Kommentti: Älä pakota vaihtamaan salasanaa

Uudet salasanat ovat aina edeltäjäänsä heikompia.

Salasanoja vaativia ohjelmia ja palveluita käytetään päivittäin työssä ja vapaa-ajalla. Saarenpää Sami

Iida Muhonen

Kuinka monta kertaa olet tänään kirjautunut palveluun, johon tarvitaan salasana?

Kun laskin omat sisäänkirjautumiseni, sain kokoon yhteensä 13 salasanaa vaatinutta kirjautumista: kolme sähköpostia, verkkopankki, Twitter, Facebook, Spotify, kirpputorisivusto, kolmen tietokoneen sisäänkirjautuminen ja kaksi työhön liittyvää ohjelmaa. Jos osassa palveluista ei olisi automaattista sisäänkirjautumista, olisi minun pitänyt tänään muistaa 13 käyttäjätunnuksen lisäksi 13 salasanaa.

Päivittäin käytettävien verkkopalveluiden ja ohjelmien lisäksi on paljon palveluita, joihin on tarpeellista kirjautua vain muutamia kertoja viikossa tai kuukaudessa. Lisäksi on joukko palveluita, joihin olemme luoneet itsellemme tilin, muttemme enää käytä palvelua, olemme käyttäneet sitä vain kerran tai emme välttämättä muista sen olevan olemassa.

Kaikkien näiden ohjelmien, palveluiden ja sivustojen salasanat meidän pitäisi kuitenkin muistaa.

Muistikapasiteetti koetuksella

Verkkotilien määrän lisääntyminen tarkoittaa sitä, että ihmiset joutuvat muistamaan yhä enemmän käyttäjätunnuksia ja salasanoja. Jos ei käytä samaa salasanaa useammassa palvelussa, joutuu oikeasti muistamaan yhtä monta salasanaa kuin on tiliäkin. Kukaan ei varmaankaan pysty siihen.

Lisäksi pitäisi noudattaa salasanaohjeiden pituus- ja monimutkaisuusvaatimuksia.

Koska tehtävä on muistille ylivoimainen, ihmiset oikaisevat. Viime vuoden käytetyimmät salasanat olivat Splash Datan mukaan 123456, password ja 12345678. Vaatimuksia salasanat eivät täytä, mutta kieltämättä ne ovat helposti muistettavia.

Heikot ja helposti arvattavat salasanat vaarantavat tietoturvan. Salasanan vaihtamista säännöllisin väliajoin pidetään yhtenä keinona hakkereiden pysäyttämiseksi, siksi monessa yrityksessä ohjelmat pakottavat tietokoneenkäyttäjän vaihtamaan salasanansa tasaisin väliajoin. Asiantuntijoiden mukaan tämä ei kuitenkaan lisää yhtään yrityksen tietoturvaa, päinvastoin.

The Wiredin mukaan salasanansa vaihtamaan pakotetut ihmiset eivät käytä mielikuvitustaan uuden salasanan luomisessa, siksi uudet salasanat ovat aina edeltäjäänsä heikompia. Ihmiset yrittävät päästä siitä, mistä aita on matalin, kuten muuttaa vanhan salasanan kirjaimia niitä muistuttaviksi symboleiksi (esimerkiksi S-kirjaimen vaihtaminen dollarimerkkiin).

Kun salasanaa joutuu vaihtamaan usein, on keksittävä keino, jolla uusia ja helposti muistettavia salasanoja syntyy. Tunnustatko yhdistelleesi omaa nimeäsi, perheenjäsentesi nimiä, syntymävuosia ja osoitteita?

Hallitut vai hallitsemattomat salasanat?

Dashlane-tietoturvayrityksen tilaston mukaan yhtä sähköpostiosoitetta kohtaan on 130–92 eri verkkotiliä. Amerikkalaisen sähköpostiosoite on kytketty keskimäärin 130 tiliin, briteillä tilejä on 118 yhtä sähköpostiosoitetta kohti, ranskalaisilla 95. Muiden maiden keskiarvoksi on saatu 92.

Verkkotilien määrä on Dashlanen mukaan tuplaantunut viiden vuoden välein vuodesta 2005 lähtien. Jos tämä meno jatkuu, internetkäyttäjällä on keskimäärin yli 200 verkkotiliä vuoteen 2020 mennessä.

Mitä verkkotilit ovat? Ainakin sähköpostit, verkkokaupat, sosiaalisen median palvelut, keskusteluryhmät, suoratoistopalvelut ja verkkopankit vaativat kirjautumisen internetissä. Lisäksi monen asiakkuuden hoitaminen saattaa olla nykyään järkevintä oman verkkotilin kautta. Esimerkiksi puhelinliittymää tai lehtitilausta koskevat muutokset on viety verkkopalveluihin.

Huomaamatta verkkotilejä kertyy kymmeniä.

Salasanojen hallinnoimiseksi on jo monia erilaisia palveluita. Kun salasanat ovat kaikki palvelussa, ei niitä tarvitse itse muistaa. Salasanat voivat siksi olla monimutkaisempia ja samalla turvallisempia. Salasanapalveluiden vakuutetaan olevan turvallisia, mutta en pääse yli siitä ajatuksesta, että yhden salasanan takana ovat palvelussa kaikki salasanani. Mitä tapahtuu, jos hakkeri pääsee niihin käsiksi?

Kukaan ei suosittele salasanojen kirjoittamista paperille, mutta teen niin silti. Jos lista katoaa, on vain toivottava, että se päätyy sellaisen ihmisen käsiin, jota ei hakkerointi kiinnosta.

Lähteet:

The Next Web

The Wired

Dashlane

Splash Data