisella merkkien korvaamisella voidaan kuitenkin vahventaa salasanaa, kun se yhdistetään muihin tapoihin kuten kirjoitusvirheisiin, pituuteen ja isojen ja pienten kirjainten vaihteluun.
Vältä käyttäjätunnuksen ja nimen käyttöä salasanassa. Ne ovat julkista tietoa ja yleisesti heikoissa salasanoissa käytettyjä. Mikä tahansa osa nimestä, syntymäpäivästä, henkitunnuksesta tai vastaavasta tiedosta joko sinusta tai perheenjäsenestäsi on huono valinta salasanaan. Rikolliset yrittävät näitä ensimmäisenä.
Vältä sanakirjasanoja. Rikollisilla on käytössään edistykselliset työkalut ja jotka pystyvät nopeasti muodostamaan sanakirjasanoihin perustuvia salasanoja, jopa takaperin, kirjoitusvirheisinä ja merkkejä toisilla korvaten. Tämä koskee kaikkia mahdollisia sanoja, kaikilla mahdollisilla kielillä.
Älä käytä samaa salasanaa joka paikassa. Jos joku murtaa tai saa haltuunsa yhden salasanasi, on kaikki muu samalla salasanalla suojattu vaarassa joutua tai joutunut jo rikollisiin käsiin. On tärkeää käyttää eri salasanoja eri järjestelmissä.
Älä tallenna salasanaasi mihinkään verkossa olevaan palveluun. Jos väärinkäyttäjä pääsee salasanoihisi käsiksi, hänellä on tietojen avulla pääsy kaikkiin tietoihisi ja kaikkiin niihin palveluihin, joihin sinullakin.

Mikä pätee salasanoihin ei välttämättä päde salalauseisiin

Salalauseiden ideana on muodostaa helposti muistettava ja huomattavasti salasanoja pidempi tunnistetieto. Koska sen vahvuus perustuu ensisijaisesti suureen merkkimäärään eikä niinkään valtavaan merkkivalikoimaan, on sen muodostamisessa sallittua käyttää joitakin menetelmiä, joiden käyttämistä salasanoissa tulee välttää, kuten sanakirjasanoja ja merkkien korvaamisia samalta näyttävillä numeroilla tai erikoismerkeillä.

Salalauseen teho perustuu pituuden lisäksi siihen, että eri (sanakirja)sanoja on huomattavasti suurempi määrä kuin yksittäisiä merkkejä. Yhdistämällä siis neljä sanakirjasanaa peräkkäin saadaan teoreettisesti yhtä vahva salalause kuin 10 merkkiä pitkällä salasanalla, jonka muodostamisessa on käytetty hyvin laajaa merkkipohjaa. Yhdistelemällä muita tekniikoita voidaan salalauseen vahvuutta lisätä vielä oleellisesti.

Tyhjä salasana

Tyhjä salasana on aina huono salasana. Joissakin järjestelmissä, kuten Windows XP:ssä se voi kuitenkin estää etäkäyttäjää kirjautumasta järjestelmään sisään tunnuksella, jolle ei ole asetettu lainkaan salasanaa. Kotikoneella on siis turvallisempaa jättää salasana kokonaan pois, kuin laitta käyttäjätunnukseksi "teppo" ja salasanaksi "teppo" tai "1234". Rikolliset kyllä keksivät helpot salasanat, mutta salasanan puuttuminen voi estää heitä käyttämästä tunnusta lainkaan Internetin kautta.

Älä käytä tyhjää salasanaa, jos

Tietokone ei sijaitse fyysisesti turvallisessa paikassa
Kannettavissa tietokoneissa
Mikäli sinun tarvitsee saada koneeseen yhteys Internetin yli tai koti- tai toimistoverkossa, käyttääksesi sitä etänä tai käyttääksesi koneella olevia tiedostoja.

Kuinka pääset muuttamaan salasanaasi

Verkkopalveluiden käyttäjätunnukset / tilit

Verkkopalveluissa on hyvin vaihtelevat poliitikat sen suhteen kuinka voit muokata tilisi asetuksia ja vaihtaa salasanaa. Etsi linkkiä "asetukset", "salasana", "profiili" tai englanninkielisissä palveluissa "my account". Yleensä tällainen sijaitsee ainakin palvelun etusivulla ja johtaa sivuille joilla salasanan vaihto ja tilin hallinta on mahdollista.

Tietokoneiden salasanat

Sähköiset ohjeet auttavat yleensä eri käyttöjärjestelmissä luomaan, muokkaamaan ja käyttämään salasanasuojattuja käyttäjäprofiileita tai tilejä. Ohjeissa myös yleensä kerrotaan, miten salasanan tarkistus aktivoidaan tapahtumaan koneen käynnistyksen yhteydessä. Tietoa voi myös yrittää löytää Internetistä ohjelmiston valmistajan kotisivuilta.

Pidä salasanasi vain omana tietonasi

Suojele salasanojasi ja salalauseitasi vähintään yhtä hyvin kuin tietoa, joka on niillä suojattu.

