Norzu talja ratakizko nauta – aivan erinomainen!
SK:n arkistoista: Salasanan ei tarvitse olla sana. Se voi olla myös lause.
Nettiajan tärkeimmän sanan pitäisi olla vahva, mutta yleensä se on luvattoman heikko.
Muistatko oman salasanasi? Kuinka monta erilaista salasanaa sinulla on? Kirjoitatko ne jonnekin ylös? Miten valitset salasanasi?
Toimittaja Pertti Suvanto selvitti tammikuussa 2015, millaisia salasanoja ihmiset käyttävät ja millaisia niiden pitäisi olla. Samalla selvisi monen salasanan tarina – ne saattavat liittyä muistoihin tai unelmiin, esimerkiksi rakastumiseen tai eroihin.
F-Securen tutkimusjohtaja Mikko Hyppönen, voitko paljastaa yhden salasanoistasi?
”joshua”, hän vastaa.
Hyppönen kertoo käyttäneensä salasanaa 1980-luvulla. Hän oli lumoutunut hakkerielokuva WarGamesista, jossa erään päähenkilön käyttämä salasana oli samainen joshua.
Salasanat lukitsevat taakseen paljon muutakin kuin Facebook-tilimme. Ne salpaavat salaisuuksia meistä itsestämme. Asioita, joita ajattelemme, mutta joita emme halua sanoa ääneen.
Kun etsii tarinoita salasanojen takaa ja pyytää paljastamaan nyt jo edesmenneitä, ihmisten omaan elämään liittyneitä salasanoja, vastaus on melko usein välttelevä viittaus lemmikkieläinten nimiin tai äidin tyttönimeen.
Luomme kuitenkin myös salasanoja, jotka ovat kietoutuneet unelmiimme, toiveisiin, rakkaisiin muistoihin, elämänfilosofiaan, pettymyksiin, eroihin ja suruihin. Ne ovat meille lähtemättömällä tavalla tärkeitä, siksi muistamme ne.
59-vuotias yksin asuva nainen kertoo:
”Meillä oli töissä ohjelma, johon piti olla neljän sanan salasana. Laitoin siihen seuraavanlaisen: jousi katu koira koti. Sanat tulivat siitä, että olin muuttanut yksin Jousimiehentielle. Rakas lemmikkini kuoli ja koti oli entistä tyhjempi.”
Keski-ikäinen nainen muistelee:
”Rakastuin naiseen Pariisissa. Salasanana olen käyttänyt Pariisia vaihtelemalla vuosilukua kaupungin perässä, muistuttaen menneestä ja samalla tulevista matkoista.”
Salasanojen muistamisesta on tullut internet-aikakaudella todellinen riesa. Niitä vaaditaan joka palveluun, siksi muokkaamme ne itsellemme helposti mieleen palautettaviksi ja käytämme samoja salasanoja monessa paikassa.
Samaa salasanaa ei kuitenkaan saisi käyttää kuin yhdessä palvelussa. Jos se paljastuu, murtajalla on avain kaikkiin oviin. Seuraukset saattavat näkyä luottokorttilaskussamme tai nimissämme lähetettyinä törkyviesteinä.
F-Securen Hyppönen arvelee, että melko tavallisen netinkäyttäjän salasanamäärä lähentelee jo sataa. Ne tulisi säännöllisin väliajoin aina myös uusia. Viralliset ohjeet eivät muutenkaan helpota ihmisten tuskaa, päinvastoin.
Hyvän ja vahvan salasanan tunnistaa siitä, että siinä on numeroita, kirjainten eri kokoja ja erikoismerkkejä. Viestintävirasto suosittaa pituudeksi vähintään 15 merkkiä. Parasta olisi, jos salalause olisi käsittämätön, epälooginen numero- ja merkkijono.
Tietomurroissa paljastuneiden salasanojen listat ovat Suomessa tietoturva-asiantuntijoille kuitenkin surullista katsottavaa: salasana, 123456 ja samat yksinkertaiset nimet sekä sanat päätyvät aina kärkisijoille. Salasanojen turvaohjeet kaikuvat usein kuuroille korville, sillä mitä parempi salasana on, sitä vaikeampi se on muistaa ja kirjoittaa.
”joshua-salasana murtuisi nykyään millisekunnissa. Kuusi pientä aakkosten kirjainta, ja sana löytyy vielä sanakirjoista”, Hyppönen sanoo. Samoin kävisi Pariisi2012:lle.
”Tämä on hyvä ja turvallinen salasana”, Viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntija Antti Kurittu sanoo ja nostaa esimerkiksi yhden omistaan.
