Onko sinullakin salasana, joka on muotoa ”9%&GR”? Yleinen harhakäsitys on, että salasanan pitäisi näyttää kryptiseltä, jotta se suojaisi.
Tämä on DNA:n turvallisuusjohtaja Seppo Pekosen mukaan kuitenkin vanhentunut käsitys, sillä uudet menetelmät pystyvät purkamaan lyhyitä salasanoja helposti, vaikka ne sisältäisivät erikoismerkkejä epämääräisessä järjestyksessä.
Pekonen toteaa, että tietoturvallisuuden riskit piilevät usein ihmisten mukavuudenhalussa.
– Lyhyet merkkijonot ovat luonnollisesti helpompia muistaa ja nopeampia kirjoittaa kuin pitkät. Lyhyt salasana on kuitenkin erittäin helppo murtaa nykyaikaisilla menetelmillä. Salasanan tulee olla ehdottomasti yli 12 merkkiä pitkä. Mitä pidempi, sen vaikeammin se on murrettavissa, hän kertoo tiedotteessa.
– Usein oletetaan hyvän salasanan kriteerien täyttyvän, kun se sisältää kirjainten lisäksi erikoismerkkejä ja numeroita. Tämä ei valitettavasti enää suojaa riittävästi, mikäli salasana ei ole riittävän pitkä.
– Enää ei kannattaisi edes puhua salasanoista, vaan pikemmin salasanalauseista tai -fraaseista. Salasanalause voi olla hyvinkin simppeli, esimerkiksi suomenkielinen ja henkilökohtaisesti helposti muistettava lause. Salalausetta voi rikastaa suomen kielen murresanoilla, taivutusmuodoilla, numeroilla sekä erikoismerkeillä, Pekonen selventää.
Tällainen kriteerit täyttävä salasanalause voisi olla esimerkiksi: ”Poikienkanssa23pv#Kalassa”. Toinen yleinen tietoturvallisuuden vaaranpaikka on käyttää samoja – tai edes samankaltaisia – salasanoja eri palveluissa.
– Tietomurtojen yhteydessä päätyy valitettavan usein käyttäjätunnusten lisäksi myös salasanoja verkkorikollisille huonosti suojatuista verkkopalveluista. Mikäli käytetään liian paljon toisiaan muistuttavia salasanoja, niiden logiikka voi paljastua hyökkääjälle useamman murron jälkeen hyvinkin helposti. Tekoäly on tehnyt tällaisesta selvitystyöstä rikollisille aiempaa vaivattomampaa. Siksi on tärkeää, että eri palveluissa on aina täysin erilainen salalause. Lisäksi on suositeltavaa harkita myös eri käyttäjätunnuksen käyttöä aina, kun se on mahdollista, Pekonen huomauttaa.
Salasanojen ja käyttäjätunnusten määrän kasvaessa niiden käyttöä ja muistamista helpottaa luotettavat hallintasovellukset, joiden käyttöönottoa kannattaa ehdottomasti harkita. Lisäksi monivaiheinen tunnistautuminen on hyvä aktivoida, mikäli käytettävä palvelu sellaista tukee.
Monivaiheisessa tunnistautumisessa käytetään salasanan lisäksi esimerkiksi Microsoftin ja Googlen Authenticator-sovelluksia tai tekstiviestivarmennusta.
Tietoturvallisuusasiat ovat juuri nyt hyvin ajankohtaisia, sillä verkkoasiointi lisääntyy digitalisaation vuoksi jatkuvasti ja tekoälyn yleistyminen on tuonut aivan uusia ulottuvuuksia niin palveluihin kuin nettihuijareillekin.
– Verkkorikollisuuden määrä on noussut aivan uudelle tasolle. Jo yhden salasanan avulla rikollinen voi saada käyttöönsä henkilön koko verkkoidentiteetin. Ja tässä puhutaan vasta niin sanotusta sosiaalisesta ulottuvuudesta. Lisäksi asiaan liittyy taloudellinen ulottuvuus, jos rikollinen pääsee käsiksi ympäristöihin, jonne on tallennettu maksutietoja.
– Valitettavasti erilaiset huijausyritykset salasanojen kalastelemiseksi ovat myös parantuneet generatiivisen tekoälyn myötä huimasti. Tavallinen ihminen joutuu olemaan verkossa toimiessaan entistäkin tarkempi, Pekonen muistuttaa.
