Sähköposti, pankki ja some – moni palvelu on verkossa sähköisen kirjautumisen takana. Millainen on hyvä salasana, ja mitä muita keinoja omien tietojen turvaamiseksi on?
1. Millainen on hyvä salasana?
Turvallinen salasana on pitkä ja vaikeasti arvattava. Monet palvelut vaativat pituudeksi vähintään 15 merkkiä. Salasanaa voikin ajatella pikemminkin salalauseena kuin sanana. Isoja kirjaimia ja erikoismerkkejä kuten %&//()= on hyvä ottaa mukaan. Suomen kielen päätteet, murreilmaukset ja puhekieliset ilmaukset ovat käyttökelpoisia. Kaikkein turvallisin salasana on satunnaisesti valikoitu sekalainen rimpsu kirjaimia, numeroita ja erikoismerkkejä.
2. Voiko samaa salasanaa käyttää eri paikoissa?
Samaa salasanaa ei kannata käyttää. Jos tiedot vuotavat yhdestä palvelusta ja sama salasana on käytössä toisissakin, myös niihin kirjautuminen käy rikolliselta helposti. Astetta parempi keino on laatia yksi runkosalasana ja käyttää sitä pienillä muutoksilla eri palveluissa. Sen pitäisi olla pitkä ja merkeistä kannattaa muuttaa vähintään puolet. Paras tapa on kuitenkin käyttää joka palvelussa eri salasanaa.
3. Mitä tarkoittaa monivaiheinen tunnistautuminen?
Monivaiheinen tunnistautuminen tarkoittaa, että käyttäjän henkilöllisyys varmistetaan palveluun kirjautuessa kahdella tai useammalla tunnistautumistavalla. Yksi tunnistautumistapa on perinteisesti salasana, ja lisätapa voi olla esimerkiksi sähköpostiin lähetettävä vahvistusviesti, tekstiviestinä saatava koodi tai todennussovellus. Todennussovellukset ovat mobiilisovelluksia, joita saa virallisista sovelluskaupoista.
Monivaiheista tunnistautumista kannattaa hyödyntää aina kun mahdollista.
Monivaiheinen tunnistautuminen tuo rikolliselle lisäesteen: vaikka salasana olisikin tiedossa, palveluun kirjautuminen ei onnistu ilman lisätunnistetta. Siksi monivaiheista tunnistautumista kannattaa hyödyntää aina kun mahdollista. Ominaisuus ei aina tule käyttöön automaattisesti, vaan käyttäjän pitää aktivoida se. Sen löytää palveluista esimerkiksi nimillä kaksivaiheinen tunnistautuminen, monivaiheinen tunnistautuminen tai englanniksi ”two-step verification” tai ”multifactor autenthication”.
/etlehti.fi/s3fs-public/wysiwyg_images/b882497163z.1_20230206131343_000gt65gl1en.10.iptcstrip.jpg?itok=XueGMuVF)
4. Mikä on kirjautumisilmoitus?
Monet palvelut tarjoavat kirjautumisilmoituksia, jotka lähettävät käyttäjälle tiedon silloin, kun palveluun on kirjauduttu poikkeavasta sijainnista tai eri laitteella kuin yleensä. Ilmoituksista on helppo seurata, kirjautuiko palveluun itse vai onko sitä yrittänyt joku muu. Kirjautumisilmoitukset eivät aina ole automaattisesti päällä, joten ne kannattaa itse aktivoida.
5. Miten muistaisin salasanani?
Asiantuntijat suosittelevat salasanojen säilyttämiseen hallintaohjelmia, joissa kaikki käytössä olevat salasanat talletetaan yhden pääsalasanan taakse. Hallintaohjelmat tallentavat salasanat joko salattuina omille palvelimilleen tai paikallisesti sille laitteelle, jolla ohjelmaa käyttää. Jos valitsee laitteelle tallentavan ohjelman, kannattaa huolehtia salasanojen varmuuskopioinnista siltä varalta, että laite rikkoutuu tai menee vaihtoon.
