Valitse parempia salasanoja
Lauri Suoranta
Valitse parempia salasanoja
Salasanat tuottavat päänvaivaa kaikille tietokoneiden käyttäjille. Hyvän salasanan perusvaatimuksista ei sovi lipsua, mutta ylitiukat turvavaatimukset eivät aina tuota toivottua lopputulosta.
Salasanasi on koostuttava ainakin paristakymmenestä satunnaisesta merkistä. Vaihda se kuukausittain äläkä käytä samaa salasanaa muualla.”
Edellinen neuvo olisi turvallisuuden kannalta hyvä, jos sitä noudatettaisiin. Valitettavasti useimmat eivät halua opetella vuosittain kymmeniä pitkiä salasanoja. Lopputuloksena käyttäjät eivät tiedä, miten toimia, ja salasanoja häviää tai joutuu vääriin käsiin.
Salasanojen muistamiseksi on erilaisia teknisiä apuvälineitä. Huonoin on muistikirja, joka suorastaan huutaa tietovarkaita luokseen. Salasanat kryptattuun säilöön tallentavat ohjelmistot ovat turvallisia, mutta eivät kulje käyttäjän mukana. Kännykästäkin salasanojen poimiminen on riskialtista ja vaivalloista.
Paras keino pitää salasanat ojennuksessa on rikkoa sääntöjä harkiten. Salasanakäytännöt eivät koskaan ole täydellisiä, eikä täydellisyys ole tarpeen. Riittää, että hyökkääjän näkemä vaiva ja kiinnijäämisen riski ylittävät selvästi hyödyn, jonka hän saa onnistuneesta hyökkäyksestä.
Tiettyjä kompromisseja voi tehdä ilman, että turvallisuudesta tarvitsee tinkiä kohtuuttomasti. Seuraavien ohjeiden noudattaminen vaatii hieman järjestelmällisyyttä, mutta vaivannäkö palkitaan nopeasti.
Pidempi on parempi
Salasanan on valitettavasti oltava pitkä. Lyhyet salasanat ovat tietyissä olosuhteissa alttiita raa'alla laskentateholla toteutettaville brute force -hyökkäyksille. Jokainen lisämerkki lisää hyökkääjän työmäärää monikymmenkertaiseksi, toisinaan enemmänkin. Sopiva vähimmäispituus on kymmenen merkkiä.
Numeron ja ison kirjaimen lisääminen on erittäin toivottavaa. Tällöin hyökkääjän on etsittävä salasanaa paljon suuremmasta joukosta mahdollisuuksia. Erikoismerkkien käyttö ei ole aina suositeltavaa, koska kaikki järjestelmät eivät tue niitä.
Pitkäkään salasana ei saa olla selkokielinen sana, ei edes niiden yhdistelmä. Syy tähän ovat sanakirjahyökkäykset. Hyökkääjän ohjelma kirjaimellisesti käy läpi suuren kokoelman sanoja lyhyessä ajassa. Eräs hyvä muistiapu on muodostaa salasana lauseen ensimmäisistä kirjaimista. Lauseen ei tule muodostua lempikappaleen kertosäkeestä tai suosikkikirjailijan viimeisistä sanoista.
Uusiokäytä varoen
Käytännön syistä samaa salasanaa on pakko käyttää useammassa paikassa. Tällöin on tiedostettava, että eri kohteiden tapa käsitellä salasanoja vaihtelee. Olennaista on, ettei tärkeää salasanaa käytetä kohteessa, jonka turvallisuudesta ei ole varmuutta.
Esimerkiksi hyvin valittua käyttöjärjestelmän salasanaa on vaikea murtaa. Samaa salasanaa voi käyttää useammassa Windows- tai Linux-järjestelmässä. Myös tunnetut salausohjelmistot ovat tässä suhteessa turvallisia. Windowsin 2000-versiota vanhemmat käyttöjärjestelmät ovat vaarallisia, eikä niihin tule syöttää muualla käytettäviä salasanoja.
Web-palveluiden kohdalla tilanne on huomattavasti hankalampi. Kirjautumista vaativien sivustojen määrä on usein kymmeniä. Loppukäyttäjällä ei ole mahdollisuutta varmistua salasanojen asianmukaisesta käsittelystä ja palvelinten suojauksesta.
