Yhteiskunta
Kansainvälinen salasanapäivä: 10 hauskaa ja yllättävää faktaa salasanoista
Kansainvälistä salasanapäivää on vietetty vuodesta 2013 lähtien aina toukokuun ensimmäisenä torstaina. Listafriikki päätti tehdä vähän humoristisenkin faktapaketin salasanoista, mutta haluamme samalla muistuttaa vahvojen salasanojen tärkeydestä.
Idea koko maailman yhteiseen salasanapäivään tuli ensimmäisenä turvallisuusasiantuntija Mark Burnettilta, joka on kirjoittanut vuonna 2005 julkaistun Perfect Passwords -kirjan. Kirjassa annetaan ohjeita vahvan salasanan luomiseen ja vaikka osittain vaatimukset tarpeeksi turvallisen salasanan luomiselle ovat kasvaneet, on pointti selvä: salasanan on oltava tarpeeksi pitkä ja monimutkainen! Se tarkoittaa sitä, että vahvoja salasanoja on täysin mahdoton muistaa; varsinkin, kun niitä on syytä vaihtaa säännöllisesti.
”Juhli” siis kansainvälistä salasanapäivää päivittämällä kaikkien kymmenien tiliesi kirjautumistiedot ja muista käyttää jokaiseen eri salasanaa!
Mutta nyt mennään niihin yllättäviin ja osittain koomisiin salasanafaktoihin.
Huolestuttavat tilastot
Verizon-tietoliikenneyritys julkaisee vuosittain raportin, jossa esitellään dataa tutkituista tietomurroista. Vuoden 2019 raportista käy ilmi, että 80 prosenttia kaikista mahdollisista tietomurroista on yhteydessä heikkoihin ja kierrätettyihin salasanoihin – kaksi vuotta aiemmin ilmestyneessä raportissa osuus oli 81 %, joten kylmäävästä faktasta huolimatta ihmiset eivät ole ottaneet opikseen.
Kaikki myös tietävät varsin hyvin, että salasanoja täytyy vaihtaa säännöllisesti, mutta keskimääräinen vaihtoväli on noin kolme vuotta. Kauanko sinulla on ollut sama salasana? Keneltäkään ei ole myöskään voinut mennä ohi suositus, jonka mukaan salasanoja ei saisi kierrättää – siitäkin huolimatta 66 prosenttia ihmisistä käyttää yhtä tai kahta salasanaa kaikilla tileillään.
Vaikka siis koko ajan osataan rakentaa tehokkaampia hakkerointikoneita ja -ohjelmia, on vahva salasana se tärkein este tietomurroille. Me vain itse teemme hakkereiden työstä helppoa!
Tapaus Nutella
Today it’s World Password Day: choose a word that’s already in your heart. Like ”Nutella”, for example! #WorldPasswordDay #Nutella pic.twitter.com/Q9EERc6244
— Nutella (@NutellaGlobal) May 3, 2018
Vuonna 2018 elintarvikevalmistaja Nutella julkaisi kansainvälisen salasanapäivän kunniaksi ehkä maailman surkeimman vinkin salasanojen luomiseen. Suklaalevitteistä parhaiten tunnettu Nutella julkaisi twiitin, jossa haluttiin tiedottaa tärkeästä päivästä, mutta samalla tietenkin markkinoida omaa tuotetta: ”Tänään on kansainvälinen salasanapäivä: Valitse sana, joka on jo lähellä sydäntäsi. Kuten esimerkiksi ”Nutella”!”. Lisäksi twiitissä vinkattiin, että ”Nutellaa todella rakastava ei koskaan unohda salasanaansa.”.
Ei näin!!! Vaikka markkinointitempauksena idea on kekseliäs ja hauska, ei se sovi lainkaan mainostamaan päivää, jolloin on tarkoitus kiinnittää huomiota tietoturvaan.
