Hyvän salasanan anatomia

Viime aikoina on uutisoitu muutamasta salasanoihin liittyvästä tietomurrosta. Ensin naurettiin englanninkielisestä palvelusta vuotaneiden salasanojen yksinkertaisuutta ja hieman myöhemmin oltiinkin ihan hiljaa, kun Älypää.com-sivuston käyttäjien salasanat ilmestyivät nettiin eivätkä ne olleet yhtään sen vaikeampia salasanoja. No millainen sitten on hyvä salasana?

Mistä tunnistaa hyvän salasanan?

Lyhykäisyydessään voisi sanoa, että pituudesta. Toki salasanan monimutkaisuuskin vaikuttaa, mutta pituus on se, joka vaikuttaa eniten.

Miten salasanoja murretaan?

Jotta tietää, mitä hyvältä salasanalta vaaditaan, pitää tietää myös, miten salasanoja murretaan. Salasanoja voidaan yrittää murtaa ohjelmilla, jotka kokeilevat tunnettuja sanoja sellaisenaan tai pienin muutoksin (esim. password, password1, password2 jne. jne.). Tätä tapaa kutsutaan yleisesti sanakirjamurtamiseksi, koska käytettävät sanat pohjautuvat valmiisiin sanakirjatiedostoihin. Sanakirjamurtaminen on kohtuullisen tehokas tapa murtaa salasanoja, mutta yleisimmin sanakirjatiedostot koostuvat englanninkielisistä sanoista ja siten suomenkieliset salasanat ovat vaikeammin ratkottavissa.

Toinen tapa on koostaa erilaisia merkkijonoja eli suomeksi kokeilla kaikkea mahdollista (esim. aaaaaaa, aaaaaab, aaaaaac jne. jne.). Jälkimmäinen tapa on tehokas, mutta vie aikaa. Mikäli tiedetään, että salasana koostuu pelkistä numeroista

Voitko antaa hyvien ja huonojen salasanojen tunnuspiirteet?

Tottahan toki. Näin näen sen itse:

Huono salasana

• koostuu pelkistä numeroista (esim. oma syntymäpäivä)
• on lyhyt (alle 8 merkkiä pitkä)
• on englanninkielinen ”perussana”
• on ”salasana”, ”12345”, ”123456” tai ”qwerty”
• on sama kuin käyttäjätunnuksesi
• sama sana kahteen kertaan (esim. testitesti)
• on puolison/lapsen/lemmikin nimi
• on kirjoitettu lapulle tietokoneen viereen

Hyvä salasana

• on yli 8 merkkiä pitkä (mielellään reilusti pidempi)
• on helppo muistaa
• ei ole perusmuotoinen (ts. taivuttamaton) sana
• sisältää pieniä ja isoja kirjaimia, numeroita ja erikoismerkkejä
• ei ole muiden tiedossa
• ei ole joka paikassa käytössä

Olisko antaa pari esimerkkiä?

Huonoja salasanoja löytyy englanninkielisinä esim. osoitteesta http://ww.whatsmypass.com/the-top-500-worst-passwords-of-all-time ja Älypää.com-sivustolla käytössä olleiden salasanojen Top 01-lista löytyy taasen osoitteesta http://www.mikropc.net/kaikki_uutiset/article387671.ece.

Hyvissä salasanoissa ehkä tärkeimmät asiat ovat kaikesta huolimatta muistettavuus ja käytettävyys. Äkkiäkös sitä tuosta naputtelee 38 merkkiä pitkän salasanan, jonka murtamiseen menisi vuosia. Mutta voi morjens, jos se pitäisi vielä muistaa. Taikka näppäillä esim. sähköpostin katsomista varten joka kerta. Eihän sellaista normaali ihminen jaksa.

Miten teen hyvän salasanan?

Itse keksin yleensä jonkin lauseen tai sanaparin ja muunnan sitä tietyillä säännöillä, jotka minun on helppo muistaa. Yleisimpiä muunnoksia on esim. i-kirjaimen korvaaminen ykkösellä, 0-kirjaimen korvaaminen nollalla jne.

Otetaan esimerkiksi ”viljaa pellolla” ja muunnetaan siitä ”Vilj44#Pell0lla”. Tuotakin salasanaa voisi vielä monimutkaistaa entisestään, mutta toimii jo tuollaisenaankin aika vahvana salasanana. Toinen esimerkki on salasanan muodostaminen lauseesta ”kymmenes hääpäivämme on vuonna 2011”. Salasanaksi väännettynä se voisi näyttää tältä ”10.HPmme=v2011!”.

Voinko testata jossain, onko salasana hyvä vai ei?

Kyllä voit. Yksi hyvä nettisivu tällaiseen testaukseen löytyy Microsoftilta (https://www.microsoft.com/protect/fraud/passwords/checker.aspx).

Mitenkäs oli mahdollista, että Älypää.comista saatiin salasanoja selville?

Sekä Älypää.comilla että yhdysvaltalaisella RockYou-sivustolla (http://www.rockyou.com/) oli yksi kriittinen suunnitteluvirhe: salasanat tallennettiin tietokantoihin selkokielisinä ja tietomurron sattuessa salasanat olivat suoraan käyttökelpoisia. Älypää.comilta vietiin yli 127 000 salasanaa ja RockYou.comilta taasen yli 32 miljoonaa salasanaa.

Eli kannattaako mun nyt edes miettiä hyvää salasanaa, jos ne saadaan noin helposti selville?

Totta kai, koska suurin osa nettipalveluista salaa salasanansa tietokantoihin sellaiseen muotoon, ettei alkuperäinen salasana ole enää luettavissa. Tietokannasta varastettu salasana ei siis olisi suoraan käyttökelpoinen ja on erittäin hankala murtaa.

---

---