Älä valitse väärää salasanaa

Viikonloppuna kohuttiin taas nettihyökkäyksistä. Sdp:n puheenjohtajan Jutta Urpilaisen sekä puolueen eduskuntaryhmän puheenjohtajan Eero Heinäluoman verkkosivut sotkettiin asiattomuuksilla.

Mielenkiintoiseksi tapauksen tekee se, että hyökkääjien työtä helpotti ilmeisesti ainakin Urpilaisen tapauksessa heikko salasana.

Verkon keskustelupalstoilla liikkuneiden viestien ja kuvakaappausten mukaan hyökkääjät pääsivät hallinnoimaan Urpilaisen sivuja syöttämällä ylläpitotyökaluun lyhyen suomalaisen nimen, joka toimi sekä ylläpitäjän käyttäjätunnuksena että salasanana. 

Sivut suunnitelleen viestintätoimisto St. Hurmoksen toimitusjohtaja Johannes Kuutsa ei halua kommentoida tarkemmin hyökkäystä, koska sen yksityiskohtien selvittely on vielä kesken.

– Olemme suunnitelleet sivut kolme vuotta sitten. Sen jälkeen sivusto on luovutettu asiakkaalle, joka on toiminut ylläpitäjänä, Kuutsa kertoo.

Vaikka heikko salasana olisikin helpottanut puoluejohtajan sivuille tunkeutumista, Urpilainen ei olisi ongelmansa kanssa yksin.

Leikiten arvattavat salasanat, kuten 123456 tai oma etunimi, ovat vaiva, johon ei tunnu löytyvän lääkettä. Ei vaikka, helppojen salasanojen kiroista on kirjoitettu maailman sivu.

Marraskuussa ohjelmistoyhtiö CA arvioi, että useat suomalaiset suuryhtiöt noudattavat huonoja käytäntöjä ylläpitäjäkäyttäjien salasanojen hallinnassaan.

Laiska käyttäjä
kaipaa piiskaa

Tietoturvayhtiö Nixun vanhempi tietoturva-asiantuntija Pekka Sillanpää tuntee heikkojen salasanojen ongelman.

Hänelle heikot salasanat eivät ole kuitenkaan yllätys. Sillanpään mukaan tietokoneen käyttäjä menee aina siitä, mistä aita on matalin.

Jos järjestelmä ei ohjaa käyttäjää valitsemaan monimutkaisempaa ja sitä myötä vaikeammin murrettavaa salasanaa, tämä valitsee todennäköisesti vaivattomamman salasanan.

– Järjestelmä ei saisi päästää läpi helppoja salasanoja, Sillanpää sanoo.

Tietoturvallisen järjestelmän tulisi muun muassa asettaa minimi- ja maksimirajat käyttäjän salasanalle.

Tämän lisäksi järjestelmän tulisi vaatia erilaisten merkkien, kuten isojen ja pienten kirjaimien, numeroiden ja erikoismerkkien käyttöä. Salasanaksi ei myöskään koskaan saisi hyväksyä käyttäjätunnusta. Salasanojen tulisi vanhentua automaattisesti, eikä saman salasanan kierrätystä tulisi sallia.

Sillanpään mukaan tietoturvallisen järjestelmän luoja joutuu tasapainottelemaan helppokäyttöisyyden kanssa. Jos järjestelmä on liian monimutkainen, käyttäjät hermostuvat.

Muistaminen
vaikeaa

Oman mausteensa salasanasoppaan tuo salasanojen lukumäärä. Tavallisella kansalaisella on nykyään aimo tukku salasanoja, jotka käyvät eri palveluihin.

Sillanpää kehottaa miettimään esimerkiksi verkkopalveluiden kohdalla, kuinka paljon niihin luottaa. Tuikituntemattomalle sivustolle rekisteröidyttäessä kannattaa käyttää mieluummin jotain muuta kuin oman työkoneen salasanaa.

Salasanojen muistamiseksi on kehitetty järjestelmiä ja muistisääntöjä. Salasana voi perustua esimerkiksi lempirunossa esiintyvien sanojen ensimmäisiin kirjaimiin. Yleispätevää neuvoa on vaikea antaa.

 – Kaikki, mikä helpottaa muistamista, auttaa, Sillanpää sanoo.

Tärkeää kuitenkin on, että salasana näyttää satunnaiselta, eikä löydy suoraan sanakirjasta.

Viime vuoden lopussa tietoturvayhtiö F-Secure antoi oman vinkkinsä salasanojen muodostamiseen.

F-Secure suositteli käyttämään kahdesta osasta muodostuvia salasanoja. Yhtiön mallissa jokainen salasana sisältää ulkoa muistettavan pätkän.

Tämän lisäksi jokaisen järjestelmän salasanaan lisätään muutama siihen liittyvä satunnainen merkki. Koska salasanan tärkein osuus on omassa mielessä, satunnaiset merkit voi kirjoittaa muistiin esimerkiksi erilliselle paperille, yhtiö opasti.