Salasana: määritelmä, tyypit ja turvallisuus
Salasana on tunnistautumistapa, jonka avulla järjestelmä tai palvelu voi varmistaa käyttäjän henkilöllisyyden. Salasanaa tulee käsitellä luottamuksellisesti, koska se antaa pääsyn käyttäjän tietoihin ja oikeuksiin; pidä se siis aina salassa. Salasanat voidaan karkeasti jakaa kahteen tyyppiin: staattisiin ja dynaamisiin. Staattinen salasana pysyy samana, ellei käyttäjä itse muuta sitä. Dynaaminen salasana puolestaan muuttuu säännöllisesti tai luodaan kertakäyttöisesti; yksi dynaamisen salasanan muoto on kertakäyttösalasana, jota voidaan käyttää vain kerran ja joka parantaa turvallisuutta esimerkiksi etäyhteyksissä.
Historia ja käyttötarkoitus
Salasanojen varhaisin tunnettu käyttö liittyy sodankäyntiin: ensimmäisiä salasanoja käytettiin mm. armeijassa, jolloin niiden avulla voitiin pimeässä erottaa ystävä ja vihollinen. Nykyään salasanoja käytetään laajasti digitaalisessa tunnistautumisessa, verkkopalveluissa, laitteiden hallinnassa ja salaustekniikoissa.
Millainen salasana on turvallinen?
Nykyisissä verkkopalveluissa salasanat koostuvat tavallisesti erilaisista merkeistä: pienistä ja isoista kirjaimista, numeroista ja erikoismerkeistä. Turvallisuutta parantaa erityisesti pituus: pidempi salasana tai passphrase (useasta sanasta muodostuva lause) on yleensä vaikeampi murtaa kuin lyhyt ja monimutkainen yksittäissana. Monet sivustot asettavat minimipituuden, usein kuudesta kahdeksaan merkkiin, mutta turvallisempi suositus on vähintään 12 merkkiä tai mieluummin 16+ merkkiä arkikäyttötilanteissa.
Joillakin verkkosivustoilla sallitaan vain kirjaimet ja numerot, kun taas toiset suosivat erikoismerkkien käyttöä ja kehotukset yhdistelmään, jotta salasana olisi vahvempi (kirjainten ja numeroiden yhdistelmä). Käyttäjän kannalta hyvä käytäntö on käyttää eri salasanaa eri palveluissa ja vaihtaa salasana välittömästi, jos on syytä epäillä tietomurron tapahtuneen. Aiempia suosituksia, joissa kehotettiin pakolliseen säännölliseen vaihtoon (esim. kerran vuodessa), on nykyään arvioitu uudelleen: jatkuva pakollinen vaihto voi johtaa heikoimpiin salasanoihin, ellei vaihdolle ole syytä tai kompromissia ei ole havaittu.
Hyviä käytäntöjä salasanojen luomiseen
- Käytä pitkää passphrasea (esim. lause, jonka osia vaihdellaan): se on helpompi muistaa ja vaikeampi murtaa.
- Vältä henkilökohtaisia tietoja (sukunimi, syntymäpäivä) ja yleisiä sanoja, jotka löytyvät sanakirjoista.
- Käytä eri salasanaa eri palveluihin — näin yhden palvelun kompromissi ei vaaranna muita tilejä.
- Hyödynnä luotettavaa salasanojenhallintatyökalua (password manager) turvalliseen säilytykseen ja automaattiseen täyttöön.
- Ota käyttöön monivaiheinen tunnistautuminen (MFA) aina kun mahdollista: se yhdistää salasanan esimerkiksi kertakäyttökoodiin, mobiilisovellukseen tai biometriaan.
Salasanan syöttäminen ja näkyvyys
Kun salasanaa kirjoitetaan kirjautumislomakkeeseen, merkit piilotetaan yleensä näyttämällä ne esimerkiksi tähdellä (*) tai pallolla (•), jotta vieressä oleva henkilö ei näe sitä heti. Tämä on pintatason suojaus, mutta ei korvaa muita turvatoimia kuten suojattua yhteyttä (HTTPS) tai vahvaa palvelinpuolen tallennustapaa.
Todentamisen vaihtoehdot
Pelkkien salasanojen sijaan käytetään yhä enemmän myös muita todennusmenetelmiä, kuten sormenjälkilukijoita ja kasvojen tunnistamista sekä laitteisiin sidottuja varmenteita. Monivaiheinen tunnistus (esim. salasana + OTP tai biometria) tarjoaa huomattavasti paremman suojan kuin pelkkä salasana.