Paljon huonompaa ohjetta saa etsiä, sillä yli 613 miljoonaa tietomurroissa paljastunutta salasanaa sisältävän Pwned Passwords -tietokannan mukaan nutella on esiintynyt vuodoissa yli 20 000 kertaa. Nutella taitaa siis olla aika monen sydäntä lähellä!? Korkean esiintymisluvun vuoksi se on varmasti mukana väsytyshyökkäyksiä tekevien hakkereiden sanakirjoissa. Väsytyshyökkäys on sellainen, jossa kokeillaan järjestelmällisesti lukematon määrä erilaisia sanoja tai merkkiyhdistelmiä oikean salasanan löytämiseksi; hyökkäys tehdään tietenkin tietokoneella ja siihen suunnitellulla ohjelmalla.
Lemmikin nimi on suuri virhe
Salasanoja on tutkittu todella paljon ottaen huomioon, että niiden pitäisi olla salaisia. Lukuisat tietomurrot tarjoavat tutkijoille jatkuvasti aineistoa, josta selviää mielenkiintoisia ja samalla huolestuttavia asioita: tietoturvasta ei juuri välitetä. Toisaalta noin on hieman virheellistä sanoa, koska erään tutkimuksen mukaan 91 prosenttia ihmisistä ymmärtää salasanojen kierrättämiseen liittyvät riski ja ovat huolestuneita omien tilien salasanojen päätymisestä vääriin käsiin, mutta samaan aikaan 59 prosenttia tuosta joukosta myöntää käyttävänsä yhtä ja samaa salasanaa vuosien ajan kaikkialla.
Salasanojen palauttamiseenkin käytettävä Passware-ohjelma on julkaissut hauskoja tietoiskuja salasanoista, joita heitä on pyydetty palauttamaan. Yksi niistä liittyy nimiin, joita uskomattoman moni käyttää salasanoissaan – tunnetko iskun sydämessäsi tai paremminkin kyberiskun sähköpostitililläsi? Läheisten nimet ovat niitä kaikkein suosituimpia.
Passwaren datan mukaan ihmiset käyttävät kolme kertaa todennäköisemmin lemmikkinsä kuin perheenjäsenensä nimeä. Joten jos julistat ympäriinsä rakkauttasi karvaista kaveria kohtaan, ei ehkä kannata käyttää sen nimeä salasanoissa.
FBI:n etsintäkuuluttama hakkeri käytti salasananaan kissansa nimeä
Vuonna 2013 yhdysvaltalainen Jeremy Hammond tuomittiin 10 vuodeksi liittovaltion vankilaan osallisuudestaan lukuisiin tietomurtoihin. Hän ehti ”päästä” FBI:n etsityimpien kyberrikollisten listalle ennen kiinniottoa.
Kyberhyökkäyksiä, joissa Hammond oli osallisena, kohdistettiin yksityisiin vartiointiliikkeisiin ja eri lainvalvontaelimiin sekä tuhansiin viattomiin siviileihin. Hammond on myös paljastanut hakkeroineensa kymmeniä Yhdysvaltain hallinnon nettisivuja tarkoituksenaan ”paljastaa epäoikeudenmukaisuuksia”.
Voisi kuvitella, että tällainen henkilö suojaisi omat tietonsa ja tilinsä kyberhyökkäyksiltä, mutta ei Jeremy Hammond. Hakkeri kertoi Associated Press -uutistoimistolle, että hänen läppärinsä salasana oli aivan liian heikko.
Hammond ei haastattelua antaessaan ollut aivan varma, miten liittovaltion poliisi oli onnistunut ohittamaan hänen salausjärjestelmänsä ja pääsemään käsiksi raskauttavaan todistusaineistoon, mutta epäili yhdeksi syyksi nimenomaan salasanaansa, joka oli hänen lemmikkikissansa nimi ja yleisin kolmen numeron jono: Chewy123.
Hammond vapautui marraskuussa 2020.
Ihminen on liian kaavoihin kangistunut
Salasanojen hakkerointi on asiansa osaaville ja oikeat välineet omaaville suhteellisen helppoa; siitä kertovat tietomurtojen suuret määrät. Hakkerien tietotaito ja saatavilla oleva teknologia kehittyy koko ajan ja samaan aikaan me yksityisyyttämme ja tietojamme suojata haluavat olemme aivan liian ennalta-arvattavia.
