Salasana - Miten nykyään?

Hyvä ja tärkeä aihe @olkitu!

Salasanoihin ei voi kiinnittää liikaa huomiota. Itse ainakin olen laiska keksimään kymmeniin ja kymmeniin palveluihin uusia uniikkeja salasanoja. Pitäisi kyllä. Ja niitä pitäisi myös päivittää. Kaikki vinkit asian tiimoilta on enemmän kuin tervetullutta.

Totta @TeroRe!

Nykyisin on yleistynyt myös esim. Facebook- ja Google-tunnuksella kirjautuminen palveluihin, joka on mielestäni näppärää. Joissakin arkaluontoisissa palveluissa (mm. laina) käytän pelkästään mobiilivarmennetta ja/tai pankkitunnistautumista ja muutamalla sivustolla on käytössä kaksivaiheinen tunnistautuminen.

Aikoinaan loin kryptatun salasanalistan jonka avulla muistin parhaiten. Nykyään käytän F-secure Key -sovellusta tarvittaessa mikäli muisti pettää. Muutamissa paikoissa käytän selaimen salasanan hallintatyökalua jotka eivät ole niinkään tärkeitä kohteita eikä salasanoilla pääse käsiksi muihin palveluihin. Loppujen lopuksi onneksi on olemassa "Unohditko salasanan?" :smileyvery-happy:

@Sekunti muistathan varmistaa että kukaan muu ei voisi käyttää tätä "Unohditko salasanan?" vaihtoehtoa eli suojata hyvin sähköpostinkin. Suurinosa palveluista tukevat tätä kaksivaiheisuutta hyvin mutta tulee muistaa että tekstiviestillä tämä ei välttämättä ole turvallista Suomen ulkopuolella sillä viestithän ovat salaamattomia. Lisäksi niiden saaminen on välillä epäluotettavaa joten suosittelen noihin kertakäyttökoodin generointityökalua kuten Google Authenticator tai Authy.

F-Secure keys on osittain kätevä ja itse testannut mutta harmillisesti on puutteellinen sillä ei sisällä esimerkiksi ryhmittäytymistä. Tarkoitatko salasanalistalla että sinulla 2-5 salasanaa jota kierrätät palveluissa? Vaikka tärkeysasteen mukaisesti?

Itselläni on ollut tapana käyttää erästä lausetta josta muodostan salasanan, käyttäen pieniä/isoja kirjaimia, numeroita sekä erikoismerkkejä. Sitä sitten tarpeen vaatiessa muokataan aina hieman, aina olen muistanut salasanat. Tiedä sitten onko hyvä vai huono ratkaisu.

@tilasto kirjoitti:
Itselläni on ollut tapana käyttää erästä lausetta josta muodostan salasanan, käyttäen pieniä/isoja kirjaimia, numeroita sekä erikoismerkkejä. Sitä sitten tarpeen vaatiessa muokataan aina hieman, aina olen muistanut salasanat. Tiedä sitten onko hyvä vai huono ratkaisu.

Tällaista lausetekniikkaa käytän itsekin ja olen todennut sen hyväksi. Tosin salasanoja on niiin paljon ja erilaisia lauseitakin tarvitaan paljon ja niiden muisteleminen, että missä yhteydessä mikäkin lause oli käytössä, on haasteellista :)

@tilasto käytin itse tuota tapaa vuosi sitten mutta siitä luopunut. Ei kukaan niin typerä ettei osasii vaihtaa yksinkertaisesti yhden merkin Mutta onhan se sekunnin ohitus toki... Siksi en neuvo tässä artikkelissa käyttämään tätä tapaa vaikka onhan se helpoin tapa muistaa. Mieluiten 2-5 salasanaa jota käyttää tärkeimmissä palveluissa missä tietenkin kaksivaiheinen kirjautuminen ja sitten salasana hallintatyökalut muihin palveluihin.

Muuten, muistakaa tarkistaa onko tilinne murrettu täältä: https://haveibeenpwned.com/ ja rekisteröityä sinne niin saatte ilmoituksia uusista vuodoista. Muistakaa jos käytätte samaa salasanaa useammassa palvelussa niin vuoto aiheuttaa että joudutte vaihtamaan salasanoja ja se on yleensä aika kivulias prosessi... Varsinkin kun tilejä alkaa olemaan yleensä todella paljon.

@tilasto tosiaan kaksivaiheinen tunnistautuminen on hidaste mutta voit huoletta laittamaan muistamaan omassa kotikoneella sen. Sen tärkein tehtävä estää kirjautuminen muista tietokoneista jos tunnuksesi murretaan. Näin ollen vaan joudut kerran syöttämään omalla kotikoneella esimerkiksi sen kertakäyttökoodin.

Mutta tietoturva != käytettävyys ei koskaan oikein kohtaa eli jommasta kummasta päästä tulee tinkiä aina.

@jessenic Kyllä se juuri noin että muutaman merkin muutokset eivät konetta pysäytä kun on loput merkeistä selvitetty. Itse suosittelen tosiaan satunnaisesti generoituja salasanoja mutta niiden käyttäminen on useille todellakin vaikea vaihtoehto joten ensisijaisesti kaksivaiheinen tunnistautuminen tuo turvaa.

