Jokaisella meistä on aktiivisessa käytössään vähintään parikymmentä, jopa sata salasanaa erilaisiin palveluihin. Syntyy kieltämättä kiusaus päästä helpolla; käyttää samaa salasanaa eri palveluissa, täyttää vain palvelun salasanalle osoittamat minimivaatimukset ja unohtaa ohjeet hyvään salasanakäytäntöön.

Sekä yksityisten henkilöiden että yritysten tiedot ja identiteetit ovat arvokkainta pääomaamme. Salasanoilla ja tunnuksilla tehdään myös rahaa ja rikoksia, joten yhdenkään palvelun salasanan laatimiseen ei tule suhtautua kevyesti.

On hyvä ymmärtää, että salasanoihin liittyy useita tietoturvariskejä ja murtoyrityksiä:
– Salasana yritetään selvittää teknisesti murtamalla
– Salasana yritetään selvittää esimerkiksi valesähköpostilla
– Käyttäjä säilyttää tai käyttää salasanaa huolimattomasti

Alla muutama lähtökohta hyvään salasanakäytäntöön. Alla olevat ohjeistukset pyrkivät vastaamaan ylläesitettyihin salasanojen tietoturvariskeihin.

Ohjeet hyvään salasanakäytäntöön

1. Käytä eri palveluissa eri salasanoja

Mikäli käytät samaa salasanaa tai hyvin samankaltaista salasanaa eri palveluissa, yhden palvelun käyttäjätietojen murtaminen asettaa myös muut käyttämäsi palvelut varaan.

Työnantajan on hyvä edellyttää työntekijöitään luomaan työssä käytettäviin palveluihin uniikit salasanat, jotka eivät ole käytössä henkilökohtaisissa palveluissa. Yritys voi myös hyödyntää esimerkiksi Microsoftin Active Directoryn tarjoamaa käyttäjähakemistoa, jonka kautta käyttäjän yksi Windows-tunnus toimii myös muissa yrityksen käyttämissä, AD:hen linkitetyissä palveluissa.

2. Käytä salasanalausetta

Hyvä salasana on ennen kaikkea tarpeeksi pitkä. Sinänsä salasanan monimutkaisuus, esimerkiksi ”V41k3A!” ei tee salasanasta turvallista, sillä lyhyen salasanan näennäinen monimutkaisuus ei ole tekniselle salasanan murtamiselle sen vaikeampaa kuin ”vaikea!”. Lisäksi oletettavat ”A = 4” vaihdokset ovat oikeastaan jopa arvattavia.
Suosittelen salasanan pituudeksi vähintään 16 merkkiä. Esimerkiksi salasanalause ”kirjautuminenälyttömänvaikeaaon” on sekä tietoturvallisempi että helpompi muistaa.

3. Vaihda salasana riittävän usein

Puhuttaessa salasanan murtovahvuudesta, puhutaan salasanan murtamiseen kuluvasta ajasta. Näin ollen voidaan olettaa salasanan murtovahvuuden heikkenevän ajankuluessa. Vaihda siis salasana riittävän usein. Toki harvemmin vaihdettu, riittävän pitkä salasana on parempi kuin huono ja liian lyhyt salasana, joka vaihdetaan usein ja joka kirjoitetaan muistiin post it -lapulle.
Salasanan vaihtaminen ei usein tunnu välttämättömältä. Tämän vuoksi kannattaa hyödyntää palveluiden automaattiset salasanan vaihtamispyynnöt.

4. Poista käytöstä salasanojen automaattinen täydennys selaimesta

Useat selaimet mahdollistavat salasanojen ja käyttäjätunnusten tallentamisen selaimeen, jotta monimutkaisen salasanan naputtelulta voi välttyä. Ymmärrettävästi salasanan löytyessä selaimen muistista uloskirjautuminen ei varsinaisesti suojaa käyttäjätunnustasi – ei ainakaan samalla päätelaitteella selainta käyttäviltä henkilöiltä.

5. Varmista, että kirjaudut ulos palveluista erityisesti jaetuilla päätelaitteilla

Erityisesti kuluttajasähköpostit ja sosiaalisen median palvelut, jotka tallentavat salasanan selaimeen, jäävät usein huomaamatta sulkematta. Mikäli esimerkiksi pidät presentaation tai kirjaudut Facebookiin jaetulla päätelaitteella, varmista, että kirjaudut ulos palvelusta lopettaessasi. Varmista myös, ettei käyttämäsi selain tallentanut salasanaasi.

Varmista myös, että puhelimesi aloitusikkuna vaatii kirjautumista, sillä muutoin puhelimestasi on suora pääsy avoimiin sovelluksiisi.

6. Älä koskaan anna minkään palvelun salasanaa salaamattomassa yhteydessä

Muista, että yksikään palveluntarjoaja ei koskaan kysy sinulta palvelun salasanaa sähköpostitse. Mikäli saat sähköpostitse tai puhelimitse pyynnön ilmoittaa salasanasi jollekulle, on kyseessä salasanojen urkkimisyritys.

Mikäli välität esimerkiksi yhteiskäytössä olevan palvelun salasanan toiselle henkilölle, älä koskaan lähetä salasanaa ja käyttäjätunnusta salaamattomasti sähköpostitse tai sosiaalisessa mediassa. Suojaamaton sähköpostiliikenne on yhtä avointa kuin kirjekuorettomat paperit, joten älä ainakaan lähetä kirjautumislinkkiä, salasanaa ja käyttäjätunnusta samassa viestissä.

7. Hyödynnä tietoturvallista salasanaholvia

Koska salasanan tulee olla pitkä, palvelukohtainen ja vieläpä silloin tällöin vaihdettava, salasanojen hallinta käy pidemmän päälle vaikeaksi. Myönnän, etten itse muista kaikkia salasanojani, vaan käytän salasanojeni hallintaan ja generoimiseen F-Securen tarjoamaa salasanapalvelua.

Huom! Käytä vain luotettavaa palvelua! Vaikka palvelu muutaman kympin vuodessa maksaisikin, se on pieni hinta tietoturvastasi ja mielenrauhastasi.

Tässä ohjeeni hyvään salasanakäytäntöön. Mikäli tarvitset apua salasanojen hallinnassa tai tietoturvakysymyksissä, vastaan mielelläni.