Netistä löytyy paljon myyttejä ja suoranaisia valheita turvallisen salasanan valitsemiseksi. Tällaisia myyttejä levittävät jopa Kotimikro ja arvostettu tietoturvafirma Norton (Kyberturvallisuuskeskus jakoi vielä hetki sitten näitä myyttejä, mutta on nyt korjannut ohjeitaan järkevämpään suuntaan). Pahimmat myytit ovat:
- Salasanan tulee olla helppo muistaa
- Salasanaa ei saa kirjoittaa ylös
- Älä tallenna salasanaa selaimeesi
- Kirjaudu aina ulos palvelusta, kun olet lopettanut sen käytön
- Vaihda salasana usein
Ohjeita löytyy pilvin pimein hyvän salasanan luomiseksi ja muistisääntöjen käyttämiseksi, jotta vaikeankin salasanan muistaa helposti. Yksi ohje kuuluu, että korvaa sanan aakkoset niitä muistuttavilla numeroilla ja merkeillä. Esimerkiksi ”Idrinkcoffee” olisi ”!dr1nkc0ff33”. Nyt salasana on helppo muistaa, ja koska se koostuu kirjaimista, numeroista ja erikoismerkeistä, kuvitellaan, että se on turvallinen. Tällaisia ohjeita antavat asiantuntijat ilmeisesti eivät ole perehtyneet siihen, miten salasanoja murretaan. Ensimmäinen algoritmi hakkerin työkalussa käy läpi sanakirjasta löytyviä sanoja ja korvaa aakkosia juuri näillä merkeillä. Ilmeisesti nämä tietoturva-asiantuntijat eivät olet itse koskaan murtaneet salasanoja. Salasanojen murtamiseen löytyy useampia helppokäyttöisiä ja todella tehokkaita ohjelmia, kuten John the Ripper, jonka asennat Linux Mintissä yhdellä komennolla ”sudo apt install john”. Voit kokeilla sovellusta yrittämällä murtaa OMASSA Linux-järjestelmässäsi käyttäjien salasanoja.
Toki muutama tärkeä asia löytyy googlaamalla – hyvä salasana koostuu isoista ja pienistä kirjaimista, numeroista ja erikoismerkeistä ja on vähintään 12 merkkiä pitkä. Jos seuraat tätä ohjetta, salasanasi on lähellä turvallista, mutta ei vielä paras mahdollinen.
Ensimmäiset kaksi myyttiä liittyvät toisiinsa. Miksi salasanaa ei saisi kirjoittaa ylös ja miksi se pitäisi muistaa? Itse keksitty salasana ei ole koskaan turvallisin mahdollinen salasana. Ainoa keino luoda turvallinen salasana on käyttää satunnaisgeneraattoria. Tämä nettisivu luo sinulle turvallisen salasanan selaimessasi, jolloin se ei siirry mihinkään nettiin. Jos olet vähän nörtti, kokeile tätä perl skriptiä turvallisen salasanan luomiseksi:
#!/usr/bin/perl
# A good password is at least 20 characters long.
# A random generator is the only way to get a good password.
# Nolicense.
#
my $len = $ARGV[0];
if (not defined $len) {
$len = 20;
}
my $pwd;
# excluding ambiguous characters "Il1O0o"
# there are some special characters I can never remember how to get
# them from my keyboard, so these are my favorites.
my @chars = ('A'..'N','P'..'Z','a'..'k','m','n','p'..'z','2'..'9','!','#','%','&','/','(',')','[',']','=','?','*','-','_','@','€');
my $range = $#chars + 1;
for (1..$len) {
$pwd .= $chars[int(rand($range))];
}
print "$pwd\n";
Itse luon kaikki tärkeimmät salasanat täysin satunnaisesti ja asetan pituudeksi 20 merkkiä. Koska salasanat ovat niin pitkiä, en ikinä voisi muistaa niitä, siksi kirjoitan ne ylös muistivihkoon selkokielisenä, joka on pommin varma tapa pitää salasanat turvassa. Ne eivät katoa, vaikka elektromagneettinen pulssi tuhoaisi kaikki älylaitteeni. Muistivihko on kotonani varmassa tallessa. Kuinka usein hakkerit murtautuvat kotiisi varastaakseen Facebook salasanasi? 20 merkkiä pitkää salasanaa ei murra edes NSA supertietokoneillaan. Tavalliselle käyttäjälle riittänee 12-15 merkkiä, mikäli salasana on todellakin satunnaisesti luotu.