Salasana hallintatyökalun käyttö kun vaatii jo totuttelua mutta keepass on loistava neuvo. Juuri niin, älä tietenkään kerro miten muodostat salasanasi. Mutta tärkein neuvoni on että se pitää olla sellainen jonka itse muistaa mutta kukaan muu ei :)

Turhaan miettii liian vaikeita sääntöjä kun ei erikoismerkki oikeasti tuo paljon lisäarvoa, esimerkiksi p@ssw0rd? Ei merkitystä... Mutta kaksivaiheinen tunnistautuminen pysäyttää usein jo ja tietenkin siitä ilmoitus jos joku yrittää.

@TeroRe ehkä oli nyt huono esimerkki M!TtiM2eikal@inen nyt voisi olla hyvä esimerkki saada salasanasta paremman kuin alkuperäinen, mutta yleistä sanaa ei nyt silti kannata käyttää pohjana. Puolet merkeistä kuitenkin tunnettuja niin jää ei silläkään pitkätie ole. Eikä missään nimessä mikä liittyy sinuun eli omaa nimeä tai s.postin osaa yms...

Edelleen painioita kaksivaiheista kirjautumista verkkosivustoilla kun se on todella monessa mahdollinen estämään kirjautumisia uusista järjestelmistä. Ja lisäksi salasanan hallintatyökalua kuten Keepass tai F-Secure key. Muistaa että pilveen tallentaessa ne on aina tietomurtajian ykköskohde.

Verkkopankkiin kannattaa laittaa kirjautumisrajoituksiin Suomi sekä käyttörajoituksena Suomi korteilleen niin estää kopioitujen korttien käytön ulkomailla. Sinne ne siirretään kun sielä rahaa ei voi niin hienosti jäljentää ja se on hidasta monen viranomaisketjun kautta. Suomessa saadaan heti selville mistä on maksettu ja jäljitettyä tekijän paljon varmemmin.

olkitu kirjoitti:

@TeroRe ehkä oli nyt huono esimerkki M!TtiM2eikal@inen nyt voisi olla hyvä esimerkki saada salasanasta paremman kuin alkuperäinen, mutta yleistä sanaa ei nyt silti kannata käyttää pohjana. Puolet merkeistä kuitenkin tunnettuja niin jää ei silläkään pitkätie ole. Eikä missään nimessä mikä liittyy sinuun eli omaa nimeä tai s.postin osaa yms...

Salasanan pitäisi olla juurikin joku geneerinen yhdistelmä kirjaimia + numeroita + erikoismerkkejä. Ymmärrän, että jotkut käyttävät salasanan pohjalla jotain ihan oikeaa sanaa, näin se on helppo muistaa.

---

Vaikka asia on vakava niin laitan pienen kevennöksen liittyen siihen kuinka vaikeita nämä salasanahommat ovat. Pongasin joskus memekuvan jossa luki (en postaa tähän sitä kuvaa koska en muista oliko se julkisesti jaossa):

Salasanassa tulee olla vähintään:

 

• 12 merkkiä


• Iso kirjain


• Numero


• Erikoismerkki


• Hieroglyfi


• Joiku


• Kalevalainen runo


• Munakuva ja kolme emojia

Hauska, ja on kyllä niin asian ytimessä :)

Nykyään laitan itelle johonkin ylös salasanat,koska ne on sitten justiis niin vaikeita että vaikka kuinka miettii ja on muistavinaan niin ei.
puhelimen sain totaali lukkoon kun näppäränä tyttönä siihen piirsin ihan helpon kuvion (enkä tietenkään laittanut sitä mihkä muistiin) no oliki sitte niin helppo että joutu pyytää kaverin aukasemaan kännyn,siittä eteepäin en oo piirtäny,käytän vaikeita salasanoja mutta ne on tallessa jos käy vielä samanlailla xD ja kun hätäpäissään laittaa uuden niin täysin mahoton muistaa jotain kauheaa kirjain/numero hässäkkää  

mut siltikään en niitä mistä telkkarissa varotettiin,0000,1234,syntymäaika,lemmikin nimi,eka auto jne jne tai sitten vaan salasana xD 

TrueCryptillä luotu pieni salattu taltio salasanoja varten on toiminut monta vuotta täysin moitteetta. Taltiota ei pidetä jatkuvasti avoimena, vaan pelkästään silloin kun tarvitaan. Tarvitsee vain muistaa kyseisen taltion salasana, joka voi olla vaikka niinkin simppeli kuin "abc123" jos käyttää vielä lisänä avaintiedostoa, jolloin salasanan murtaminen ilman avaintiedostoa on yhtä vaikeaa riippumatta salasanan pituudesta. Avaintiedostonahan voi käyttää vaikka satunnaista valokuvaa kymmenien tuhansien joukosta, jolloin ulkopuolinen ei osaa mistään arvata sen olevan avaintiedosto.

Sitten jos vielä vetäisee koko käyttöjärjestelmälevyn salatuksi ja opettelee lukitsemaan tietokoneen siitä poistuttaessa, uskaltaa myös selaimen muistiin tallentaa koko joukon salasanoja, ei toki mitään raha-asioihin liittyviä mutta kaikenlaisia muita, esimerkiksi tänne foorumille.