Lue uutinen mobiilisivustolla

Pidä huolta salasanoistasi

25.11.2003 09:12 Ihmisten sähköinen tunnistaminen on haasteellista hommaa. Kasvottomia tietokoneen käyttäjiä on vaikeaa erottaa toisistaan verkossa, varsinkin kun osa ihan väkisin haluaa esiintyä jonakuna muuna kuin omana itsenään. Perinteinen salasana pitää yhä pintansa, mutta sen käytössä on oltava tarkkana.

Salasanan ja käyttäjätunnuksen yhdistelmä on edelleen tavallisin tapa tunnistaa henkilö sähköisessä ympäristössä. Tunnistaminen taas on yksi tietoturvan peruspilareista. Salasana myös antaa pääsyn sellaiseen palveluun tai järjestelmään, jonka käyttö ei ole kaikille sallittua.

Aivan ongelmatonta salasanojen käyttäminen ei ole; varsinkin heikkojen, helposti arvattavien merkkisarjojen käyttö on iso tietoturvariski. Erityisen mittavan ongelmasta tekee se, että salasanoja käyttävät melkein kaikki, että iso osa niistä on itse asiassa täysin riittämättömiä ja että niitä jaellaan leväperäisesti täysin ulkopuolisille ihmisille.

Ohjelmalla tai arvaamalla

Salasana toimii luotettavasti vain, jos sitä käytetään oikein. Salasanoihin perustuvan tunnistamisen suurimpia ongelmia onkin sen riippuvuus käyttäjästä ja hänen kyvyistään. Ongelmia aiheuttavat paitsi heikot salasanat ja niiden leväperäinen hallinta, myös erilaiset ohjelmat, joilla ulkopuoliset pyrkivät saamaan salasanoja haltuunsa.

Toisinaan järjestelmän ylläpitohenkilöstö ei ole huolehtinut siitä, että salasanojen luomisessa noudatettaisiin tiukkaa politiikkaa. Pahimmassa tapauksessa ulkopuolinen pääsee kirjautumaan järjestelmään hyvin helposti.

Snifferiohjelmat ”haistelevat” tietoliikennettä ja etsivät siitä salakuuntelemalla käyttäjätunnuksia ja salasanoja. Urkkija voi esimerkiksi seurata langattomassa verkossa suojaamattomana sisäänkirjautuvaa tietokoneen käyttäjää ja poimia tunnukset omaa käyttöään varten.

Joillakin ohjelmilla taas salasanoja arvataan. Tällaiset ohjelmat käyvät järjestelmällisesti läpi yleisimmin käytettyjä salasanatyyppejä ja kokeilevat eri merkkiyhdistelmiä, kunnes löytävät sellaisen, jolla päästään sisään kohdejärjestelmään. Murto-ohjelma voi sisältää useita erikielisiä sanakirjoja, joiden sanoja se kokeilee kirjautumiskenttään yksi toisensa jälkeen.

Hämmästyttävän usein järjestelmät ovat tuotteiden myyjien tekemien perusasetusten varassa. Isoissa yrityksissä asennuksia joudutaan tekemään paljon ja nopeassa tahdissa, ja toisinaan virheitä ja laiminlyöntejä sattuu. Niinpä murtomiehet etsivät järjestään ensin sellaisia tunnuksia ja sellaisia salasanoja, joita ohjelmissa on tehdasasetusten jäljiltä vakiona, kuten admin ja 1234.

Eroon helpoista salasanoista

Jotta salasana täyttäisi tehtävänsä, sen on oltava monimutkainen. Käytännössä tämä tarkoittaa sitä, että käytettävän merkkiyhdistelmän pitäisi olla riittävän pitkä ja sen tulisi sisältää isoja ja pieniä kirjaimia sekä numeroita sekaisin. Mitään oikeita sanoja ei saa käyttää sellaisenaan, sillä ne on varsin helppo arvata – jopa ilman mainitunkaltaista ohjelmaa.

Jos sanoihin lisää kirjoitusvirheitä ja isoja kirjaimia, muuttaa kirjainten järjestystä ja ymppää väliin vielä numeroita, tulee salasanasta heti huomattavasti vaikeammin arvattava. Mielikuvitusta on syytä käyttää, sillä ohjelmalla varustettu tunkeutuja etsii nopeasti valtavia määriä salasanavaihtoehtoja.

Muutenkin arvattavuutta on kaikin tavoin pyrittävä vähentämään, esimerkiksi välttämällä syntymäajan, auton rekisteritunnuksen tai mallinumeron ja lasten nimipäivien kaltaisia ilmiselviä numeroyhdistelmiä tai vaikkapa työhön ja harrastuksiin liittyviä asioita. Ihmisten, lemmikkien tai esimerkiksi paikkojen nimiä ei myöskään ikinä kannata käyttää salasanoissa.

Tee muistisääntö

Salasanan käytössä kannattaa olla tarkkana. Tarkoitus on tietysti, etteivät ulkopuoliset saa salasanaa tietoonsa, joten se on pidettävä aina omana tietona. Ystäville tai perheenjäsenillekään salasanaa ei pidä antaa, sillä mitä useampi ihminen sen tuntee, sitä enemmän mahdollisuuksia on, että se joutuu vääriin käsiin vaikka vahingossa.

Kun salasanaa kirjoittaa, kannattaa varmistua siitä, ettei kukaan pääse vilkaisemaan olan yli, mitä kirjaimia ja numeroita kirjoittaja koneelleen naputtaa. Salasanaa ei pidä kirjoittaa lapulle tai mihinkään muuallekaan, mistä joku voi saada sen käsiinsä, vaan se on painettava mieleen.

