Moni asia, jonka tiesit salasanoista, onkin väärin. Yhdysvaltalainen standardielin NIST (National Institute of Standards and Technology) julkaisi äskettäin uudet ohjeet salasanoille ja niissä riittää kummasteltavaa.
VentureBeatin mukaan NIST esimerkiksi suosittaa luopumaan tuiki yleisestä käytännöstä salasanojen vaihtamiseksi ajoittain.
Toinen aiemmista poikkeava ohje on, ettei salasanoja pitäisi enää pakottaa monimutkaisiksi esimerkiksi kirjaimien, numeroiden ja erikoismerkkien yhdistelmillä.
Kolmas ohje on helpommin ymmärrettävissä. Sen mukaan uudet salasanat on tarkistettava yleisesti käytettyjä tai murrettuja salasanoja vastaan. Käyttäjiä pitäisi estää siis valitsemasta sellainen salasana kuin vaikkapa password tai 123456.
Mistä nämä peräti kummalliset ohjeet sitten kumpuavat? Osviittaa antavat ohjelmistoyhtiö Microsoftin salasanaohjeet, jotka heijastelevat NIST:n ohjeita monelta osin.
Microsoft esimerkiksi katsoo, ettei salasanojen ajoittaisesta vaihtamisesta ole juuri hyötyä muun muassa siksi, koska käyttäjät tyypillisesti valitsevat uudeksi salasanakseen edellistä hyvin läheisesti muistuttavan version.
Monimutkaisiin salasanoihin pakottaminen taasen saa käyttäjät usein turvautumaan tiettyihin kikkoihin ja kaavoihin, jotka omassa päässä tuntuvat kekseliäiltä, mutta joihin tosiasiassa on turvauduttu niin monta kertaa, että hyökkääjien käyttämät salasanamurtajat tunnistavat ne automaattisesti.
NIST ei voi pakottaa ohjeitaan käyttöön muille kuin Yhdysvaltain hallituksen alaisille toimijoille, mutta VentureBeatin mukaan niillä on huima painoarvo myös yrityksissä ja muissa organisaatioissa. Ohjeet voivat siten tavoittaa lopulta jopa tavalliset nettikäyttäjät, jos ja kun verkkopalvelut muuttavat salasanakäytäntöjään.
