Microsoft ehdottaa rajuja muutoksia salasanoihin Password Guidance -oppaassaan - Tietoturva - Ilta-Sanomat

Näin meitä piinataan: 7 asiaa, jotka salasanoissa tehdään väärin

Microsoft tekee radikaaleja ehdotuksia salasanasuojauksen uudistamiseksi.

16.1.2017 7:35

Ohjelmistoyhtiö Microsoft on esittänyt ohjeet turvallisempia salasanoja varten. Ensisijaisesti it-ylläpidolle suunnatut ohjeet ovat osa Microsoft Password Guidance -opasta (pdf) ja niistä on kirjoittanut muun muassa tietoturvayhtiö Semperis.

Yhtiö listaa 7 asiaa, jotka lyödään nykyisin laimin tai olisi syytä hoitaa paremmin. Ehdotukset ovat kiinnostavia, sillä ne sotivat suurilta osin nykykäytäntöjä vastaan. Mikäli verkkosivuostot siirtyisivät käyttämään neuvoja, sisäänkirjautuminen erilaisiin palveluihin saattaisi muuttua hyvinkin dramaattisesti.

1. Pitkä ei ole välttämättä hyvä

Microsoftin ensimmäinen ohje on ylläpitää vähintään kahdeksan merkin vaatimusta salasanoille, mutta pidempi ei välttämättä ole parempi. Tämä on vastoin yleistä käsitystä, jonka mukaan hyvin pitkät salasanat ovat automaattisesti kannatettavampia.

Vaikka erittäin pitkä salasana voikin olla lähes mahdoton murtaa, sillä ei ole väliä, koska Microsoftin mukaan yleisimmät tavat varastaa salasana on tietojen kalastelu ja tietokoneeseen ujutettu salasanat salakuunteleva näppäimistönauhuriohjelma. Silloin salasanan pituudesta ei ole mitään hyötyä, ja salasanat vain päinvastoin kuormittavat käyttäjiä.

2. Kikkailu kostautuu

Käyttäjiä vaaditaan usein monimutkaistamaan salasanaansa erikoismerkein tai isoin ja pienin kirjaimin. Microsoftin mielestä turhaan, koska käyttäjät tyypillisesti turvautuvat usein toistettuihin kaavoihin asian ratkaisemiseksi. Hyökkääjät esimerkiksi tietävät, että $-merkkiä käytetään s-kirjaimen korvikkeena. Näin ollen ovelalta vaikuttava kikkasalasana voikin olla äärihelppo murrettava.

3. Eroon salasanojen pakkovaihdosta

Monia työntekijöitä vaaditaan vaihtamaan salasanansa ajoittain. Microsoftin mukaan seurauksena on kuitenkin se, että käyttäjän uusi salasana muistuttaa hyvin läheisesti vanhaa ja on siten erittäin ennustettavissa. Kun lisäksi tiedetään, että hyökkääjät käyttävät varastamiaan salasanojaan välittömästi, ei niiden ajoittaisesta vaihtamisesta ole hyötyä, yhtiö katsoo.

4. Kiellä yleiset salasanat

Microsoftin mukaan merkittävin tapa parantaa turvallisuutta on kieltää tunnetut ja heikot salasanat, kuten 12345, password tai vaikka passw0rd, jotka koristavat toistuvasti yleisimmin käytettyjen salasanojen listoja. Microsoft on jo alkanut estää käyttäjiään valitsemasta tällaisia huonoja salasanoja Microsoft-tileilleen.

5. Älä käytä samaa salasanaa töiden ulkopuolella

Microsoft haluaa yritysten kouluttavan työntekijöitään tekemästä yhtä tyypillistä ja varsin vaarallista virhettä salasanojen kanssa. Työsalasanaa (tai ylipäätään mitään salasanaa) ei tulisi käyttää toistamiseen toisessa verkkopalvelussa. Tämä voi olla vaikeaa, koska se monimutkaistaa elämää, mutta rikolliset pommittavat verkkopalveluita jatkuvasti muualta varastamillaan salasanoilla. Pelkästään Microsoft näkee tällaisia hyökkäyksiä omia järjestelmiään vastaan 12 miljoonaa kappaletta joka päivä.

6. Kaksivaiheinen tunnistus käyttöön, hopihopi

Kaksivaiheinen tunnistus voi parantaa tietoturvaa dramaattisesti. Se tarkoittaa, että salasanan lisäksi käyttäjä saa esimerkiksi puhelimeensa varmistuskoodin, joka pitää vielä syöttää kirjautumista varten. Tämäkin on käyttäjälle kiusa, mutta huomattavasti pienempi kiusa kuin murrettu tili.

7. Haasta käyttäjä todistamaan, kuka hän on

Microsoft suosittaa kaksivaiheisen tunnistuksen pakotusta tilanteissa, joissa epäilyttävää käyttäytymistä havaitaan. Jos käyttäjä esimerkiksi yrittää kirjautua maantieteellisesti erilaisesta sijainnista, hänelle voidaan esittää vaatimus henkilöllisyytensä todistamisesta vaikkapa tekstiviestitse lähetettävän varmistuskoodin kautta.

Osion tuoreimmat

Luitko jo nämä?