Tietoturva-aukko Heartbleedin jäljiltä ihmisiä on kehotettu vaihtamaan usean kymmenen palvelun salasanat.
Arvioiden mukaan nykyihmisellä on yhteensä useita kymmeniä salasanoja, joten niiden muistaminen ei ole helppo nakki.
Viestintäviraston alaisen Kyberturvallisuuskeskuksen näkemys on, että jokaiseen palveluun, jota käytät internetissä, kannattaa olla uniikki ja palvelukohtainen salasana. Miten nämä useat kymmenet salasanat sitten muistaa?
– Apuvälineitä on useita erilaisia. On olemassa salasanojen hallintaan tarkoitettuja sovelluksia, joihin pääsee pääsalasanalla sisään ja siellä voi säilyttää omia salasanoja eri palveluihin. Tällaisia salasanapalveluita ovat muun muassa KeePass, LastPass ja F-Secure KEY. Näitä voi käyttää apuna, kun puhutaan salasanojen muistamisesta, Kyberturvallisuuskeskuksen tietoturva-asiantuntija Markus Lintula kertoo.
Lintulan mukaan salasananhallintaohjelmat ovat sinänsä turvallisia. Ainoa riski koskee oikeastaan master-salasanaa, jolla pääsee ohjelman sisälle. Sitä ei parane unohtaa tai kadottaa. It-asiantuntija, yrittäjä, Petteri Järvisen mukaan salasanahallinta-ohjelmissa on oma tietoturvauhkansa.
– Kyllähän se master-salasana voi paljastua, vaikka olan yli kurkkimalla jos joku sen oikeasti haluaa, Järvinen miettii.
Vanhin tapa on tietenkin kynä ja paperi, millä hallita salasanoja.
– Kirjoita salasanasi paperille, mitä pidät tallessa, vinkkaa Petteri Järvinen.
Salasanat liian helppoja
Suomalaisia on suomittu aikaisemminkin liian helpoista salasanoista. IT-asiantuntija Järvinen muistuttaa, että suomalaiset ovat yhtä huonoja kuin muutkin salasanojen kanssa. Järvisen tilastojen mukaan viime vuosina suosituimmat salasanat suomalaisten keskuudessa ovat olleet salasana, 123456, qwerty ja saatana. Aikaisemmin, vuonna 2011, neljäntenä oli vielä Perkele, joten vaihtelu ei ole päätä huimaavaa.
– Käyttäjät itse arvioivat millaisia salasanoja palveluissa voi käyttää. Meidän ohje on, että uniikki salasana jokaiseen palveluun. Yhdentekevissä palveluissa salasana voi olla helppokin. Monesti vielä palveluntarjoajat vaativat jotain erikoismerkkejä tai tiettyä pituutta salasanaan, Lintula sanoo.
Tietty logiikka käyttöön
Yhtä ja samaa salasanaa ei asiantuntijoiden mukaan koskaan saa käyttää useammassa palvelussa.
Riskit tietovuodon tullessa ovat nimittäin melkoiset. Molemmat asiantuntijat neuvovat uniikin salasanan muodostamisessa käyttämään tiettyä logiikkaa, jotta kymmenet salasanat vielä muistaa.
– Ota joku sinulle tuttu, henkilökohtainen perussana, jota voit käyttää muunneltuna eri palveluissa, Järvinen aloittaa.
– Käytä esimerkiksi henkilökohtaista vahvaa salasanaa, johon lisäät osia palvelun nimestä oman logiikan mukaan, Lintula jatkaa.
Viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntija Markus Lintulan mukaan salasanoja kannattaa vaihtaa säännöllisesti.
– Salasana kannattaa palvelun tärkeydestä riippuen puolen vuoden tai vuoden välein. Tärkeissä palveluissa kannattaa miettiä salasanan vaihtoa jopa tätä useammin. Ihan vain sen takia, että tietoturva-uhkista on vaikea tietää etukäteen. Ihan kaikkien palveluiden salasanojen vaihtoa ei tarvitse miettiä, mutta tärkeimpien palveluiden kyllä.
It-asiantuntija Petteri Järvinen on samaa mieltä siinä, että kriittisissä palveluissa kannattaa ainakin joskus vaihtaa salasana.
– Jos sinulla on 100 eri verkkopalvelua, niin ei hullukaan niitä vaihda. Vaivannäkö suhteessa hyötyyn on aika olematon. Työpaikalla on asialla enemmän merkitystä, mutta jos työpaikan kone ei pakota vaihtamaan salasanaa, niin en kyllä vaihtaisi.