Tietoturva-asiantuntija Roger Grimesin mukaan nämä kaikki kohta mainittavat asiat ovat sellaisia, joilla iso osa ihmisten salasanoista, tai ainakin osia niistä, on helppo arvata.
Kun tiliä luodessa pyydetään tekemään numeron sisältävä salasana, on tuo numero todennäköisesti 1 tai 2. Numero on myös yleisimmin salasanan lopussa.
Jos salasanassa on iso kirjain, on se yleensä ensimmäisenä. Ensimmäinen kirjain on useimmiten konsonantti ja seuraava on vokaali. Useimmiten salasanat koostuvat niistä sanoista, joita me muutenkin käytämme, joten salasanojen ei pitäisi merkitä mitään; niitä ei saisi löytyä sanakirjasta.
Sukupuolten välillä on eroa salasanojen luomisessa ja vaikka nämä saattavat kuulostaa lokeroivilta stereotypioilta, on aiheesta valitettavan paljon dataa. Tässäkin olemme hyvin ennalta-arvattavia, sillä naiset käyttävät enemmän läheisten nimiä; olivat ne sitten lasten, puolison tai lemmikkien. Miehillä salasanoissa vilisevät urheiluun liittyvät termit ja usein suosikkijoukkueet. Jos miehen salasanassa on nimi, on se yleensä oma tai jonkun suosikkipelaajan.
Grimesin mukaan kyberhyökkäyksiä tekevät tietävät myös sen, mitä yleisimmät symbolit ovat: !, #, %, & ja ?. Valuuttamerkit ovat myös top kymmenessä, ne vain vaihtelevat henkilön asuinpaikan mukaan.
Minkälaisia salasanoja suomalaiset käyttävät?
Suomalaisten eniten käyttämiä salasanoja on selvittänyt hyväntahtoinen hakkeri Jarkko Vesiluoma, joka on käynyt laajasta kansainvälisestä aineistosta läpi kotimaiset suosikit. Valkohattuhakkeriksi nimitetty Vesiluoma käyttää taitojaan tietoturvan kehittämiseen eli tavallaan taistelee kollegoitaan vastaan.
Suomalaisten top 5 -salasanat ovat järjestyksessä salasana, 123456, perkele, qwerty ja 12345. Muutenkin sadan suosituimman joukossa erottuu muutama ryhmä: lukujonot ja nimet. Kotimaisia urheiluseuroja löytyy myös ja korkeilla sijoilla on koko joukko kirosanoja ja ruumiineritteitä. Tietynlainen kotimaisuus on selvästi näkyvissä, mutta jos sähköpostiisi pääsee koodilla kakka tai paska, niin et ole keksinyt universumin uniikeinta salasanaa.
Yleisesti ottaen voidaan sanoa, että suosituimmat salasanat ovat hyvin samanlaisia joka puolella, sillä maailmanlaajuisesti 23,3 miljoonaa ihmistä käyttää salasananaan 123456. Sen jälkeen yleisimmät ovat Password, 12345678, qwerty, 123456789. Ja jos mietit, että mikä ihmeen qwerty, niin vilkaise näppäimistöäsi.
Ethän sinä ole yksi näitä salasanoja käyttävistä!?
Yhdysvaltain ydinohjusten laukaisukoodi oli 00000000
Jopa kahden vuosikymmenen ajan Yhdysvaltain mannertenvälisten ballististen Minuteman-ohjusten (kuvassa) laukaisukoodi oli 00000000. Tuo salainen, tai ei-niin-salainen, koodi oli kaikkien tukikohdan työntekijöiden tiedossa. Ohjukset olivat ydinkärjillä varustettuja.
Eli kerrataan vielä: Kun kylmä sota kävi kuumimmillaan ja ydinsodan uhka leijui ilmassa, oli Yhdysvaltain ydinaseiden laukaisukoodi kahdeksan nollaa. Tämä tuli esille vuonna 2004 julkaistussa Center for Defense Information -lehden artikkelissa, jonka oli kirjoittanut tukikohdassa työskennellyt Bruce Blair. Hän oli ollut yksi mahdollisesta laukaisusta vastanneista sotilaista.