Pienen viitteen sivuston turvallisuuskulttuurista antavat sähköpostiviestit. Käyttäjän syöttämän salasanan sisältämä rekisteröintiviesti kielii huonoista käytännöistä. Salasanan nollauksen tulee tapahtua aina lähettämällä käyttäjälle uusi salasana vanhan sijaan. Kaikki salasanoja sisältävät sähköpostiviestit on ehdottomasti poistettava niiden saavuttua.
Erityisen ongelmallisiksi ovat osoittautuneet monet keskustelufoorumit. Niiden ohjelmistoista löydetään säännöllisesti haavoittuvuuksia. Pahimmillaan hyökkääjä saa haltuunsa kaikkien käyttäjien tiedot, myös salasanojen tiivisteet, jotka voivat olla heikosti suojattuja.
”Salaiset” kysymykset
Sähköpostipalvelut, kuten Gmail ja Hotmail, sallivat salasanan nollauksen, kun käyttäjä vastaa oikein ”salaiseen” kysymykseen. Kysymyksillä on taipumus olla melko triviaaleja, ja uhrin tunteva hyökkääjä voi helposti hankkia oikean vastauksen. Gmailissa tilannetta helpottavat rajoitukset nollaustoiminnon käytölle.
Turvamekanismeista huolimatta salaiset kysymykset ovat huomattava riski. Sähköpostitilin murtuminen voi laukaista hyökkäysten sarjan, koska muissa web-palveluissa salasanan voi yleensä nollata käyttäjälle lähetettävällä sähköpostiviestillä. Paras keino suojautua on yksinkertaisesti kirjoittaa salaisen kysymyksen vastaukseksi virke siansaksaa. Mikäli salaisen kysymyksen käyttö tuntuu välttämättömältä, vastauksen tulisi täyttää hyvän salasanan kriteerit kysymyksestä riippumatta.
Vaaralliset salasanasiepparit
Luultavasti suurin yksittäinen riskitekijä ovat keyloggerit eli salasanoja näppäimistöltä sieppaavat ohjelmistot. Erityisen alttiita niille ovat julkisiin paikkoihin, kuten kirjastoihin ja nettikahviloihin, sijoitetut koneet. Hyökkääjä tarvitsee vain muutaman minuutin asentaakseen ohjelmiston, minkä jälkeen se voi huomaamattomasti kerätä satoja salasanoja ja lähettää ne verkon yli.
Uhka on siinä määrin vakava, ettei salasanoja tulisi syöttää lainkaan julkisilla koneilla. Poikkeuksena ovat esimerkiksi yliopistojen yhteiskäytössä olevat koneet, joihin käyttäjä kirjautuu omilla tunnuksillaan. Näiden järjestelmien ylläpitäjillä on parempi kontrolli koneisiin, ja tyypillisesti käyttäjät on eristetty kyllin vahvasti toisistaan.
Omalla koneella tapauksessa keyloggereilta suojaudutaan, kuten muiltakin haittaohjelmilta. Yleinen varovaisuus ja hyvä virustorjuja riittävät.
On myös mahdollista, että web-palvelujen salasanoja tai tiivisteitä siepataan julkisen wlan-verkon yli. Tämä riski on olemassa käytettäessä kannettavaa vieraassa wlan-verkossa. Ongelmaa ei ole, jos kirjautumista vaativa sivusto käyttää ssl-salausta. Yleispätevä ratkaisu on käyttää umts-yhteyttä wlanin sijaan.
Säilytä huolellisesti
Salasanat voi olla tarpeen tallentaa muuallekin kuin käyttäjän muistiin. Salasanalistan ylläpitämisessä ei ole mitään tuomittavaa, kunhan se tehdään oikein. Hyvä vaihtoehto on esimerkiksi puhdas tekstitiedosto, joka on tallennettu salausohjelmiston luomalle virtuaaliasemalle. Aseman voi luoda vaikkapa ilmaisella Truecrypt-ohjelmistolla.
Salasanalistaa käsiteltäessä pitää olla tarkkana. Sitä ei pidä tallentaa esimerkiksi salattuun zip-pakkaukseen. Zip-tiedostojen käyttämä aes-algoritmi on turvallinen, mutta pakkausohjelmistot luovat tiedostoja käsiteltäessä tilapäisiä kopioita. Tämän seurauksena salasanoja jää selväkielisinä ajelehtimaan kiintolevylle. Samasta syystä salasanoja sisältäviä tiedostoja ei tule käsitellä Wordin kaltaisilla tekstinkäsittelyohjelmilla. Muistio riittää.