Ja hyvä se onkin. Merkkijono pitää sisällään isoja ja pieniä kirjaimia, numeroita, heittomerkkejä, pilkkuja, pisteitä, kysymys- ja @-merkkejä. Sekava puuro on 25 merkkiä pitkä.
”Tällä hetkellä eletään käsityksessä, että aurinko sammuu ennen kuin tämä salasana nykyisin menetelmin on murrettu.”
Vastaavanlaisia salasanoja Kuritulla on käytössään toistasataa. Hän ei osaa ulkoa niistä tietenkään ainuttakaan. Hän muistaa vain yhden.
Kuritulla on ollut tietokoneellaan jo pitkään kryptattu kassaholvi. Säilö aukenee vain hänen tietämällään pääsalasanalla. Kirjautuessaan johonkin käyttämäänsä verkkopalveluun hän kopioi holvista käyttäjätunnuksen ja siihen liittyvän murtumattoman salasanan.
Osa salasanoista tallentuu suoraan osaksi selainta, jolloin se täyttää automaattisesti käyttäjätunnuksen ja salasanan käyttäjän puolesta. Saman ohjelman saa älypuhelimeen ja taulutietokoneeseen.
Salasanojen hallintaohjelmat ovat kasvattaneet suosiotaan. Hyviä ohjelmia on tarjolla ilmaiseksi netissä. Sellaista Kurittukin käyttää. Ne luovat murtumattomia salasanoja. Hänen mukaansa ohjelman opettelu on yhtä helppoa kuin tietokoneen käyttö.
”Internetiä aktiivisesti käyttävälle ihmiselle ne ovat ainoa tapa pysyä salasanojensa herrana. Muuten minunkaan elämästäni ei tulisi yhtään mitään.”
Myös Hyppösellä on 180 salasanalleen hallintaohjelman luomat versiot. Salasanamanageri on hänen mielestään järkevin ja helpoin ratkaisu. Ainoa ongelma on, että kaikki munat ovat samassa korissa – yhden pääsalasanan takana.
”Jos hukkaat tai unohdat pääavaimen, salasanoihin ei pääse kukaan käsiksi. Tai jos hakkeri saa sen kaapattua, vaikkapa näppäimistönauhurin avulla, kaikki salasanat menevät kerralla.”
Salasanan on siis oltava ainakin vahva. Entäpä tällainen? Viisi on vietnamiksi nam ja siellä myydään englantilaisia 555-merkkisiä savukkeita, joita aikoinaan poltin.
In Vietnamese namnamnam t@rk01tt@@ savukemerkkia
”Tämä on hyvä pääsalasana salasanasäilölle. Kokonaisuutena antaisin sille kouluarvosanan yhdeksän ja puoli”, Kurittu kiittää.
”Salasana on pitkä, eikä suora lainaus mistään olemassa olevasta tekstistä. Koska se on henkilökohtainen, se on muistettava. Siinä on erikoismerkkejä, useankielisiä ja ei-luonnollisia sanoja.”
”Toisaalta salasanaa heikentää se, että erikoismerkit ovat niin sanottuja ’yleisiä korvauksia’, eli a on @, i on 1. Salasana sisältää luonnollisen kielen sanoja ja siinä on vain muutama erikoismerkki. Salasanan pohjana käytetään henkilöstä selvitettävissä olevia tietoja.”
Kurittu korostaa, että salasana ei nykyään ole sana, vaan lause – eli se saa sisältää välilyöntejä.
”Esimerkiksi norsu talja ratakisko nauta on parempi salasana kuin a4%1!ooX, ja varmasti helpompi muistaa.”
Me heikkojen salasanojen virittelijät emme kuitenkaan ole yksin syyllisiä intiimielämämme ja luottokorttitietojemme paljastumiseen. Vaarallisempia hölmöjä ovat leväperäiset palveluntarjoajat, joilta salasanamme vuotavat tietomurtajien käsiin.
”Salasana on turvallinen ainoastaan silloin, jos palveluntarjoaja käsittelee sitä turvallisesti”, Kurittu muistuttaa.
Vuonna 2010 yhteensä 127 000 Älypää-palvelun käyttäjän käyttäjätunnukset ja salasanat julkaistiin kaikelle kansalle netissä. Palvelu oli tallettanut tiedot omiin järjestelmiinsä selkokielisinä.
”Palvelussa oli haavoittuvuus, joka oli ollut jo kauan tiedossa. Tietokanta oli löysästi koodattu. Murto ei todella ollut mitään rakettitiedettä”, tutkintaa johtanut Helsingin poliisin rikostarkastaja Jukkapekka Risu sanoo. ”Joillakin henkilöillä saattaa vieläkin olla käytössään samat salasanat.”
Yleensä hakkerit eivät saa käsiinsä puhtaita sanasalalistoja, vaan niin sanottuja tiivisteitä, jotka on laskettu salasanoista matemaattisella funktiolla.