6. Voinko kirjata salasanat muistivihkoon?
Turvallisinta on tallentaa salasana hallintaohjelmaan, mutta salasanat voi myös kirjata vihkoon tai lapulle. Lista kannattaa tehdä niin, että ulkopuoliselle ei käy ilmi, mihin palveluun mikäkin salasana liittyy.
Netissä surffaillessa salasanan saa jäämään kätevästi selaimen muistiin. Se ei ole aivan riskitöntä, sillä modernit haittaohjelmat osaavat melko hyvin kerätä selaimiin tallennettuja salasanoja. Tämän vuoksi selaimet kannattaa päivittää uusiin versioihin aina kun sellainen tulee tarjolle.
7. Kuinka usein salasana täytyy vaihtaa?
Uusia salasanoja ei kannata tehtailla liian usein. Jos joutuu jatkuvasti pähkäilemään uuden salasanan, saattaa päätyä tekaisemaan helposti arvattavan salasanan tai käyttämään toisessa palvelussa käytössä olevaa salasanaa.
Jos on syytä uskoa, että salasana on vuotanut, se pitää vaihtaa. Niin kannattaa toimia myös, jos sama salasana on käytössä useassa palvelussa tai se ei ole erityisen vahva.
8. Minkä salasanan suhteen kannattaa olla erityisen tarkka?
Sähköposti on yleinen käyttäjätunnus monessa palvelussa, joten sen salasanasta kannattaa tehdä vahva. Unohtuneen salasanan palautuslinkki lähetetään monessa ohjelmassa nimenomaan sähköpostiin, joten siksikin se on hyvä suojata järeästi.
Jos käyttää salasanojen hallintaohjelmaa, jossa kaikkien palveluiden salasanat ovat tallessa, myös sen salasana on syytä laatia ja tallettaa huolella. Kumpaakaan salasanaa ei pidä käyttää missään muussa palvelussa.
9. Mitä jos salasanani on vuotanut?
Omia käyttäjätietoja ei koskaan pidä kertoa kenellekään. Esimerkiksi pankki ja viranomaiset eivät kysy niitä puhelimessa tai verkossa.
Salasanat ovat rikollisille kaupankäynnin valuuttaa, ja niitä kalastellaan esimerkiksi sähköpostitse tai tekstiviesteillä. Kannattaa siis miettiä rauhassa ennen kuin klikkaa saamansa viestin sisältämää linkkiä. Rikolliset yrittävät hankkia salasanoja myös selaintietoja tai näppäimistöjä lukevien haittaohjelmien avulla. Niitä vastaan voi suojautua pitämällä tietokoneen ohjelmat ajan tasalla.
Jos tietovuoto on tapahtunut, poliisille on tehtävä rikosilmoitus.
Lue juttu kokonaan ET-lehdestä 1/23. Tilaajana pääset lukemaan lehden täältä. Jos et ole vielä ET-lehden tilaaja, tutustu digilehdet.fi-palveluun.
Lähteet: Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Olli Hönö, kyberturvallisuuskeskus.fi, f-secure.com, nordpass.com
Tiesitkö?
- Yleisimmät salasanat Suomessa vuonna 2021 olivat 123456, 12345 ja ”salasana”. Viidentenä listalla oli ”perkele”. Helposti murrettavia ovat myös oma nimi, henkilötunnus, ”password” ja ”qwerty” eli näppäimistön ensimmäiset kirjaimet.
- Syöttämällä oman sähköpostiosoitteensa sivustolle haveibeenpwned.com voi tarkistaa, onko ollut osallisena jossakin tunnetussa tietovuodossa.
- Vaikuttaako viesti kalastelulta? Traficomin Kyberturvallisuuskeskukseen voi olla yhteydessä, jos vastaanottaa epäilyttävän viestin. kyberturvallisuuskeskus.fi/fi/ilmoita
