Suomessa ensi viikonloppuna pidettävä hakkerien Disobey-tapahtuma jakelee jo etukäteen vinkkejä siitä, miten tietoturvansa voi varmasti vaarantaa. Yksi niistä kuuluu "valitse liian lyhyitä ja monimutkaisia salasanoja".
On helppo ajatella, että lyhytkin salasana on turvallinen, jos siihen sotkee mukaan erikoismerkkejä tai isoja ja pieniä kirjaimia. Mutta tämä ei pidä paikkaansa: ne eivät merkittävästi paranna salasanaa, jos se on liian lyhyt. Mutta ne kyllä vaikeuttavat salasanan muistamista.
Disobeyn mukaan salasana ei saisi olla ainakaan alle kymmenen merkin pituinen. Mitä pidempi salasana, sen vaikeampaa sen murtaminen on rikollisen tietokoneelle.
– Käytä vaikkapa suomenkielistä viestiä, lorua, valitsemasi kirjan ensimmäistä lausetta. Ne toimivat hakkereita vastaan paljon tehokkaammin kuin käsittämätön, lyhyt erikoismerkkirypäs ja ovat helppoja muistaa, tiedote neuvoo.
Totta se on
Hakkerit ovat oikeilla jäljillä, vaikka usein toistetaan, että salasana ei saisi löytyä sanakirjasta. Samanlaisen neuvon antaa esimerkiksi Viestintäviraston tietoturvanyrkki Kyberturvallisuuskeskus taannoisessa salasanaohjeessaan.
– Salasanana voi käyttää myös kokonaista lausetta, jonka ei tarvitse olla järkevä, kunhan sen itse muistaa. Esimerkiksi matkalippujen verkkopalveluun voisi toimia salalause: Bussilla matkustaa 2 mustaa kissaa ja 3 valkoista koiraa, eli yhteensä 5 eläintä, keskuksen ohje (pdf) kuuluu.
Monet järjestelmät eivät hyväksy välilyäntiä salasanoihin, jolloin niiden sijaan voi käyttää erikoismerkkejä: Bussilla_matkustaa#2#mustaa_kissaa...
Muista silti myös Kyberturvallisuuskeskuksen varoitus. Sanakirjassa oleva sana on sinänsä huono valinta.
– Yksi salasanojen murtamismenetelmä on sanakirjahyökkäys, jossa salasanan arvailuun käytetään valmiita sanaluetteloita. Jos käytetty salasana löytyy sanaluettelosta, se murtuu lähes välittömästi. Kahden tai useamman sanan yhdistäminen hidastaa paljastumista vain vähän.
Vieläkin liian vaikeaa?
Salasanoihin liittyy muitakin nyrkkisääntöjä. Samaa salasanaa ei pidä käyttää kahteen kertaan puhumattakaan siitä, että se olisi avain kaikkiin käyttäjän verkkopalveluihin ja muihin tunnistautumista vaativiin palveluihin.
Pitkien salasanojen muistamista voi helpottaa luomalla ne oikeista sanoista. Mutta jos salasanojen unohtaminen silti huolettaa, kannattaa harkita salasanojen hallintapalvelua, joka luo puolestasi vahvan salasanan kaikkiin käyttämiisi palveluihin.
Tällöin on kuitenkin hyvä varmistaa, että salasanapalvelu säilyttää salasanat paikallisesti sinun laitteessasi eikä jollakin internet-palvelimella. Tosin siitäkään ei ole apua, jos oma laite saastuu haittaohjelmasta.