Vaikka salasanan pitää olla vaikeasti arvattavissa, käyttäjän on pystyttävä muistamaan se. Tilannetta mutkistaa se, että salasana pitäisi vielä vaihtaa säännöllisesti ja riittävän usein. Kaikki salasanat ovat haavoittuvia, ja monimutkaisimmatkin niistä saadaan ohjelmallisesti lopulta murretuksi. Kysymys onkin usein vain siitä, että tehokkaallakin tietokoneella varustetulta murtomieheltä menee murtamiseen niin paljon aikaa, että salasanaa on jo ehditty vaihtaa ennen kuin hän onnistuu.

Salasanan muistamiseen voi ja kannattaakin kehittää muistisääntöjä, jotka auttavat palauttamaan unohtuneen merkkijonon mieleen. Yksi tapa helpottaa muistamista on koota salasana jonkin lauseen sanojen alkukirjaimista. Lause ja käytettävä muistisääntö voi olla mikä hyvänsä, kunhan sen vain pystyy muistamaan helposti. Muistisäännön voi ulottaa koskemaan myös säännöllisesti vaihdettavia salasanoja esimerkiksi niin, että tietty, hajalleen merkkijonoon upotettu osa muuttuu johdonmukaisesti vaikkapa päivämäärän mukaan.

Noudatetaanko ohjeita?

Yritysten on syytä paitsi tehdä selkeät ohjeet salasanojen luomisesta, käytöstä ja uusimisesta, myös valvoa hyvin tarkasti, että näitä ohjeita todella noudatetaan. Käyttäjille on annettava selkeät ohjeet salasanojen muodostamisesta ja tehtävä selväksi, että turvallinen salasanakäytäntö on niitä käyttävän yrityksen elinehto.

Omien salasanojen muodostaminen voidaan tietysti estää pakottamalla henkilöstö käyttämään annettuja salasanoja, mutta silloin käyttäjät helposti turhautuvat vaikeiden merkkiyhdistelmien käyttöön ja kirjoittelevat niitä muistiin, asiaankuulumattomien löydettäväksi.

Huonojen salasanojen aiheuttama riski on niinikään merkittävä. Loppukäyttäjät eivät useinkaan miellä ongelmaa niin isoksi, että viitsisivät valita vaikeammin arvattavia merkkijonoja. Vielä harvempi jaksaa vaihtaa salasanansa usein, juuri siinä vaiheessa, kun sen on viimeinkin saanut opetelluksi.

Erityisesti yrityksien tarpeisiin myydään myös erilaisia salasanasuodattimia, ohjelmia, jotka valvovat sitä, että käyttäjät noudattavat salasanojen muodostamisesta annettuja ohjeita. Ohjelma käy läpi jokaisen uuden salasanaehdotuksen ja hylkää sen, jos se ei ole yhtiön tietoturvapolitiikan mukainen.

Varo huijaria

Viime aikoina julkisuudessa olleet social engineering -keinot ovat helppo tapa huijata yrityksen henkilöstöltä salasanoja ja tunnuksia, joiden avulla tunkeilija pääsee käsiksi haluamaansa informaatioon. Klassinen huijaus on esiintyä yrityksen atk-vastaavana, joka muka tarvitsee käyttäjän tunnuksia ja salasanaa, koska ne ovat esimerkiksi kadonneet järjestelmästä jonkin vian vuoksi.

On hyvä muistaa, ettei ole mitään syytä, miksi oma salasana pitäisi antaa kenellekään. Esimerkiksi yrityksen atk-tukihenkilön tai järjestelmän ylläpidon ei tarvitse kysellä käyttäjien salasanoja puhelimitse tai sähköpostin välityksellä. Jos jostakin syystä tällainen tarve syntyisi, on tehtävä etukäteen selväksi se, kenelle tunnuksen voi antaa ja kuinka voidaan varmistua hänen henkilöllisyydestään ja siitä, että hän on oikealla asialla.

Samoja salasanoja ei saa käyttää eri palveluihin, sillä jos yksi salasana joutuu vääriin käsiin, samalla joutuvat kaikki muutkin. Tämän jälkeen urkkija voi paitsi aiheuttaa selvää rahallista vahinkoa tyhjentämällä uhrinsa pankkitilin, tuottaa kaikenlaista muutakin harmia, kuten lähetellä tämän nimissä sähköpostiviestejä. Jos yrityksen työntekijä lukee kotisähköpostinsa samoilla tunnuksilla kuin hän kirjautuu yrityksensä järjestelmään, hän kasvattaa samalla yrityksen riskiä joutua sähköisen tunkeilijan uhriksi.

Salasana on viimeinen ovi

Ihan kaikkeen salasanoihin perustuva tunnistaminen ei riitä tai muuten sovellu, ja siksi entistä tehokkaampia ja varmempia tapoja käyttäjän tunnistamiseen on kehitetty ja kehitetään jatkuvasti. Biometriset menetelmät ja HST-kortti ovat esimerkkejä toisenlaisista sähköisistä tunnistustavoista.

Monessa suhteessa oikein käytetty salasana kuitenkin täyttää yhä riittävän turvallisuuden vaatimuksen. Lisäksi salasanojen suosiota tukee helppo ja edullinen käyttöönotto. Siksi salasana on yhä yleisin tapa esimerkiksi kirjautua verkkopankkiin tai lukemaan sähköpostia.

Vaikka tietoturva olisi muuten rakennettu kuinka tiukaksi tahansa, yksi ainoa vuotanut salasana riittää tekemään kaikesta järjestelmän suojaamisesta turhaa. Salasana voi tehdä yrityksestä haavoittuvan, sillä se on tavallaan viimeinen suljettu ovi ulkomaailman ja sisäisen verkon välillä. Tällaisia ovia yrityksen järjestelmään on täsmälleen yhtä monta kuin työntekijöitäkin.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa