Tulostusversio

4/2013

Miksi salasanan pitää olla pitkä ja mutkikas?

Jos joku yrittää arvailla käyttämääni salasanaa, hän voi kokeilla eri vaihtoehtoja korkeintaan pari kertaa ennen kuin palvelu lukitsee tilini.

Miksi salasanan pitäisi silti olla pitkä, vaikka se voi olla vaikeampi muistaa?

”On tosiaan epätodennäköistä, että yrittämällä kirjautua palveluun verkkosivun kautta onnistuisi arvaamaan oikean salasanan", vastaa tietoturva-asiantuntija Ari-Matti Husa Viestintäviraston CERT-FI:stä.

"Mutta jos joku murtautuu palvelun tietokantaan ja vie sieltä kaikki tunnukset, tilanne on toinen."

”Kunnolla suojatussa verkkopalvelussa salasanoista on tallennettu vain niitä vastaavat tiivisteet. Kun tietomurtaja varastaa tiivisteet, hänen täytyy selvittää niitä vastaavat selväkieliset salasanat laskemalla kaikki mahdolliset salasanaa vastaavat tiivisteet ja vertaamalla niitä varastamiinsa tiivisteisiin.”

"Tiivisteiden laskenta vie sitä enemmän aikaa, mitä pitempi salasana on.”

Jos salasanatiivisteitä luotaessa on käytetty ns. "suolausta", on alkuperäisen salasanan selvittäminen tiivisteen perusteella hyvin vaikeaa. Suolaaminen tarkoittaa sitä, että selväkieliseen salasanaan lisätään palvelimen tuntema, mutta muilta salassa pidettävä, satunnainen sisältö ennen tiivisteen laskemista - ja tämä salaisuus pyritään pitämään huolellisesti piilossa. Kaikissa palveluissa tätä ei kuitenkaan ole tehty. Joissakin salasanat ovat jopa selväkielisinä.

”Varkaan työtä nopeuttaa se, että netissä on saatavilla taulukoita, joissa on eri tiivistefunktioilla valmiiksi laskettuja listoja salasanoja vastaavista tiivisteistä. Tällä hetkellä yleisemmin käytettyjä tiivisteitä varten on olemassa valmiita taulukoita ainakin kymmenmerkkisiä salasanoja varten.”

”Taulukoiden käyttäminen nopeuttaa salasanan selvittämistä, koska tällöin ei tarvita raskasta laskentaa, vaan riittää oikean tiivisteen ja sitä vastaavan salasanan etsiminen taulukosta.”

Pitääkö salasanan siis olla pidempi kuin 10 merkkiä?

"Kyllä, mieluummin reilusti pitempi. Suosittelisin vähintään 15-merkkistä salasanaa. Useimmat palvelut myös hyväksyvät vähintään sellaisen."

Entä pitääkö sen olla vaikea?

"Sanakirjoista suoraan löytyviä sanoja arvataan yleensä ensimmäiseksi, samoin niiden yhdistelmiä ja sellaisia sanoja, joissa on tehty yleisiä merkkien muuttamisia ’hämäystarkoituksessa’. Esimerkiksi I-kirjainten muuttaminen ykkösiksi tai o-kirjainten korvaaminen nollalla ei juuri auta. Niin sanotut kräkkäysohjelmat kokeilevat kaikki yleisimmät korvattujen merkkien yhdistelmät.”

"Jos salasanaa ei löydy suoraan sanakirjasta, murtajalle on sinänsä tiivisteiden laskennassa samantekevää, mitä merkkejä tiivisteen takana oleva salasana sisältää. Murtajan täytyy joka tapauksessa arvata jotain merkkijonoa ja verrata siitä laskettua tiivistettä tietomurrossa saatuun tiivisteeseen. Osuma tarkoittaa sitten voittoa murtautujalle", Husa sanoo.

”Kannattaa myös huomata, että tietomurto ja salasanan joutuminen vääriin käsiin eivät suinkaan välttämättä paljastu heti. Palvelu voi toimia pitkäänkin ennen kuin murto huomataan. Tilanne on pahin silloin, jos samaa salasanaa on käyttänyt useissa eri palveluissa.”



Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.