Myytti numero kolme pitää osittain paikkansa – mikäli käytät Microsoftin selainta. Hiljattain Microsoftin Edge-selain siirsi laittomasti käyttäjien selaimeen tallentamat salasanat ja kirjanmerkit suoraan Microsoftin palvelimille. Mitä Microsoft teki näillä tiedoilla, sitä voi vain arvailla. Ongelmaa ei ole, jos käytät avoimen lähdekoodin turvallista selainta, kuten Firefoxia. Tässä tapauksessa salasanan tallentaminen selaimeen on täysin turvallista ja suotavaa. Kun selain tallentaa salasanan puolestasi, voit käyttää niin pitkiä salasanoja kuin haluat, eikä sinun tarvitse niitä muistaa. Jos pelkäät, että selain kadottaa salasanasi, kirjoita ne ylös.
Muistivihkon sijaan löytyy kännykkään ja kotikoneelle tarkoitettuja sovelluksia, jotka tallentavat kaikki salasanasi salattuna pilveen, josta ne voi synkronoida kaikkiin laitteisiisi. Tätä ratkaisua voin suositella vain, mikäli sovellus on avointa lähdekoodia ja tietoturva-asiantuntijoiden auditoima. Nämä kriteerit täyttävä sovellus on arvostetun tietoturvaguru ja salausexpertti Bruce Schneierin PassSafe, saatavilla sekä Linuxille että Windowsille. Toinen vaihtoehto on avoimen lähdekoodin Bitwarden, saatavilla Linux Mintin Ohjelmistohallinasta ja asennettavissa lähes jokaiselle käyttöjärjestelmälle, iOS:lle ja Androidille. Allekirjoittanut Bitwardenia testatessa ei pitänyt siitä, että Android sovelluksen vahva pääsalasana pitää näpytellä joka kerta avattaessa sovellus. Tämä kannustaa käyttäjiä valitsemaan heikon salasanan ja heikentää tietoturvaa. Työpöydällä sovellusta testattaessa koko kone meni jumiin, mikä on Linuxissa todella harvinaista. Joten Bitwarden on lupaava projekti, mutta heidän täytyy vielä hioa sovelluksiaan. Google tarjoa myös salasanojen tallennuspalvelua suoraan selaimessa. Ottaen huomioon, että Googlen palvelu ei ole avointa lähdekoodia, antaisitko salasanasi tälle teknologiajätille? Käytä salasanat tallentavaa sovellusta vain, jos tiedät mitä olet tekemässä.
Myytti numero neljä on omituinen ja hassu. Miksi palvelusta tulisi kirjautua ulos? Itse olen ollut sekä Googlen palveluihin että Facebookiin kirjautuneena niin pitkään, että en edes muista koska olen viimeksi syöttänyt sinne salasanani. Ilkeän hakkerin kannalta on täysin yhdentekevää, oletko kirjatuneena palveluun vai et. Millä esimerkillä havainnoillistaisin tätä asiaa? On samantekevää, kuinka hyvin olet lukinnut ulko-ovesi, jos varas murtautuu takaovesta. Palveluun kirjautuneena pysyminen kannattaa, koska silloin voit käyttää pitkää salasanaa, joka sinun tarvitsee syöttää vain kerran. Tässä yhteydessä voisin mainostaa kaksivaiheista kirjautumista, joka lisää tietoturvaa huomattavasti. Ehkä sinua epäilyttää antaa puhelinnumeroasi Googlen tai Facebookin kaltaisille yrityksille, mutta on sangen kätevää, että kirjautuessasi palveluun uudelta laitteelta sinun tarvitsee syöttää puhelimeesi saapunut koodi. Tällöin vaikka hakkeri saisi jotenkin ongittua salasanasi, ei hän mitenkään pääse palveluun ilman että onnistuisi vielä varastamaan puhelimesikin.
