Miten voit parantaa salasanojen turvallisuutta?
Salasanat ovat avaimet digitaaliseen identiteettiimme. Vahva salasana on ensimmäinen puolustuslinja verkkorikollisia vastaan. Tilastojen mukaan 36 % brittiläisistä vastaajista käyttää samaa salasanaa 5–10 eri sivustolla, ja 35 % myönsi vaihtavansa salasanansa päivittäin tai useita kertoja viikossa.
Mitkä ovat salasanan turvallisuutta koskevat vaatimukset?
Monet ihmiset käyttävät edelleen salasanoinaan heikkoja tai helposti arvattavia yhdistelmiä. Salasanojen korkean turvallisuustason varmistamiseksi on otettava huomioon useita tekijöitä. Turvallisen salasanan valitseminen ja salasananhallintaohjelman käyttö voidaan katsoa salasanojen turvallisuuden peruspilareiksi.
Mikä tekee salasanoista turvallisia?
Vaikka turvalliset salasanat eivät yksinään tarjoa täydellistä suojaa verkkorikollisten hyökkäyksiä vastaan, turvallisen salasanan luominen on silti ratkaisevan tärkeää tiliesi suojaamiseksi. Käyttäjät voivat tarkistaa valitsemansa salasanan turvallisuuden seuraavien kriteerien perusteella:
-
Pituus: Salasanan pituudella on ratkaiseva merkitys, sillä pidemmät salasanat ovat eksponentiaalisesti vaikeampia murtaa kuin lyhyemmät. Vahvan salasanan tulisi olla vähintään 12–16 merkkiä pitkä.
-
Monimutkaisuus: Turvallisessa salasanassa tulisi olla isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä, kuten @, # tai $. Tämä monipuolisuus vaikeuttaa salasanan arvaamista sekä ihmisille että automaattisille työkaluille.
-
Arvaamattomuus: Vältä yksinkertaisia kuvioita tai tunnistettavia sanoja salasanoissa, sillä kyberrikolliset käyttävät usein sanakirjahyökkäyksiä, joissa testataan yleisiä salasanoja.
-
Ainutlaatuisuus: Älä käytä samaa salasanaa useissa palveluissa ja alustoilla. Käytä sen sijaan ainutlaatuista salasanaa jokaisessa verkkopalvelussa.
-
Säännölliset päivitykset: Erityisesti kriittisten palveluiden osalta salasanojen säännöllinen päivittäminen voi vähentää aiempien tietoturvaloukkausten aiheuttamaa hyväksikäytön riskiä.
Oikean salasananhallintaohjelman valitseminen
Salasananhallintaohjelmat ovat käteviä työkaluja monimutkaisten salasanojen luomiseen ja turvalliseen säilyttämiseen. Kun valitset sopivaa salasananhallintaohjelmaa, varmista, että se tukee päästä päähän -salausta ja sisältää ominaisuuksia, kuten tietomurtohälytykset tai tietoturvatarkastukset. Säännölliset päivitykset ovat toinen merkki luotettavasta salasananhallintaohjelmasta.
Viime vuosien merkittävimmät salasanavuodot
Luovutamme päivittäin valtavia määriä arkaluontoisia tietoja yrityksille ja teknologian käyttöön, ja usein ainoana suojana ovat salasanat – suojaus, jota ei ilmeisesti oteta riittävän vakavasti. Tämä käy ilmi viimeaikaisen verkkohistorian lukuisista tietomurroista. Verkkorikolliset ovat toistuvasti päässeet käsiksi kirjautumistietoihin esimerkiksi haittaohjelmien, phishing-sähköpostien tai brute force -hyökkäysten avulla ja varastaneet käyttäjien luottamuksellisia tietoja. Alla on yhteenveto merkittävimmistä tapauksista:
- LinkedIn (2012, 2016): LinkedIn joutui hakkeroinnin kohteeksi vuonna 2012, minkä seurauksena yli 6,5 miljoonaa salattua salasanaa varastettiin. Vuonna 2016 dark webissä ilmestyi vielä 117 miljoonaa tämän hakkeroinnin yhteydessä varastettua kirjautumistunnusta.
- Yahoo (2013, 2014): Yksi kaikkien aikojen suurimmista tietoturvaloukkauksista kohdistui Yahooon. Vuosina 2013–2014 vaarantui yhteensä kolme miljardia tiliä, mukaan lukien käyttäjätunnukset, salasanat ja turvakysymykset.
- Adobe (2013): Yli 150 miljoonaa Adoben käyttäjätiliä varastettiin tietomurron yhteydessä, ja monet salasanoista olivat huonosti salattuja.
- Facebook (2019): Facebook paljasti, että miljoonia käyttäjien salasanoja oli tallennettu selväkielisenä sisäisille palvelimille. Vaikka tiedot eivät vuotaneet ulkoisesti, tapaus korosti turvallisten käytäntöjen tarvetta jopa yritystasolla.
- Collection #1-#5 (2019): Tammikuussa 2019 yli kaksi miljardia sähköpostiosoitetta ja salasanaa eri lähteistä, mukaan lukien tunnetut ja aiemmin tuntemattomat tietovuodot, julkaistiin osana tätä valtavaa tietovuotoa.
