Tulostusversio

1/2012

Tunnistaminen: Hyvät salasanat on pakko säilöä

Teksti: Marjo Rautvuori

Käyttäjällä pitäisi olla oma, pitkä ja monimutkainen salasana joka verkkopalvelulle. Jos muisti ei riitä niiden säilömiseen päässä, muitakin keinoja on.

Viime vuoden lopun tietovuototapaukset muistuttavat siitä, että verkkopalveluissa olevat tiedot esimerkiksi salasanoista voivat vuotaa, koska palvelujen tietoturvallisuudesta ei ole huolehdittu riittävästi.

Vaikka käyttäjätunnus-salasanapari ei ole vahva tunnistusmenetelmä, niitä todennäköisesti käytetään tulevaisuudessakin esimerkiksi siksi, että ne ovat yleensä ainoa keino tunnistautua rajat ylittäviin verkkopalveluihin.

Kahdeksan merkkiä ei riitä

"Hyvä salasana on lyhyesti sanottuna pitkä", muistuttaa tietoturva-asiantuntija Ari-Matti Husa Viestintävirastosta.

Salasanojen murtajilla on valmiiksi auki laskettuina valtavan paljon salasanoja sisältäviä taulukoita. Niissä on salasana ja sitä vastaava salakirjoitettu tiiviste, jossa muodossa salasana yleensä on tallennettu järjestelmiin.

Salasanan oikeellisuus todetaan laskemalla syötetystä salasanasta uudestaan sen tiiviste ja vertaamalla sitä järjestelmään talletettuun tiivisteeseen. Jos salasana on oikein, tiivisteet täsmäävät ja tietovarkaalla on käytössään salasana.

"Kahdeksan merkkiä on aivan liian vähän ja aukeaa käytännössä heti. Pitäisin hyvänä lähtökohtana esimerkiksi 15-merkkistä salasanaa. Pitempikään ei haittaa, jos järjestelmä sellaisen hyväksyy. Kaikki eivät sitä tee."

Vanha kahdeksan merkin maksimipituusohje perustui teknisiin rajoituksiin. Niitä ei ole Husan mukaan ollut vuosikausiin kuin sellaisissa palveluissa, joissa ei ole ajateltu tietoturvaa.

Vaaralliset turvakysymykset

Riittävä pituus ja satunnaisuus ovat Husan mukaan tärkeimmät salasanaa suojaavat ominaisuudet. Muut salasanan parannusmenetelmät, kuten isot kirjaimet ja erityismerkit, ovat toissijaisia, vaikka ne toki tekevät salasanan murtamisesta vaikeampaa.

Hyvä salasana on satunnainen ja riittävän pitkä merkkisotku. Jos oma mielikuvitus loppuu kesken, salasanojen tallennustyökalut myös luovat salasanoja käyttäjän puolesta.

Lyhyyden lisäksi heikon salasanan tunnistaa siitä, että se on jollakin kielellä tunnistettava sana puhumattakaan siitä, että se sisältäisi käyttäjätunnuksen tai käyttäjän nimen.

Joidenkin palveluntarjoajien harrastamat turvakysymykset esimerkiksi äidin nimestä tai ensimmäisestä lemmikkieläimestä Husa tyrmää:

"Turvakysymykset voivat olla suorastaan vaarallisia, jos niillä voi ohittaa muita tunnistautumismekanismeja."

Visusti talteen

Kun joka palvelulle on oma, pitkä ja mutkikas salasanansa, muisti ei välttämättä riitä niiden kaikkien mielessä pitämiseen. Saako ne kirjoittaa muistiin?

”Kun salasanansa kirjoittaa talteen, sitä salaisuutta on varjeltava tarkasti. Tähän pätevät samat säännöt kuin pankkitunnuslistoihin. Salasanalistan voi tehdä käsipelillä paperille tai vähintään salakirjoittamalla listan jollakin tavalla ja käyttämällä sellaista salasanaa, jonka varmasti muistaa”, Husa opastaa.

Ongelmallinen palautusmenettely

Entä jos salasanan kuitenkin unohtaa?

Useimmissa verkkopalveluissa on unohtuneen salasanan palautusmenettely, jossa käyttäjälle lähetetään uusi tilapäissalasana sähköpostitse. Ei siis syytä huoleen, vai onko?

”Tässä korostuu sähköpostitilin salasanan merkitys. Monet käyttävät verkkopalveluihin rekisteröitymiseen yhtä ja samaa sähköpostitiliä. Sitä hallitsemalla pääsee sitten muuttamaan unohtuneita salasanoja useassa eri palvelussa.”

”Jos sähköpostitili joutuu sivullisen haltuun, peli on menetetty”, Ari-Matti Husa varoittaa.

Työkalut avuksi

Salasanojen luomiseen ja tallentamiseen on tarjolla myös työkaluja.

Salasanahallintapalveluissa salasanat ja käyttäjätunnukset salakirjoitetaan käyttäjän luomalla niin sanotulla master-salasanalla. Osa työkaluista on paikallisia varastoja, joissa salatut tiedot ovat tallessa vain omalla koneella. Osa taas tallentaa ne salakirjoitettuina verkkoon, josta ne voi noutaa millä tahansa laitteella.

Käyttäjän tulee tehdä salatuista tiedoista varmuuskopio, jota ei säilytetä tietokoneessa vaan esimerkiksi muistitikulla tai ulkoisella kovalevyllä.

Kun käyttäjä tarvitsee salasanojaan, hän avaa salakirjoitetut tiedot master-salasanallaan. Tiedot saadaan palvelusta esimerkiksi selaimeen asennettavan lisäosan avulla, ja ne avataan tietokoneella. Tämän jälkeen selain voi lisätä selväkieliset tiedot verkkolomakkeelle.

”Hyvin toteutettuna salasanahallintapalvelu voi olla turvallinen. Valitettavasti kaikki palveluntarjoajat eivät kerro www-sivuillaan kovin tarkasti sitä, miten palvelu on toteutettu. Käyttäjä joutuu itse puntaroimaan riskejä ja palveluntarjoajan luotettavuutta”, Husa sanoo.

Joihinkin palveluihin voi liittää palveluun kirjautumiseen vaadittavan lisätunnistusmenetelmän, esimerkiksi avainlukugeneraattorin.

Mikään palvelu ei kuitenkaan ole sataprosenttisen varma, vaan salasanapalveluunkin voi ehkä joku murtautua ja siten päästä käsiksi käyttäjän kaikkiin tunnuksiin.

”Hyvin toteutetussa hallintapalvelussa varkaan haltuun joutuisi kuitenkin vain salakirjoitettuja tietoja.”

---

  • Palvelukohtainen
  • Pitkä (vähintään 15 merkkiä)
  • Satunnainen
  • Ei tunnistettava sana millään kielellä

Lue myös

Tunnistaminen: Salasanoista ei päästä eroon vielä vuosiin »
Tunnistaminen: 1 käyttäjätunnus, 122 verkkopalvelua »
Tunnistaminen: Kalmarin unioni 2.0 »
Tunnistaminen: Mobiilivarmenteelle lisää käyttöä »
Tunnistaminen: Voiko varmentajaan luottaa? »
Tunnistaminen: Uusi uhka - biometriset tunnisteet verkossa »
Tunnistaminen: Nimellä, nimimerkillä vai molemmilla? »
Tunnistautumalla viesti nopeammin julki »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.