Kerron havainnolistavan esimerkin. En ole Facebookin (nykyään siis Meta) suuri fani. Siksi vähän epäröin kirjautua Facebookin omistamaan Instagramiin, mutta koska kaikki sukulaiseni ovat siellä, päätin kokeilla palvelua. Koska tämä oli vain kokeilu, asetin salasanakseni ”akuankka82!”. Huomaa, että salasanassa oli peräti kaksi numeroa, että yksi erikoismerkki. Seuraavana päivänä sain viestin, että Instagramiini on kirjauduttu uudelta laitteelta Muoniosta. Menin oitis vaihtamaan salasanani turvallisempaan ja otin kaksivaiheisen kirjautumisen käyttöön. Selvisin siis säkähdyksellä, ja nyt voin Instagrammissa jakaa hassuja meemejä turvallisesti sukulaisilleni.
Havainnollistan, miten hakkerit murtavat salasanoja. Moni ajattelee, että jos salasanani on koirani lempinimi takaperin yhdistettynä vaimoni syntymävuoteen, ei kukaan hakkeri voi sitä koskaan arvata. Hakkerit eivät arvaa salasanoja. He käyttävät automatisoituja ohjelmia, jotka murtavat miljoonia salasanoja sekunnissa. Tällainen ohjelma käyttää sanakirjoja, joissa on jokaisen maailman kielen jokaikinen sana, etunimi ja sukunimi. Näitä sanoja kokeillaan etu- ja takaperin yhdistettynä numeroihin ja erikoismerkkeihin. Täten hakkeri onnistui ”arvaamaan” heikon salasanani ”akuankka82!”.
Viides myytti on sekin täysin perätön ja vain heikentää tietoturvaa. Miksi ihmeessä salasana pitäisi vaihtaa usein? Monessa yrityksessä virallinen politiikka on, että salasana tulee vaihtaa kerran kuukaudessa. Yksikään kyberturvallisuuden asiantuntija ei ole koskaan onnistunut osoittamaan, miten salasana on helpommin murrettavissa, jos sitä ei vaihda koskaan. Jos olet kerran asettanut itsellesi turvallisen salasanan joka on riittävän pitkä, ei sitä tarvitse vaihtaa ikinä. Havainnolistan tätäkin asiaa esimerkillä. Vaikuttaako todennäköisyyteesi voittaa lotossa pätkääkään, kuinka usein vaihdat lottoriviäsi?
Nyt kun nämä myytit on murrettu, sinulla on kaikki tarvittava tieto turvallisen salasanan luomiseksi.
Vielä muutama huomio. Mihin tarvitset vahvaa salasanaa? Aivan ensisijaisen tärkeä palvelu on käyttämäsi sähköposti, koska sen avulla useimmiten kirjaudut kaikkiin muihin palveluihin. Tällöin on ehdottoman tärkeää luoda sähköpostitilillesi mahdollisimman turvallinen salasana. Jos käytät gmailia, sinun tarvitsee näpytellä selaimessasi salasana vain kerran, sekä kerran jokaista uutta laitetta kohti. Google muistaa salasanan puolestasi todella pitkään. Ja jos otit kaksivaiheisen tunnistuksen käyttöön kuten neuvoin, jokaisen uuden laitteen vahvistat kännykkääsi saapuvalla pinkoodilla.
Sähköpostin lisäksi Facebook lienee palvelu, jossa sinulla todennäköisesti on runsaasti tietoa itsestäsi, kavereistasi ja voi olla arkaluontoisia yksityisviestejäkin. Siksi Facebookin salasana kannattaa valita huolella. Myös Facebook muistaa salasanan pitkään, joten voit huoletta tehdä siitä vahvan. Mieti kaksi kertaa, onko sinun pakko kirjautua gmailiin ja Facebookiin kirjaston koneelta, työnantajasi tai oppilaitoksen koneelta, kun kerran molemmat palvelut toimivat mainiosti myös puhelimessasi? Mieti jokaisen palvelun kohdalla, mitä tietoja menetät ja mitä vahinkoa tapahtuu, jos hakkeri pääsee murtamaan tilisi. Voin tunnustaa, että useissa palveluissa joita käytän vain kerran, esim. foorumeilla jonne kirjoitan tasan yhden viestin, käytän heikkoa salasanaa. Mutta verkkokaupoissa ja sivustoilla, joille syötät luottokorttitietosi, palveluissa, joista olet maksanut rahaa, kannattaa ilman muuta käyttää vahvaa salasanaa.
