It-asiantuntija Petteri Järvisen mukaan ihmisten on nykypäivänä vaikea arvioida miten paljon salasanoja heillä on eri palveluihin.
– Salasanoja on kaikilla ihan varmasti liikaa. Meillä on pin-koodit, kulunvalvonta, nettipalveluiden salasanat, töistä riippuen salasanoja voi olla yli 15 pelkästään työpaikalla. Niitä on vaikea, jopa mahdotonta muistaa.
Suomalainen tietoturvayhtiö Trusteq teetti keväällä kyselytutkimuksen salasanojen käytöstä työpaikalla. Tutkimuksen mukaan 44 prosenttia kyselyyn osallistuneista vastaajista koki, että heillä on liikaa salasanoja työpaikalla.
Järvisen mukaan salasanoja on yhtä paljon kotona, jos ei enemmän, mutta kummallisesti niitä ei koeta usein yhtä ”liiallisina”
– Ei asiaa mietitä kotona. Työpaikalla se tulee enemmän ilmi, koska työpaikan järjestelmät vaativat usein säännöllistä salasanan vaihtoa, Järvinen arvioi.
Riittääkö yksi salasana?
Tutkimuksen perusteella tietoturvayhtiö Tursteq kertoi muun muassa, että työpaikoilla toivotaan salasanojen tai sisäänkirjautumisen yksinkertaistamista. 760 vastaajasta osa toivoi muun muassa vain yhtä salasanaa työpaikalleen.
Viestintäviraston alaisen Kyberturvallisuuskeskuksen tietoturva-asiantuntija Markus Lintulan mukaan tietoturva kannattaa aina ottaa huomioon salasanoissa.
– Voi tuntua siltä, että salasanoja on liikaa, mutta apuohjelmien kautta tällaista ei tarvitse miettiä. Työpaikoilla taas salasanojen yhtenäistämistä ei välttämättä kannata liikaa tehdä riskien takia. Niitä on kyllä onnistuttu tekemään, esimerkkinä vaikka Verohallinnon sivut, jonne meistä jokainen voi mennä omilla pankkitunnuksilla. Yrityksillä voi olla omilla koneillaan samantyylinen keskitetty salasanahallinta, Markus Lintula kertoo.
Molemmat asiantuntijat ovat sitä mieltä, että vain yhden salasanan käyttäminen eri palveluissa on vaarallista.
Vaikka Järvinen kutsuu salasanoja suurimmaksi it-alan arkipäivän ongelmaksi, ratkaisun avaimet siihen ovat heikot.
– Idea toimi vielä 80-luvulla, kun jokaisella oli korkeintaan yksi kone, mihin tarvittiin yksi salasana. Sitten kun kaikki palvelut, ohjelmistot ja järjestelmät yleistyivät, ja näihin kaikkiin vaaditaan oma salasana tai pin-koodi, niin ei kukaan enää pysy perässä, Järvinen päivittelee.
– Tuskin tähän salasanamäärään tulee koskaan ratkaisua. Meillä on sormenjälkitunnuksia ja muita, mutta jos et ole työpaikalla, ja joku lainaa konettasi, niin sehän ei sitten onnistu. Kriittisissä palveluissa on kaksivaiheinen todennus, jossa tarvitaan myös puhelin. Tämä on yksi vaihtoehto, mutta vie myös aikaa, arvioi Järvinen.