Blairin mukaan ydinaseisiin lisättiin vuonna 1962 laukaisukoodi sen vuoksi, ettei kukaan pääsisi aloittamaan ydinsotaa vahingossa tai luvatta. Blair paljasti kuitenkin, että kaikki tiesivät, mikä koodi oli. Hänen mukaansa suojaus ei kuitenkaan ollut aivan niin yksinkertainen, sillä ydinaseiden käyttöön ja laukaisuun liittyi monta vaihetta: se ei onneksi onnistu vain nappia painamalla, vaikka sitä samaa nappia painaisi kahdeksan kertaa.
Noin yksinkertainen laukaisukoodi vaikuttaa silkalta tyhmyydeltä, mutta sille oli tarkoituksensa. Vaikka koodi luotiin alunperin suojaamaan virheelliseltä laukaisulta, oltiin puolustusvoimien johdossa enemmän huolissaan siitä, että tarkat turvatoimet saattaisivat haitata ja hidastaa määräysten toimeenpanoa. Kun Blair eläköityi ilmavoimista vuonna 1977, ei koodia oltu edelleenkään vaihdettu.
Asiaa voi toki katsoa toisestakin näkökulmasta: oliko tuo kahdeksan nollan koodi maailman nerokkain salasana? Kuka oikeasti ikipäivänä olisi arvannut, että ydinaseiden laukaisukoodi olisi noin yksinkertainen!?
Jos säilytät salasanoja ”piilossa”: Älä!
Olet varmasti kuullut sanottavan, että salasanoja ei koskaan, ikinä tai missään tilanteessa tule säilyttää johonkin kirjoitettuna. Silti ihmiset tekevät niin ja luulevat kätkevänsä salasanansa uniikkiin piilopaikkaan. Ellei tuo piilo ole jääkaapissa maitopurkkien välissä, osaavat tietomurtoihin perehtyneet varkaat katsoa juuri sieltä ”varmasta piilosta”.
Mitkä sitten ovat niitä kehnoja, mutta niin kovin suosittuja piilopaikkoja? Yksi yleisimmistä neronleimauksista on kirjoittaa salasanoja lapulle ja ”piilottaa” paperi tietokoneen näppäimistön alle. Tuollaista lappua ei myöskään kannata kätkeä työpöydän laatikon perälle. Salasanoja ei missään nimessä pidä kirjoittaa mukana kulkevaan tai työpöydällä olevaan kalenteriin, eikä varsinkaan muistikirjaan, jonka kannessa lukee ”salasanoja”. Nämä ovat hyvin yleisiä ja äärimmäisen huonoja tapoja, joihin varmasti moni tätäkin tekstiä lukeva on syyllistynyt. Miten on!?
Kuinka salasanat sitten on mahdollista muistaa? No, ei mitenkään – ellei omaa harvinaista valokuvamuistia.
Käytä sen sijaan jotain salasanojen hallintaohjelmaa (vpnMentor-sivustolla on esitelty useita hyviä vaihtoehtoja). Tällainen ohjelma suojaa salasanat ja varmistaa niiden käytön turvallisesti. Monet ohjelmat myös tarjoavat kaksinkertaista tunnistautumista ja seuraavat tietovuotoja, millä ne pitävät huolen siitä, että käyttäjä saa tiedon mahdollisesta tietojen paljastumisesta.
Työpaikoilla vasta löysäilläänkin
Tietoturvayritys CyberArk teki vuonna 2016 tutkimuksen, jossa selvitettiin yritysten ja järjestöjen tietoturvakäytäntöjä yksittäisten käyttäjien tasolla. Vaikka tutkimuksesta on kulunut jo viisi vuotta, ovat tilastot tuskin yhtään paremmat – perustan näkemyksen kaikelle sille, mitä tällä listalla on jo käsitelty.