- Twitter/X (2022): Turvallisuusrikkomus paljasti yli 5,4 miljoonan tilin henkilötiedot, mukaan lukien puhelinnumerot ja sähköpostiosoitteet, virheen vuoksi.
- RockYou (2024): RockYou2024 oli massiivinen tietovuoto, jota pidetään yhtenä suurimmista koskaan julkaistuista. Se käsitti yli 9,9 miljardia salasanaa, jotka oli koottu eri lähteistä.
Nämä tapahtumat korostavat kyberturvallisuuden ratkaisevaa merkitystä. GMX:n 1 050 henkilön keskuudessa tekemän edustavan kyselyn tulokset ovat sitäkin hämmästyttävämpiä: 64 % vastaajista ilmoitti käyttävänsä samaa salasanaa joissakin tai jopa kaikissa verkkotileissään, kun taas vain 21 % käyttää eri salasanaa jokaisessa tilissä. Vuoden 2019 GMX-tutkimus paljasti myös, että 9 % ei ollut koskaan edes vaihtanut pääsähköpostitilinsä salasanaa, mikä jättää heidät erittäin haavoittuvaisiksi.
Hyökkäyksissään kyberrikolliset eivät useinkaan käytä omia tietokoneitaan, vaan hyödyntävät sen sijaan hyväuskoisten käyttäjien laitteita. Nämä laitteet saastutetaan haittaohjelmilla, joiden avulla hyökkääjät voivat hallita niitä etäyhteyden kautta. Tällaiset vaarantuneet järjestelmät, joita kutsutaan usein boteiksi tai zombeiksi, on järjestetty suuriksi verkostoiksi.
Kuinka tarkistaa salasanan turvallisuus
Salasanojen turvallisuuden tarkistaminen on keskeinen vaihe digitaalisten tilien suojaamisessa luvattomalta käytöltä tai tietovuotojen jälkeen. Käytössä on erilaisia menetelmiä ja työkaluja, joilla voi tarkistaa, onko salasanoihisi päästy käsiksi, täyttävätkö ne nykyiset turvallisuusstandardit vai ovatko ne liian heikkoja.
Verkkopalvelut tietovuotojen tarkistamiseen
- Have I Been Pwned (HIBP): Yksi tunnetuimmista ja luotettavimmista alustoista on Have I Been Pwned (HIBP). Täällä voit tarkistaa, onko sähköpostiosoitteesi tai salasanasi joutunut tunnetun tietovuodon kohteeksi. Syöttämällä sähköpostiosoitteesi saat luettelon sivustoista, joilta tietoja on vuotanut ja joilta tietosi ovat saattaneet joutua varastetuiksi. Sivusto mahdollistaa myös suoran salasanatarkistuksen, ja varmistaa nimettömyyden erityisten hajautustekniikoiden avulla.
- Google Security Check: Google tarjoaa integroidun salasanatarkistusominaisuuden Chromessa. Selain ilmoittaa sinulle, jos jokin tallennetuista salasanoistasi on ollut osallisena tietomurrossa. Lisäksi voit suorittaa kattavan turvallisuustarkistuksen Google-tilisi kautta, joka tunnistaa myös heikot tai uudelleen käytetyt salasanat.
- Salasananhallintaohjelmien turvallisuusominaisuudet: Monet nykyaikaiset salasananhallintaohjelmat tarjoavat toiminnon tallennettujen salasanojen tarkistamiseen. Nämä työkalut etsivät heikkouksia, päällekkäisiä salasanoja ja tunnettuja tietoturvaloukkauksia. Näin saat selkeän yleiskuvan siitä, mitkä salasanat vaativat päivittämistä.
Salasanan vahvuuden testaaminen
Tietovuotojen tarkistamisen lisäksi on tärkeää arvioida salasanojesi vahvuus. Tähän on olemassa lukuisia työkaluja, jotka arvioivat salasanan pituuden, monimutkaisuuden ja entropian (satunnaisuuden). Nämä palvelut simuloivat myös, kuinka kauan salasanan murtaminen brute-force-hyökkäyksellä kestäisi. Esimerkiksi salasana 123456 voidaan murtaa alle sekunnissa, kun taas vahvempi salasana, kuten X$4g8JwQ!a_%j, kestäisi hyökkäyksiä useita vuosia.
Manuaalinen tarkastus ja seuranta
Jos tiedät, että tietoturvaloukkaus on kohdannut tiettyä alustaa, tarkista, onko sinulla tiliä kyseisellä alustalla. Vaihda salasanasi välittömästi, etenkin jos olet käyttänyt niitä myös muilla verkkosivustoilla. On myös hyödyllistä seurata kyberturvallisuusuutisia tai alustoja kuten Reddit (esim. alifoorumi [r/netsec]), jotta pysyt ajan tasalla uusista tietoturvaloukkauksista. Turvallisuusaukot ilmoitetaan siellä usein aikaisemmin kuin virallisten kanavien kautta, jolloin voit ryhtyä ennaltaehkäiseviin toimenpiteisiin ajoissa. Lisäksi HIBP:n kaltaiset työkalut tarjoavat sähköpostimuistutuksia, jotka hälyttävät sinua, kun sähköpostiosoitteesi ilmestyy uuteen tietovuotoon.