Ovatko salasanasi todella turvallisia? Mitä useimmat ihmiset tekevät väärin
Aloitetaan epämukavalla kysymyksellä: kuinka monella verkkotilillesi on sama salasana?
Jos vastaus on enemmän kuin yksi, et ole yksin. Tutkimukset osoittavat johdonmukaisesti, että tavallinen ihminen käyttää samaa salasanaa vähintään viidellä tilillä. Monet käyttävät samaa salasanaa tai pieniä muunnelmia siitä kymmenissä eri palveluissa. Tämä on yksi suurimmista tietoturvariskeistä, joita useimmat ihmiset kohtaavat verkossa – ja se on täysin ehkäistävissä.
Todellinen vaara: tietomurrot ja credential stuffing
Useimmat ihmiset ajattelevat hakkeroinnin tarkoittavan sitä, että joku kohdistaa hyökkäyksen nimenomaan heihin, arvaa heidän salasanansa tai murtautuu tilille raakavoimalla. Todellisuus on hyvin erilainen.
Ylivoimainen enemmistö tilitietomurroista tapahtuu tietomurtojen kautta. Yritys, jolla on tili, hakkeroidaan. Heidän käyttäjänimistä ja salasanoista koostuva tietokanta varastetaan ja julkaistaan verkossa tai myydään pimeässä verkossa. Tämä tapahtuu suurille yrityksille hälyttävän usein.
Tässä salasanojen uudelleenkäyttö muuttuu katastrofaaliseksi. Hyökkääjät ottavat vuodetut sähköposti-ja-salasana-yhdistelmät ja kokeilevat niitä automaattisesti sadoissa muissa palveluissa: Gmailissa, Amazonissa, pankkisivustoilla, sosiaalisessa mediassa. Tätä kutsutaan credential stuffingiksi, ja se toimii, koska niin monet ihmiset käyttävät samaa salasanaa kaikkialla.
Varoitus Jos käytit samaa salasanaa pienellä verkkofoorumilla, joka joutui tietomurron kohteeksi, ja ensisijaisessa sähköpostitilissäsi, hyökkääjällä, joka saa foorumin tietokannan, on nyt pääsy sähköpostiisi. Sähköpostistasi käsin hän voi nollata salasanat lähes kaikilla muilla tileillä, joita sinulla on.
Yleisimmät salasanavirheet
1. Salasanojen uudelleenkäyttö
Tämä on salasanaturvallisuuden kardinaalisynti. Kun käytät salasanaa uudelleen, tietomurto yhdessä palvelussa vaarantaa kaikki palvelut, joissa käytit samaa salasanaa.
2. Heikkojen salasanojen käyttö
Huolimatta vuosien tietoisuuskampanjoista yleisimmät salasanat ovat edelleen hämmästyttävän yksinkertaisia. "123456", "password", "qwerty" ja "admin" ovat jatkuvasti listojen kärjessä. Nämä voidaan murtaa alle sekunnissa.
3. Ennakoitavat mallit
Monet ihmiset luulevat olevansa nokelia kuvioillaan, kuten:
- "1" tai "!" lisääminen tavallisen sanan loppuun
- Vain ensimmäisen kirjaimen isolla kirjoittaminen
- Pohjasalasanan käyttö sivuston nimellä lisättynä (esim. "OmaSalasana-facebook")
- Kirjainten korvaaminen numeroilla ("p@ssw0rd")
Hyökkääjät tuntevat kaikki nämä mallit. Heidän työkalunsa on suunniteltu erityisesti kokeilemaan näitä muunnelmia. Salasana, joka näyttää monimutkaiselta ihmiselle, voi olla triviaali automaattiselle murtotyökalulle.
4. Henkilökohtaisten tietojen käyttö
Lemmikkieläinten nimet, syntymäpäivät, vuosipäivät, lasten nimet, suosikkiurheilujoukkueet. Kaikki nämä tiedot ovat usein julkisesti saatavilla sosiaalisessa mediassa. Jos salasanasi on "nuppu2019" ja Instagram-tilisi on täynnä kissanvalokuvia tunnisteen #NuppuKissa kanssa, et ole niin turvassa kuin luulet.
5. Vaarantuneiden salasanojen vaihtamatta jättäminen
Jopa tietomurrosta ilmoitettaessa monet ihmiset eivät vaihda salasanojaan. Tämä antaa hyökkääjille pidemmän ajan hyödyntää vuodettuja tunnistetietoja.
Tiesitkö? Suurin tunnettu tietomurto paljasti yli 3,2 miljardia sähköposti- ja salasanayhdistelmää yhdessä vuodossa. On merkittävä mahdollisuus, että vähintään yksi salasanoistasi on paljastunut aiemmassa tietomurrossa, vaikka sinulle ei olisi ilmoitettu siitä.
Mikä tekee salasanasta vahvan?
Vahvalla salasanalla on kolme keskeistä ominaisuutta:
- Pituus. Tämä on tärkein tekijä. 16 merkin salasana on eksponentiaalisesti vaikeampi murtaa kuin 8 merkin salasana riippumatta monimutkaisuudesta.
- Satunnaisuus. Sen ei tule sisältää sanakirjasanoja, nimiä, päivämääriä tai tunnistettavia malleja.
- Ainutlaatuisuus. Sitä on käytettävä vain yhdellä tilillä ja vain yhdellä.