Heikkolaatuiset tiivisteet murtuvat helposti kotikoneillakin, sillä modernien tietokoneiden näytönohjaimet ovat eteviä rinnakkaisissa laskutoimituksissa.
Kymmenellä tuhannella eurolla rakentaa jo ammattitason murtolaitteiston. Internetissä on ilmaisia murto-ohjelmia.
Tiivisteiden murtaminen on mahdollista ainoastaan raa’alla voimalla kokeilemalla kaikkia mahdollisia salasanavaihtoehtoja ja vertaamalla niistä laskettuja tiivisteitä varastettuihin. Tiivisteiden laskemiseen käytettävät algoritmit ovat julkisia.
Tarjolla on myös vapaasti ladattavia sateenkaaritaulukoita (rainbow table), jotka on valmiiksi laskettu tehotietokoneilla. Niistä paljastuvat hetkessä yleisimmät algoritmeilla suojatut salasanat eli tiivisteet. Nykyiset listat yltävät 10–11 merkin salasanoihin.
Palveluntarjoajat ovat joutuneetkin ”suolaamaan” tiivisteitään. Suolaaminen tarkoittaa sitä, että salasanaan lisätään merkkejä eli satunnaisuutta ennen kuin se ajetaan tiivistealgoritmin läpi. Monimutkaisemman ja pidemmän salasanan murtaminen on hankalampaa. Taulukkohyökkäykset on pystytty sillä estämään.
Kuritun mukaan yksittäisen tietokoneen murtotehokkuus riippuu paljon käytetystä tiivistemenetelmästä ja murtamiseen käytetystä tekniikasta. Kahdella tehokkaalla näytönohjaimella päästään kuitenkin jo kymmeniin miljardeihin salasana-arvauksiin sekunnissa.
Koneiden tehot suurin piirtein tuplaantuvat joka vuosi.
”Käynnissä onkin varsinainen kilpajuoksu hyvisten ja pahisten välillä. Siksi vaatimukset salasanojen pituuksista jatkuvasti kasvavat”, Kurittu sanoo.
Yksi ongelma on luonnolliset sanat. Hakkereilla on käytössään eri kielten sanakirjoja ja mahdollisuus kokeilla mitä erilaisimpia sanayhdistelmiä.
”Sanakirjahyökkäyksissä voidaan käyttää myös laulun sanoja ja runojen pätkiä. Jos salasanana on Täällä Pohjatähden alla -kirjan viimeinen lause, se saattaa murtua, jos kirjaa satutaan käyttämään lähdeaineistona”, Kurittu sanoo.
Mikko Hyppösen mukaan monet nykyiset salasanaohjeet olisivat toimineet hyvin 1980-luvulla, jolloin hän käytti joshua-salasanaansa. Ahkerallakaan tietokoneen käyttäjällä ei ollut viittä salasanaa enempää.
Hyppönen arvelee, että suurin osa tavallisista netinkäyttäjistä ei salasanojen hallintaohjelmiin tartu. Hän tarjoaa kuitenkin muita pelastusrenkaita.
”Ei ole mikään synti käyttää huonoja tai samoja salasanoja, silloin kun palvelulla ei ole väliä. Minua ei haittaa yhtään, jos joku pääsee lukemaan tunnuksillani The Timesin artikkeleita.”
Hyppönen sanoo, että palvelut, joissa salasanoja on, on laitettava tärkeysjärjestykseen. Kaikille tärkeille palveluilla on oltava omat, vahvat salasanansa.
”Ne voi tarvittaessa kirjoittaa muistiin ja säilyttää vaikka lompakossa.”
Työsalasanojen lisäksi tärkein kruununjalokivi on oma henkilökohtainen sähköposti, jonka kautta yleensä rekisteröidytään verkkokauppoihin. Sähköpostihistoria sisältää rekisteröitymistiedot. Jos murtaja on saanut sähköpostin salasanan käyttöönsä, vaikkapa jostain höpöhöpö-palvelusta, hän voi pyytää jokaisesta kaupasta uuden salasanan ”unohtuneen” tilalle.
”Silloin kaikista verkkokaupoista, joihin olet tallettanut luottokorttitietosi, voidaan tilata lahjaksi mitä tahansa ja kenelle tahansa.”
Muut turhat ja tärkeät palvelut on jokaisen päätettävä itse.
”Jollekin kaikkein tärkein palvelu voi olla posliinimaalausfoorumi, jossa viettää kaiken aikansa. Hänen nimissään lähetetyt haistatteluviestit saattaisivat olla pahinta, mitä elämässä voisi tapahtua.”
Juttu on ensi kerran julkaistu Suomen Kuvalehdessä 2/2015.