Maailman yleisin salasana on edelleen 123456, vaikka kymmenen yleisimmän salasanan listalle on hieman yllättäen noussut uusi sana senha. Portugalin kielellä se tarkoittaa salasanaa, mutta pienen Portugalin lisäksi kieltä puhutaan myös suuressa Brasiliassa. Itse arvelen, että yleisin salasana on kuitenkin oma tai perheenjäsenen syntymäaika. Niin tai näin, nyt on viimeistään aika mitata omien salasanojen vahvuus.
Digitaaliseen tietoturvaan erikoistunut verkkosivusto Security.org on rakentanut mainion mittarin, jolla jokainen verkkosurffaaja voi testata salasanojen riskitasoa.
Jos sait oman suosikkisalasanasi murtamisajaksi esimerkiksi kolme päivää, niin se tarkoittaa että normaalisti rikollinen ei niin kauan anna tietokoneensa puuhastella yhden salasanan kanssa. Eli toistaiseksi salasana toivottavasti on riittävän vahva, mutta miten vuoden kuluttua? Arviot perustuvat tietokoneiden laskentatehoon, joka edelleen kehittyy vauhdilla. Ensi vuonna salasana voi olla murrettavissa muutamassa minuutissa.
Yleensä tietomurtoja yrittävät rikolliset eivät henkilökohtaisesti tunne salasanan valinnutta ihmistä, jolloin syntymäajan sijaan he usein käyttävät salasanojen murtamiseen tehtyä sanoja ja merkkejä kokeilevaa ohjelmaa (puhutaan brute force -menetelmästä). Nämä ohjelmat yrittävät sanoilla ja kenties myös satunnaisilla merkkijonoilla arvata salasanan. Valitettavan usein se onnistuu, mutta mikäli salasanaa ei löydy, ohjelma luovuttaa jonkin ajan kuluttua ja siirtyy seuraavaan kohteeseen.
Tähän perustuvat kaikki arviot vahvoista ja heikoista salasanoista. Mitä vahvempi salasana on, sitä kauemmin murtamisohjelmalta menee sen löytämiseen.
Tästä syystä myös vahvan salasanan luominen on helppoa:
- Salasanan on oltavat riittävän pitkä: vähintään 12 merkkiä.
- Salasanan murtamista vaikeuttaa eniten isojen ja pienten kirjainten käyttö, toiseksi eniten erikoismerkkien käyttö ja kolmanneksi numeroiden käyttö kirjainten lisäksi.
Itse en laita skandinaavisia merkkejä salasanoihin sillä monet varsinkin englanninkielisistä maista alunperin tulevat ohjelmat ja palvelut säikähtävät meidän omituisia kirjaimiamme. Mitä vanhempi ohjelma tai palvelu on, joka salasanaa pyytää, sitä todenäköisemmin se ei tunne myöskään kaikkia erikoismerkkejä.
Alla oleva Hive Systems -yhtiön kokoama taulukko havainnollistaa hyvin salasanan pituuden ja sen merkkivalikoiman vaikutusta riskitasoon. Vasen sarake on merkkimäärä salasanassa, seuraava sarake kertoo miten kauan kuluu aikaa vain numeroista koostuvan salasanan murtamiseen, vain pieniä kirjaimia, sekä pieniä että suuria kirjaimia, numeroita pienten ja suurten kirjainten kanssa, numeroita ja kirjainten lisäksi erikoismerkkejä.
Pitkiä salasanoja ei voi mitenkään muistaa, mutta asiantuntijat lisäksi kehottavat valitsemaan eri salasanan jokaiseen paikkaan. Näin on, mutta apua tähän ongelmaan löytyy helposti. Joskus kauan sitten kaikilla oli paperinen aakkostettu puhelinmuistio, johon tärkeät puhelinnumerot kirjoitettiin talteen. Monilla oli myös kalenteri, minne kynällä kirjattiin tulevat tapahtumat. Puhelinmuistion ja kalenterin ovat korvanneet puhelimen sovellukset, joiden lisäksi salasanojen muistio pitää kaikki tunnukset turvassa. Tällaisia ohjelmia ovat esimerkiksi:
Ennen kuin otat käyttöön salasanojen hallinnan sovellusta, on hyvä miettiä minkälaisen haluat. Ohjelmien kaksi toimintamallia ovat: omalla laitteella tallessa olevat (salakirjoitetut) salasanat, tai pilvipalveluun omalle tilille talletettavat salasanat. Kuten arvata saattaa, pilvipalveluiden salasanatietokannat ovat erittäin houkutteleva kohde rikollisille. Omalla laitteella tallessa olevia salasanoja ulkopuolinen ei yleensä pääse edes yrittämään avaamaan ennen kuin laite on hänen hallussaan.