Listaan on hyvä merkitä salasanan kaikki käyttökohteet sekä käyttöönoton ajankohta. Näin salasana on helppo korvata nopeasti ja vanhatkin salasanat pysyvät tallessa, jos niitä yllättäen tarvitsisi.
Paperille laadittu lista käy periaatteessa myös, mutta sen ylläpitäminen on työläämpää. Salausohjelmiston vastine on tällöin kassakaappi ja vanhat listat täytyy hävittää tarkoin.
Salasanojen tallentamista web-selaimeen tai muihin ohjelmistoihin on ehdottomasti vältettävä. Firefox paljastaa kaikki tallennetut salasanat muutamalla napinpainalluksella, esimerkiksi käyttäjän poistuessa hetkeksi koneelta. Internet Explorer suojaa tallennetut salasanat paremmin, mutta oikeilla työkaluilla senkin turvamekanismit murtuvat.
Ylläpitäjän muistilista
• Älä vaadi käyttäjiä vaihtamaan salasanojaan kohtuuttoman usein.
• Anna käyttäjän valita salasanansa itse.
• Aseta salasanoille vähimmäispituus, esimerkiksi kymmenen merkkiä. Myös monimutkaisuuden tarkastamiseen on valmiita menetelmiä.
• Varmista, että salasanat tiivistetään turvallisella algoritmilla. Esimerkiksi sha-256 on sopiva.
• Tarjoa web-palvelustasi ssl-suojattu versio.
• Huolehdi unohtuneen salasanan nollausmenettelyn turvallisuudesta ja käyttömukavuudesta.
Salauksen aakkoset
Brute force
Hyökkäys kohdistuu etupäässä salasanojen tiivisteisiin. Suojautuminen käyttämällä pitkiä salasanoja ja varmistamalla ettei tärkeitä salasanoja ole huonosti tiivistetyssä muodossa.
Dictionary attack
Suojautuminen on helppoa: salasanojen ei tule olla selkokielisiä sanoja.
Phishing (kalastelu)
Hyökkäysten tekninen toteutus vaihtelee, joten yleispätevää suojautumiskeinoa ei ole. Riskiä voi pienentää tarkistamalla www-sivujen sertifikaatit sekä sivuuttamalla arveluttavat sähköpostiviestit.
Keylogger
Omalla tietokoneella virustorjuntaohjelmisto sekä ohjelmistojen hankkiminen vain turvallisista lähteistä. Salasanoja ei tule lainkaan syöttää tietokoneella, jonka turvallisuudesta ei voida varmistua.
Social engineering
Salasanoja ei saa kirjoittaa paperille, eikä antaa kenellekään missään olosuhteissa. Mikäli esimerkiksi tukihenkilön on toistuvasti kirjauduttava käyttäjän salasanalla, sen voi tilapäisesti vaihtaa yhteisesti sovituksi.
Tiivisteet suojaavat salasanoja
Mikään nykyaikainen tietojärjestelmä ei tallenna käyttäjätiliensä salasanoja sellaisenaan. Sen sijaan salasanasta tallennetaan tiivisteeksi eli hashiksi kutsuttu luku.
Hash-funktiot on suunniteltu yksisuuntaisiksi. Ihanteellinen hash-funktio tuottaa tiivisteen, josta on mahdoton päätellä datan alkuperäistä sisältöä. Näin tiivisteet haltuunsa saava hyökkääjä tai järjestelmän ylläpitäjäkään ei voi selvittää käyttäjän salasanaa. Käyttäjän syöttäessä salasanansa järjestelmä luo syötteestä tiivisteen ja vertaa sitä tietokantaan. Jos tiivisteet ovat samat, kirjautuminen hyväksytään.
Koska tiivisteet ovat lyhyitä, useilla salasanoilla on sama tiiviste. Siten kirjautuminen on periaatteessa mahdollista kourallisella salasanoja. Kahden saman tiivisteen omaavan merkkijonon löytymistä kutsutaan törmäykseksi hash-algoritmissa. Törmäyksiä tapahtuu kaikissa hash-algoritmeissa. Niistä ei yleensä aiheudu vaaraa, koska hyökkääjä ei ennakkoon voi valita törmäykselle altistuvaa tiivistettä.
