Kolmen sanan ohje rikkoo vanhaa ajattelua siitä, mikä on turvallinen salasana.

Britannian tietoturvaviranomainen National Cyber Security Centre (NCSC) peräänkuuluttaa uudenlaista tapaa luoda turvallisia salasanoja. Asiasta kertoi tietoturvayhtiö Specops Software tiedotteessaan.

Aloitteen nimi on #thinkrandom, joka tarkoittaa kolmea satunnaista sanaa. Sanakirjasta löytyvien sanojen käyttäminen salasanoina on pitkään tuomittu vaarallisena ideana, mutta #thinkrandom pyrkii tasapainottelemaan turvallisuuden ja salasanojen helpon muistamisen välillä.

Ideana on kirjoittaa kolme satunnaista sanaa putkeen tyyliin coffeetrainfish tai vaikka peltokakkuremontti. Menetelmää on arvosteltu siitä, että tällaiset salasanat ovat nopeammin murrettavissa erilaisia satunnaisia merkkejä sisältävään salasanaan verrattuna.

Specopsin mielestä molemmat leirit ovat oikeassa, ja ratkaisu voi löytyä välimaastosta, jossa salasana koostetaan kolmesta huolella valitusta sanasta. Sanat eivät saisi olla sellaisia, jotka ovat jo aiemmin vuotaneet.

Asian tarkistamiseen voit käyttää arvostusta nauttivaa Have I Been Pwned -verkkopalvelua, joka pitää kirjaa eri tietovuodoissa paljastuneista käyttäjätunnuksista. Kirjoita aikomasi salasanan kolme sanaa vuorotellen tähän palveluun, äläkä käytä niitä jos palvelu varoittaa niiden vaarantuneen.

Varaudu kuitenkin siihen, että sopivien sanojen löytymiseen voi kulua vähän aikaa. Suomalaisia sanoja kannattaa harkita, koska kielialueemme on pieni ja siksi sanojamme on saattanut päätyä vääriin käsiin verrattain vähän.

#Thinkrandom-aloitteen tavoitteena on puuttua miljardien heikkojen salasanojen ongelmaan. Siinä hakkerit voivat tunkeutua käyttäjätileille jopa ilman hienostuneita salasanojen murtomenetelmiä. Esimerkkejä tällaisista huonoista salasanoista ovat vaikkapa Liverpool#1, Pa$$word7 ja Spring2020!.

Aiemmin tätä vastaan tapeltiin neuvomalla luomaan salasanoja, joissa käytetään erilaisia merkkejä, kuten isoja ja pieniä kirjaimia ja numeroita. Ongelmaksi kuitenkin muodostui, että tämä ajoi ihmiset toistamaan tiettyjä kaavoja, kuten numerot salasanan lopussa tai s-kirjaimen korvaaminen $:llä. Seurauksena salasanojen turvallisuuden arvioidaan kärsineen.

Myös esimerkiksi Microsoft ja Google ovat tahoillaan pyristelleet eroon vanhasta salasana-ajattelusta. Microsoft on korostanut, että salasanojen säännöllinen vaihdattaminen yrityksissä on huono ajatus, koska ihmiset tuppaavat valitsemaan uudeksi salasanaksi edellistä muistuttavan vaihtoehdon. Toinen ongelma on, että uusi salasana saatetaan silti unohtaa.

Specopsin mukaan tärkein yksittäinen tekijä salasanan turvallisuudessa on sen pituus, kunhan siinä ei käytä esimerkiksi liian yleisiä sanoja tai toistuvia merkkejä.