Salaus, hashit ja salasanojen tallentaminen
Salaus on tiedon kääntämistä siten, että lukemiseen tarvitaan avain. . Salatun merkkijonon lukeminen edellyttää yleensä oikean salausavaimen antamista. Salasanat eivät yleensä kuulu palvelimella säilytettäviksi selkokielisinä; parhaat käytännöt suosittelevat yhden suunnan hash-funktioiden käyttöä (ei palautettavia), jotta salasanaa ei voida suoraan lukea edes tietomurron sattuessa.
Hashaus on yksisuuntainen operaatio: järjestelmä tallentaa esimerkiksi salasanan hajautusarvon ja kun käyttäjä kirjautuu, palvelin laskee annetun salasanan hajautusarvon ja vertaa sitä tallennettuun arvoon. Turvallisempia ovat ns. avainjalostusfunktiot (kuten PBKDF2, bcrypt, scrypt, Argon2), jotka käyttävät suolaa (salt) ja iterointeja hidastamaan hyökkäyksiä. Lisäksi voidaan käyttää ”pepperiä” (palvelinpuolella säilytettävä lisäarvo) suojaksi.
Yleisimpiä hyökkäystapoja salasanoja vastaan
- Brute-force- eli murtohyökkäykset: kaikkien mahdollisten salasanojen kokeilu. Pitkät salasanat ja kirjautumisrajoitukset (rate limiting, lockout) hidastavat näitä hyökkäyksiä.
- Sanakirjahyökkäykset: yleisten sanojen ja lauseiden kokeilu. Passphraset ja epätavalliset merkkijonot auttavat.
- Phishing: käyttäjän huijaaminen antamaan salasana väärennetylle sivulle. MFA ja koulutus vähentävät riskiä.
- Credential stuffing: varastettujen salasanojen automaattinen testaus eri palveluissa. Erilaisten salasanojen käyttö eri palveluissa estää laajamittaisen leviämisen.
Käytännön vinkit käyttäjille ja ylläpitäjille
- Käyttäjälle: käytä salasanojenhallintaohjelmaa, ota MFA käyttöön, mobilisoi passphraset ja tarkista salasanojen mahdollinen kompromissi esimerkiksi palvelun tarjoamien ominaisuuksien avulla.
- Palveluntarjoajalle: älä tallenna salasanoja selkokielisinä, käytä suolattuja ja asianmukaisesti hidastettuja hajautusmenetelmiä (bcrypt/Argon2), tarjota MFA ja valvo kirjautumiskäyttäytymistä (anomalioiden havaitseminen) sekä suojatun yhteyden (HTTPS) käyttö.
- Salasanan vaihtaminen: vaihda salasana heti, jos epäilet tietomurtoa; pakkovaihto vain säännöllisesti ilman syytä voi alentaa turvallisuutta — arvioi vaatimukset ja käyttäjäkokemus.
Hyvä muistutus: vahva salasana on vain osa kokonaisuutta. Yhdistämällä pitkä, uniikki salasana, turvallinen tallennus, monivaiheinen tunnistautuminen ja käyttäjäkoulutus voidaan saavuttaa huomattavasti parempi suoja kuin yksinään käytettynä.
Aiheeseen liittyvät sivut
- Salaus - Salaus
- FreeOTFE - Levyn salaus
- Pretty Good Privacy (PGP) - Sähköpostin salaus
- PuTTY - SSH-salaus
Resurssit
- https://useful.tools/password-generator ilmainen työkalu vahvojen ja turvallisten salasanojen luomiseen.
- https://www.theguardian.com/money/2016/may/21/how-create-perfect-password-hackers-online-accounts-safe "Kuinka luoda täydellinen salasana"
Kysymyksiä ja vastauksia
Q: Mikä on salasana?
V: Salasana on tunnistautumistapa, jonka avulla henkilö voidaan tunnistaa.
K: Miksi on tärkeää pitää salasanat salassa?
V: On tärkeää pitää salasanat salassa, koska ne ovat ainoa tapa tunnistaa henkilö.
K: Mitä tarkoittaa, että salasana on staattinen?
V: Staattinen salasana tarkoittaa, että se pysyy samana, ellei käyttäjä muuta sitä, tai että se muuttuu harvoin.
K: Mitä tarkoittaa, että salasana on dynaaminen?
V: Dynaaminen salasana tarkoittaa, että se muuttuu säännöllisesti eikä pysy samana.
K: Millaista dynaamista salasanaa voi käyttää vain kerran?
V: Kertakäyttöinen salasana on esimerkki dynaamisesta salasanasta, jota voidaan käyttää vain kerran.