Älä paljasta niitä muille. Pidä salasanasi salassa ystäviltäsi ja perheeltäsi, erityisesti lapsilta, jotka voivat antaa ne edelleen jollekin muulle vähemmän luotettavalle henkilölle. Ainostaan sellaiset salasanat, jotka on tarkoitettu jonkin ryhmän käytöön muodostavat poikkeuksen.
Suojaa kaikki tallennetut salasanat. Ole tarkkana mihin tallennat ja kirjoitat muistiin salasanojasi. Älä jätä näitä muistiinpanoja mihinkään, mihin et jättäisi tietoja, joita salasanoilla suojataan.
Älä koskaan lähetä salasanaa sähköpostitse, äläkä koskaan vastaa sähköpostitse esitettyihin salasanakysymyksiin. Kaikki salasanoja kyselevät sähköpostiviestit ovat huijauksia. Tämä koskee myös kaikki kysymyksiä, jotka näyttävät tulevan luotettavalta yritykseltä tai henkilöltä. Sähköposti voidaan lukea matkalla, eikä se välttämättä ole siltä, keneltä se näyttää olevan. Sähköpostia käytetään Internet-kalasteluun, jossa tavoitteena on varastaa digitaalinen henkilöllisyytesi ja käyttää sitä väärin.
Vaihda salasanasi säännöllisesti. Tämä vaikeuttaa rikollisten ja muiden hämärämiesten toimia salasanasi murtamiseksi. Mitä vahvempi salasana, sen kauemmin se säilyttää kykynsä suojata. Siinä kun alle kahdeksan merkkiä pitkä salasana parhaimmillaankin suojaa vain viikkoa, antaa esimerkiksi 14 merkkiä pitkä salasana suojan jopa vuosiksi.
Älä käytä salasanojasi tietokoneilta, joita et voi itse kontrolloida. Internet-kahviloiden, kirjastojen ja muiden julkisten paikkojen ja tilaisuuksien tietokoneita tulee käsitellä epäluotettavina, käytettäväksi mihinkään henkilökohtaisen tiedon käsittelyyn sekä sellaiseen tietoon pääsyn tarjoavan tiedon, kuten salasanojen, käsittelyyn. Jos sinun on pakko käyttää tällaista konetta sähköpostin, keskustelujen tai verkkopankin käytöön, käytä aina salattua siirtotietä ja kertakäyttöisiä salasanoja. Koneeseen on hyvin yksinkertaista asentaa laite tai ohjelmisto, joka tallentaa jokaisen näppäimenpainalluksen. Tällaisiin koneisiin voi olla asennettu tällainen näppäimistölokittaja.

Entä jos salasanani varastetaan

Paraskaan salasana ei ole tae siitä ettei salasanalla suojattua tiliä pääsisi käyttämään oikeudettomasti. Rikolliset voivat päästä verkkopalvelussa olevaan tiliisi käsiksi verkkopalvelussa olevan haavoittuvuuden kautta joko suoraan tai anastamalla salasanasi. Tällöin salasanan vahvuus tai heikkous on täysin merkityksetöntä.

Esimerkiksi useimmat suomalaiset Internet-operaattorit tallettavat yhä asiakkaidensa salasanat selkokielisessä muodossa, vaikka tekniikka on sallinut jo kymmeniä vuosia salasanojen tallentamisen sellaisessa muodossa, joka sallii niiden tarkistamisen salasanaa käytettäessä, mutta ei mahdollista palauttamista selkokieliseen muotoon.

Mikäli epäilet salasanojesi joutumista vääriin käsiin ja erityisesti jos epäilet jonkun muun käyttävän niitä, ota yhteyttä palveluntarjoajaan. Tarvittaessa myös viranomaisiin, mikäli kyse on esimerkiksi pankkipalveluista. Mikäli mahdollista vaihda kyseisen tilin salasana, mutta älä käytä sellaista salasanaa, jota käytät jossain muussa palvelussa.

Mikäli varastetuksi epäiltyä salasanaa on käytetty muissa palveluissa olevissa tileissä tulee näidenkin salasanat vaihtaa. Älä kuitenkaan laita kaikkiin palveluihin samaa salasanaa, sillä rikollisilla voi edelleen olla pääsy salasanatietoihin, yhdessä tai useammassa palvelussa.

Huonoimmat salasanat

Huonoimmat näkemäni salasanat, joilla käytännössä ei ole mitään merkitystä, ovat perustuneet käyttäjätunnukseen. Erääseen Internet-palveluun rekisteröityneistä asiakkaista tehtiin tutkimus asiakkaiden käyttämistä salasanoista ja niiden vahvuudesta. Tutkimukseen valittiin satunnaisesti 200 000 käyttäjätiliä. Näistä 2 500:n käyttäjätunnus ja salasana olivat keskenään identtisiä ja yli 12 000:n tilin salasana oli muodostettu käyttäjätunnuksesta lisäämällä perään numero yksi ("1").

Muita suoraan sanakirjasta löytyviä sanoja salasanan käyttäviä tunnuksia löytyi vielä tätäkin enemmän ja kaiken kaikkiaan salasanojen taso oli suorastaan surkea. Kokonaisuudessaan tutkimus osoitti, että kun Internet-palveluissa ei edellytetä asiakkailta hyviä salasanoja, ei niiden vahvuuteen osata kiinnittää lainkaan huomiota.

Mainittakoon vielä, että tutkimuksen mukaan yleisin yksittäinen salasana oli "kissa1".

Kiitos Microsoftille hyvästä pohjamateriaalista, joka lopultakin innosti kääntämään ja kirjoittamaan tämän ohjeen myös suomeksi. Tämä ohje perustuu omiin kokemuksiini ja Microsoftin englanniksi julkaisemaan ohjeeseen ja on lokalisoitu vastaamaan suomalaisia palveluita ja käytäntöjä. Tämän sivun sisällön julkaiseminen osana Microsoftin sähköisiä julkaisuja on sallittu ilman erillistä lupaa.