”Salasanasi on liian yksinkertainen ja muut saattavat arvata sen helposti. Keksi parempi salasana ja yritä uudestaan.” Joku tämän kaltainen sanomateksti saattaa tulla ruudullesi, kun seuraavan kerran olet vaihtamassa salasanaasi johonkin palveluun tai järjestelmään.

Olemme saaneet lukea useastikin kuinka hakkerit ovat murtautuneet milloin mihinkin palveluun ja kaapanneet käyttäjien salasanat. Jotkin ryökäleet ovat vielä julkaisseet niitä nettiin jakoon kaikkien ihmeteltäväksi. Viimeisimpiä tapahtumia tällä sektorilla on LinkedIn-palvelusta vuonna 2012 varastetut 117 miljoonaa salasanaa, joita nyttemmin on vuotanut julkisuuteen. Sekin tiedetään, että yleisimpien salasanojen listan kärkipaikoista kamppailevat ’qwerty’, ’password’ ja ’12345’.

Mitä tekee Microsoft?

Microsoftin Active Directory tiimi ilmoitti alkuviikosta ryhtyneensä toimenpiteisiin estääkseen käyttäjiä määrittelemästä itselleen liian yksinkertaisia ja sen johdosta helposti arvattavia salasanoja. Tämä koskee siis Azure Active Directoryn ja Microsoft Account Servicen käyttäjiä. Jälkimmäisiä on kuulkaa meissä kuluttajissakin tuhansia ja tuhansia. Nimittäin Hotmailin, Skypen, Xbox Liven, OneDriven ja muidenkin Microsoft-tiliä käyttävien palveluiden käyttäjiä on paljon. Näitä käyttäjiä saattaa kohdata yllätys, kun vaihtavat seuraavan kerran salasanaansa. Palvelu saattaa alkaa valittamaan liian huonosta salasanasta ja näin ollen estää sen käyttöönoton.

Toimiiko oikeasti?

Suomalainen ei kokeilematta usko. Kokeilin muuttaa erään Microsoft-tilin mukaisen entisen Hotmailin, nykyisen Outlook.com-sähköpostin käyttäjätilin salasanaa. Uusi salasana on jopa pitempi kuin vanha, mutta silti kävi kuvan osoittamalla tavalla:

SimplePassword

 

 

 

 

 

 

 

 

 

 

 

Ei kelvannut entistä salasanaa pitempi uusi salasana. Heti uuden salasanaehdokkaan kirjoittamisen jälkeen kentästä pois siirryttäessä tuli välitön ilmoitus kelvottomasta salasanasta. (Punainen teksti kentän alla nuolen osoittamassa kohdassa.) Tästä ikkunasta ei siis pääse eteenpäin ennen kuin keksii riittävän monimutkaisen salasanaehdokkaan ja kirjoittaa sen vielä toistamiseen uudelleen. Tämä siis on toimiva palvelu.

Onko salasanani kuinka vaikeasti arvattavissa?

Riittävän vaikeasti arvattavaa ja hakkeroitavissa olevaa salasanaa asettaessaan sitä ihminen miettii, että onko tämä uusi salasanani riittävän monimutkainen. Tämän selvittämiseksi internetistä löytyy erilaisia laskureita, jotka suuntaa-antavasti analysoivat salasanasi murrettavuuden.

VAROITUS: Jos käytät tällaisia palveluita, niin älä milloinkaan testaa niillä salasanaa, jota käytät paraikaa jossakin järjestelmässä tai jota aiot ryhtyä käyttämään salasanan vaihdon jälkeen. Tällaisilla uskaltaa testata vain niitä salasanoja, joita et enää käytä minkään tunnistautumisen yhteydessä.

Katsotaanpa vaikka palvelua https://howsecureismypassword.net/. Salasana, jonka pituus on 16 merkkiä ja jossa on isoja sekä pieniä kirjaimia, numeroita ja erikoismerkkejä on, laskennallisen mallin mukaan murrettavissa yhden tietokoneen laskentatehoa käytettäessä noin triljoonan vuoden kuluessa.

SecurePassword

 

 

 

 

 

 

Salasanat salalauseiksi

Oletko miettinyt koskaan, että muuttaisin yhden sanan mittaisen sanan vaikkapa kolmen sanan mittaiseksi salalauseeksi? Monesti muutaman sanan mittainen lausahdus on helpompi palauttaa mieleen kuin yksittäinen sana. Jos ostat konsertteihin ja urheilukilpailujen lippuja, niin miltä kuulostaisi lippukaupan käyttäjätunnuksen salasanaksi seuraava:

liputostetaantäältä

Tämä on helppo muistaa asiayhteytensä (lippukauppa) kautta. Sitten voit käyttää erikokoisia kirjaimia ja erikoismerkkejä. Lisäksi voit luoda säännön, että toinen konsonantti ja toiseksi viimeinen konsonantti ovat suuraakkosia, ensimmäinen i on korvattu huutomerkillä, o-kirjaimet ovat nollia, a-kirjaimet nelosia ja s-kirjaimen korvaat $-merkillä. Näin ollen salasana onkin muotoa:

l1Put0$tet44ntäälTä

Testataan tämä salasana vielä https://howsecureismypassword.net/ palvelussa. Nyt salasanan laskennallinen oikeinarvausaika pitenee jo kahteen septiljoonaan vuoteen. Tällä kyllä pärjätään. Ainakin siihen asti kunnes saadaan laajaan käyttöön paremmat ja käyttäjälle helpommat tunnistusmenetelmät kuten kasvotunnistus.

SecurePassword2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

PS. Arvaatko minkä salasanan yritin vaihtaa ylemmässä kuvassa käytetylle Microsoft-tilille?