Myös WLAN salasana kannattaa valita huolella. Tämänkin salasanan joudut yleensä kirjoittamaan vain kerran kultakin laitteelta, jonka yhdistät verkkoosi. Ehkä ajattelet, että eikö ole ystävällistä jakaa WLAN verkko myös naapureille? Tässä tapauksessa jaat sen myös hakkereille, jotka ajelevat ympäri naapurustoja etsien heikosti suojattuja WLAN verkkoja, yleensä puhtaasti huvin vuoksi. Kun hakkeri pääsee verkkoosi, hänen on helppo haistella suojaamattomia salasanoja ja muita tietoja, sekä päästä koneellesi, mikäli se on heikosti suojattu. WLAN verkkojen murtamiseen löytyy runsaasti helppokäyttöisiä ja todella tehokkaita ohjelmia, joiden avulla jopa noviisihakkeri voi aiheuttaa paljon harmia (Linux Mintissä tutustu ohjelmiin Wireshark ja Aircrack-ng, vain pari mainitakseni). WLAN verkon salauksen saa yleensä vaihdettua reitittimen asetuksista. Kannattaa valita niistä vahvin. Älä missään tapauksessa käytä muinaista WEP-salausta, mikäli reitittimesi sellaista jostain syystä tarjoaa. WEP-on täysin triviaali murtaa oikeilla työkaluilla. Uudensukupolven salausalgoritmeja ovat WPA ja WPA2. Valitse näistä WP2, niin WLAN verkkosi on toistaiseksi suojattu. Mikäli haluat jakaa WIFI verkkosi vierailijoille joihin luotat, tulosta WIFI-salasanasi paperille tai luo siitä vaikka QR-koodi, jonka vierailija voi lukea älylaitteellaan. Linux Mintin verkkoasetukset näet klikkaamalla oikeasta alakulmasta WIFI-verkon symbolia ja valitsemalla ”verkkoasetukset”. Klikkaa reitittimen kohdalta asetukset-symbolia, niin näet mikä salaus verkossasi on käytössä.
Entä tietokoneesi salasana, oli se sitten Linux, Windows tai macOS? Voin julkisesti kertoa koko maailmalle, että kotikoneeni pääkäyttäjän salasana on ”akuankka”. Se on nopea ja helppo syöttää kirjautuessa, sovelluksia asennettaessa ja järjestelmän asetuksia muutettaessa. Jälleen kerran, en ole pätkääkään huolissani siitä, että joku hakkeri murtautuu kotiini ja kirjautuu kotikoneelleni. Murtautuakseen koneellesi hakkerin ei tarvitse tietää salasanaasi. Kuten aiemmin kertomassani esimerkissä, hakkeri tulee takaoven kautta, eikä häntä kiinnosta koneesi salasana. Myös rikostutkijat pääsevät kaikkiin kotikoneesi tiedostoihin helposti käsiksi, täysin riippumatta siitä, kuinka vahvan salasanan olet asettanut koneellesi. Jos säilytät koneellasi arkaluontoisia tietoja ja haluat varmistua siitä, että kukaan ei pääse tietoihisi käsiksi, tässä tapauksessa ota käyttöön kotikansion salaus ja aseta käyttäjätilillesi vahva salasana.
Toinen tapaus, jossa oman käyttäjän salasana kannattaa valita huolella on, mikäli kotitaloudessasi on useampia ihmisiä, etkä missään tapauksessa halua, että esim. lapsesi pääsevät penkomaan tietojasi. Myös jos otat käyttöön etäyhteyden sallivia sovelluksia, kannattaa salasana valita huolella, muussa tapuksessa ”mikkihiiri” on aivan yhtä hyvä kuin ”akuankka”.
Toivottavasti nämä tietoturvalle haitalliset myytit saataisiin putsattua netistä ja asiantuntijat astuisivat esiin kertomaan, miten oikeasti valitaan turvallinen salasana. Pysykää turvassa!
Tärkein asia lopuksi – korostan kuinka tärkeää on ottaa käyttöön kaksivaiheinen tunnistus. Tällöin hakkeri ei pääse mihinkään ilman fyysistä pääsyä puhelimeesi. Joten, kaksivaiheinen tunnistus käyttöön!