Näin salasanan pituus vaikuttaa murtamisaikaan satunnaisella salasanalla:
| Pituus | Vain pienet kirjaimet | Isot+pienet kirjaimet + numerot + symbolit |
|---|---|---|
| 6 merkkiä | Välittömästi | ~5 sekuntia |
| 8 merkkiä | ~2 minuuttia | ~8 tuntia |
| 12 merkkiä | ~200 vuotta | ~34 000 vuotta |
| 16 merkkiä | ~3 miljoonaa vuotta | Käytännössä murtamaton |
Johtopäätös on selvä: pituus voittaa monimutkaisuuden. 16 merkin satunnainen salasana pelkästään pienillä kirjaimilla on paljon vahvempi kuin 8 merkin salasana, jossa on isoja kirjaimia, numeroita ja symboleja.
Ratkaisu: salasananhallintaohjelmat ja ainutlaatuiset salasanat
Käytännöllisin tapa käyttää vahvoja, ainutlaatuisia salasanoja jokaiselle tilille on salasananhallintaohjelma. Salasananhallintaohjelma tallentaa kaikki salasanasi salattuun holviin, jota suojaa yksi pääsalasana. Sinun tarvitsee muistaa vain yksi salasana; ohjelma huolehtii lopusta.
Suosittuja salasananhallintaohjelmia ovat Bitwarden (ilmainen ja avoimen lähdekoodin), 1Password ja KeePass. Useimmissa selaimissa on myös sisäänrakennettu salasananhallintaohjelma, joka toimii kohtuullisen hyvin.
Kuinka salasananhallintaohjelma toimii
- Kun luot tilin tai vaihdat salasanan, ohjelma luo pitkän, satunnaisen salasanan.
- Salasana tallennetaan salattuun holviisi.
- Kun vierailet verkkosivustolla, ohjelma täyttää tunnistetiedot automaattisesti.
- Sinun ei tarvitse koskaan muistaa, kirjoittaa tai edes nähdä yksittäisiä salasanoja.
Toimi tänään: kaksi vaihetta, jotka voit tehdä heti
Sinun ei tarvitse uudistaa koko digitaalista elämääsi yhdessä istunnossa. Aloita näillä kahdella konkreettisella toimenpiteellä.
Vaihe 1: Tarkista, ovatko salasanasi vuotaneet
Ennen kaikkea muuta selvitä, ovatko olemassa olevat salasanasi jo paljastuneet tunnetuissa tietomurroissa. Tämä kertoo, mitkä tilit ovat välittömässä vaarassa.
Vinkki Voit tarkistaa, esiintyvätkö salasanasi tunnetuissa tietomurtotietokannoissa, nyt ilmaiseksi: Tarkista, onko salasanasi vuotanut. Tarkistus suoritetaan turvallisesti – koko salasanaasi ei lähetetä minnekään.
Vaihe 2: Luo vahvat salasanat tärkeimmille tileillesi
Aloita tileistä, joilla on eniten merkitystä: ensisijainen sähköpostisi, pankkisi ja tilit, jotka tallentavat maksutietoja. Korvaa nämä salasanat vahvoilla, satunnaisesti luoduilla salasanoilla.
Vinkki Käytä ilmaista salasanageneraattoriamme luodaksesi vahvoja, ainutlaatuisia salasanoja välittömästi: Luo turvallinen salasana. Voit mukauttaa pituutta ja merkkityyppejä minkä tahansa sivuston vaatimusten mukaan.
Salasanojen ulkopuolella: ota käyttöön kaksivaiheinen tunnistautuminen
Edes vahvin salasana ei riitä, jos sen tallentava palvelu joutuu tietomurron kohteeksi. Kaksivaiheinen tunnistautuminen (2FA) lisää toisen suojakerroksen: salasanan syöttämisen jälkeen sinun on myös annettava koodi puhelimestasi, todennussovelluksesta tai fyysisestä turva-avaimesta.
Kun 2FA on käytössä, vuodettu salasana yksinään ei riitä hyökkääjälle pääsemään tilillesi. Ota se käyttöön kaikilla tileillä, jotka tarjoavat sen, erityisesti sähköpostissa, pankkipalveluissa ja sosiaalisessa mediassa.
Varoitus SMS-pohjainen 2FA (koodit tekstiviestillä) on parempi kuin ei mitään, mutta se on haavoittuvainen SIM-vaihto-hyökkäyksille. Todennussovellukset (Google Authenticator, Authy) tai laitteistoavaimet (YubiKey) ovat huomattavasti turvallisempia.
Parempien tapojen rakentaminen
Salasanaturvallisuus ei ole kertaluonteinen korjaus. Se on jatkuva käytäntö:
- Käytä salasananhallintaohjelmaa kaikille tileille.
- Luo ainutlaatuinen salasana jokaiselle uudelle tilille.
- Ota 2FA käyttöön aina kun mahdollista.
- Tarkista tietomurtoja säännöllisesti, vähintään kerran tai kahdesti vuodessa.
- Vaihda vaarantuneet salasanat välittömästi kun saat ilmoituksen tietomurrosta.
Aloita tiliesi suojaaminen tänään:
Molemmat työkalut ovat ilmaisia, toimivat selaimessasi eivätkä lähetä tietojasi minnekään.