Monen yrityksen politiikassa on vielä, että salasanat pitää vaihtaa säännöllisen tiheästi. Tämä tietoturvasääntö aiheuttaa ehkä eniten turhautumispäästöjä ja on vieläpä melko turhaa.

Kolme kuukautta on melko normaali vaihtoväli, mutta tietoturvaharhassa jotkut saattavat vaatia salasanan vaihtoa kuukauden välein. Tietoturvan parantamisen sijaan tämä aiheuttaa ennemminkin käyttäjien vaihtuvuutta. Microsoft ja NIST ovat molemmat jo todenneet, ettei tiheä salasanojen vaihtaminen paranna yritysten tietoturvaa. Vaihtamisen sijaan on olemassa paljon parempiakin tapoja suojata salasanoja.

Toinen sitkeästi istuva uskomus on, että salasanan tulisi olla mahdollisimman monimutkainen ollakseen turvallinen – väärin! Tämä uskomus tekee niistä myös äärimmäisen hankalasti muistettavia, joka taas näkyy tietoturvan paranemisen sijaan käyttäjien verenpaineessa. Miksi yksinkertaisempikin salasana riittää? Koska matematiikka. Salasana “Rki&€ja1” on sinällään hyvä salasana sääntöjen mukaan, mutta aika hankala muistaa. Se ei kuitenkaan juuri eroa salasanan “tokjasik” tietoturvasta. Viimeisimmän murtamiseen menee tietokoneelta ehkä tunteja – ensimmäisen ehkä päiviä. Onko sillä väliä? No ei. Koneellisesti järkevässä ajassamurtumattoman ja helposti muistettavan salasanan saa aikaan esimerkiksi näin: “Maamamemaostaaan123” (MAAnantaina MAmma MEni MAnsikoita OSTAmAAN). Tällainen tapa hankaloittaa salasanan murtamista mutta helpottaa muistamista.  Pidempi on aina parempi.

On tiettyjä asioita, joita salasanoissa tulisi ehdottomasti välttää. Jos salasana halutaan murtaa, on listassa merkki kerrallaan arvaamisen lisäksi muutama muukin tapa. Ensimmäinen on kokeilla kaikkia yleisimpiä salasanoja. Jopa 91% kaikista sanasanoista löytyy linkin listalta, ja nämä ovat koneelle todella nopea käydä läpi. Samoin sanakirjojen sanat on nopeasti käyty läpi. Netissä on myös murretuista salasanoista listoja, joilta löytyykin melkein kaikki loput käytössä olevat salasanat.

Miten järjestelmiin murtaudutaan?

Mennäänkö järjestelmiin sitten sisälle salasanoja arvaamalla? Ei se ainakaan helppoa ole. Hyvin monessa järjestelmässä on (pitäisi olla) rakennettuna järjestelmä, joka lukitsee tunnuksen vaikka kymmenen arvauksen jälkeen. Pelkkä arvailu ei siis tuo onnea. Puhumattakaan siitä, että joku ihminen yrittäisi arvata toisen salasanan. Jos salasana ei ole 123456 tai Etunimi1234, se alkaa olla aika tekemätön paikka.

Miten salasanoja sitten murretaan? Tai oikeammin, miten järjestelmiin sitten murtaudutaan salasanoja käyttämällä? En mene tässä nyt haavoittuvuuksiin tai aukkojen hyödyntämiseen, vaan pidättäydyn salasanoissa tämän kirjoituksen osalta. Tässä on ehkä kaksi yleisintä tapaa:

  • Käytetään muualta saatua salasanaa. Suurin osa sivustoista tallentaa salasanan hyvin suojattuna, mutta eivät kaikki. Usein näistä ovat kotoisin myös listat käytetyistä salasanoista. Usein nämä vielä liitetään käyttäjätunnukseen, joka taas on usein sähköpostiosoite. Tiedossa olevia käyttäjätunnus + salasanapareja on helppo kokeilla eri järjestelmiin.
  • Kalastelu. Käyttäjiltä on melko helppoa viedä tunnukset huijaamalla. Tutkimukset ovat osoittaneet, että puolet käyttäjistä klikkaavat linkkiä, vaikka ovat tietoisia mahdollisesta riskistä. Sama tutkimus myös toteaa, että lähes kuka tahansa saadaan klikkaamaan linkkiä, jos käytetään tarpeeksi vaivaa. Tämä metodi on demottuna meidän webinaarissammekin.
  • (Haavoittuvuudet, mutta lupasin olla menemättä tähän)

Miten sitten suojautua? Mitä voi tehdä ilman, että käyttäjät lopettavat tietokoneiden käytön ja työntävät mieluummin kynän silmäänsä kuin yrittävät muistaa liian hankalia salasanoja liian usein?

  • Käytetään pitkiä, mutta helposti muistettavia salasanoja. Niitä ei tarvitse vaihtaa kerran kuussa – kerran vuodessa tai tarvittaessa riittää.
  • Ei käytetä samoja salasanoja missään. Ei siis missään. Joko kehitetään hyvä muistisääntö lisäämällä sivuston/järjestelmän nimestä vaikka pari merkkiä alkuun ja loppuun tai käytetään salasanojen hallintasovellusta, kuten esimerkiksi LastPassia tai yrityskäytössä SecretServeriä.
  • Monivaiheinen tunnistautuminen. Tämä on ehdottomasti oltava päällä kaikissa kriittisimmissä järjestelmissä. Monivaiheinen tunnistautuminen hankaloittaa todella paljon salasanojen hyväksikäyttöä. Hyvä salasana ei hyödytä, jos itse antaa salasanansa huijarille.
  • Isommassa kuvassa tunnushallinta. Mihinkään järjestelmään ei pitäisi olla ryhmätunnuksia, vaan aina henkilökohtaisia tunnuksia. Näin voidaan myös jäljittää, kuka on tehnyt mitäkin. Tällöin poistuva henkilö ei vie myöskään mennessään salasanaa. On kuitenkin syytä muistaa lakkauttaa poistuvan henkilön tunnukset!
  • Salasananhallintasovelluksi ihan hyviä ratkaisuita ovat esimerkiksi Lastpass/Keepass yksityiseen käyttöön ja SecretServer yrityskäyttöön. Maksulliset tarjoavat enemmän ominaisuuksia ja ennen kaikkea käyttäjähallintaa, mutta hyvä olisi käyttää edes jotain. Salasanoja voi myös hallita ensimerkiksi OneDrivessa tai Google Drivessa.
  • Kun käytössä on oikeanlainen salasanapolitiikka, kukaan ei kirjoita salasanoja post it -lapulle!
Vastauksena otsikon kysymykseen, millainen on hyvä salasana:
  1. Pidempi on parempi
  2. Helposti muistettava
  3. Joka paikassa on eri salasana

Yksi yritysten yleisimpiä turhautumispäästöjä on salasanapolitiikka. Tavoitteenamme on puolittaa tarpeettomat turhautumispäästöt vuoteen 2025 mennessä ja näin vähentää työn keskeytymistä. Olemme keränneet Top 5 tyypillisintä syytä, miksi työ keskeytyy ja ratkaisut niihin. Osallistus webinaariimme ”Tuntuuko IT siltä, että umpisuoli olisi puhkeamassa” 2.6. klo 9.30 ja viisastu kanssamme! Ilmoittaudu mukaan!

Tuomas Karhula

Kaipaatko lisätietoa aiheesta? Ota yhteyttä!