CyberArkin mukaan 40 prosenttia mukana olleista yrityksistä ja instituutioista säilytti luottamuksellisia salasanojaan listattuina Word-tiedostoissa. Jos tietokoneesi työpöydällä on salasanat-nimen omaava kansio, on se hakkerille kuin kutsu käydä tietoihin käsiksi. Suosittu tapa säilyttää salasanaa on kirjoittaa se muistilapulle, joka on helppo kiinnittää työkoneen näytön reunaan.
Yleisesti ihmiset suojaavat henkilökohtaiset tilinsä ja tiedostonsa paremmin kuin töihin liittyvät, mutta silti 73 prosenttia ihmisistä käyttää samaa salasanaa omilla ja työtileillään. Kun työnantaja pyytää turvallisuussyistä päivittämään salasanoja, on muutos usein vain yhden merkin vaihto tai numeron lisääminen loppuun. Kaikki varmaan arvaavatkin, mikä tuo lisätty numero on – ykkönenpä tietenkin.
Työpaikoilla on myös hyvin yleistä jakaa salasanoja. Tästä yksi hyvä esimerkki on Yhdysvaltain keskustiedustelupalvelu CIA:lle ja kansalliselle turvallisuuspalvelulle NSA:lle työskennellyt, tietovuotajana tunnetuksi tullut Edward Snowden, joka sai 25 kollegansa salasanat yksinkertaisesti vain pyytämällä niitä.
Passware, jo aiemmin mainittu salasanojen palautuspalvelu, on paljastanut, että yllättävän monet tärkeät ja luottamukselliset liiketoimintaan liittyvät tiedostot on salattu romanttisilla salasanoilla. Ehkäpä yritysjohtajat ajattelevat, että hakkerit eivät osaisi arvata hempeilyn liittyvän bisnessalaisuuksiin, mutta jälleen kerran: ihminen on ennalta-arvattava. Passware on useampaan otteeseen palauttanut yrityksille sellaisia salasanoja kuin eternity, marryme ja Love, jonka jälkeen tulee käyttäjän mielitietyn nimi.
Miten luoda vahva salasana?
Vaihtoehtojahan on pilvin pimein; ei muuta kuin mielivaltaisesti näpyttelemään kirjaimia, numeroita ja merkkejä näppäimistöllä. Kätevämpi tapa on käyttää salasanageneraattoria, joka tekee halutun mittaisia ja täysin sattumanvaraisia salasanoja. Näin ei tarvitse vaivata päätään miettimällä hankalia yhdistelmiä.
Vielä muutamia vuosia sitten suositeltiin käyttämään kahdeksaa merkkiä, jotta tuloksena olisi tarpeeksi vahva salasana. Nykyisin tuo suositus on 13. Kahdeksan merkkiä ratkeaa hakkereiden käsissä muutamassa tunnissa; 13 vaatii jo paljon enemmän työtä ja aikaa, puhutaan jo useista vuosista. Nyrkkisääntönä voisi pitää sitä, että mitä pidempi, sen parempi! Muutamankin merkin lisääminen ja numeroiden ja symbolien käyttäminen nostaa mahdollisten yhdistelmien määrää huomattavasti.
Jos salasanojaan haluaa muistaa ilman lappuja tai hallintaohjelmia, voi niitä luoda turvallisesti muun muassa ottamalla jostain lauseesta alkukirjaimet ja heittelemällä joukkoon vielä summan mutikassa symboleita ja numeroita. Tällä menetelmällä on tärkeää, että keksitty lause pysyy viisi minuuttia kauemmin mielessä. Äskeisestä lauseesta muodostui: tMoT,eKlP5mKm, mutta siinäkin on liikaa loogisuutta, sillä isot ja pienet kirjaimet vuorottelevat säännönmukaisesti.
Lue myös:
- Tietosuoja puhuttaa: tässä historian 10 pahinta tietovuotoa!
- 10 kertaa, kun Internet auttoi ratkaisemaan rikosmysteerin
🤷♀️ Kerro kommenttikentissä ⬇️⬇️ tai somekanavissamme, lähtevätkö salasanat tällä sekunnilla vaihtoon. Vai oletko kenties harvinainen poikkeus ja pidät hyvää huolta tietoturvasta?