Blogi: Salasanan uudet standardit

07.03.18 Esseen kirjoittaja: Riku Mäki
Kirjapisteet: 1
Kirja: Salasanan uudet standardit
Kirjan kirjoittaja: Vänskä, O. Tamminen, T.
Kategoriat: ICT-yrittäjyys

Blogi: Salasanan uudet standardit

Yhdysvaltalainen National Institute of Standards and Technology (NIST) kohautti taannoin uusilla ja entiseen nähden poikkeavilla salasanaohjeistuksilla. NIST on yhdysvaltalainen kauppaministeriön alainen virasto, jonka tehtävänä on kehittää ja edistää mittaustekniikoita, standardeja ja tekniikkaa. Virasto työllistää yhteensä 2 900 tieteilijää, insinööriä, teknikkoa ja tuki- sekä johtohenkilöä.

Yllättävän asiasta tekee se, että Yhdysvaltain viranomaiset ovat ottaneet ohjeistuksen johdosta todella nopean täyskäännöksen salasanasuosituksissaan. Uudet ohjeet hylkäävät vaatimukset esimerkiksi perinteisestä väittämästä, joiden mukaan salasanan tulee olla monimutkainen ja vanhentua muutaman kuukauden välein. Vastaava käytäntö on käytössä esimerkiksi Tampereen ammattikorkeakoulussa sekä yhtäältä myös julkisella sektorilla ja monissa yrityksissä. Kyseessä on siis varsin laajamittainen toimintamalli.

National Institute of Standards and Technologyn mukaan uudet suositukset ovatkin useilta osin täysin päinvastaiset kuin mitä aiemmin on ohjeistettu. Uusista ohjeistuksista kolme suositusta nousee erityisen vahvasti esiin:

  • Organisaatioiden tulisi luopua monimutkaisista salasanavaatimuksista. Käytännössä tämä tarkoittaa sitä, että tyypillisesti salasanoissa vaaditaan isoja kirjaimia, numeroita ja erikoismerkkejä. National Institute of Standards and Technologyn mukaan ne tekevät salasanoista kuitenkin vain hankalia muistaa ja lisäävät virheitä ilman, että ne parantavat todellista tietoturvaa. Räikeimmissä tapauksissa monimutkainen salasana kirjoitetaan paperilapulle ja piilotetaan näppäimistön alle ”piiloon”. Esimerkki uuden salasana käyttämiseen: ”Sal4sa-nA” sijaan tulisi käyttää esimerkiksi salasanaa ”oranssipupulensijokeen”.
  • Viranomaisten mukaan tulisi myös luopua salasanan uusimisesta muutaman kuukauden välein. Salasanan uusimista ei pitäisi vaatia käyttäjiltä, ellei ole epäilyä tietomurrosta.
  • Käyttäjien tulisi voida käyttää salasananhallintaohjelmistoja. Tällaisia ovat esimerkiksi KeePass ja LastPass. Käytännössä ne ovat ohjelmistoja, jotka luovat jokaiseen paikkaan erillisen salasanan ja samalla säilövät ne ohjelmiston muistiin. Ohjelmiston käyttö vaatii yhden salasanan, jonka avulla pääset kirjautumaan ohjelmistoon ja pääset käsiksi koko salasanakirjastoon.

Loppuun vielä kuriositeettina TOP 10 -lista niistä salasanoista, joilla tietoturvavarkaat hurjastelivat 2017 internetin valtatiellä. Suluissa on edeltävän vuoden sijoitus.

1. 123456 (1)
2. password (2)
3. 12345678 (4)
4. qwerty (6)
5. 12345 (3)
6. 123456789 (uusi)
7. letmein (uusi)
8. 1234567 (8)
9. football (5)
10. iloveyou (uusi)

Toivottavasti käytössäsi ei ole mikään edellä mainituista.

 

Lähteet

Vänskä, O. 2017. Suositukset muuttuvat: Tällainen on hyvä salasana vuonna 2017.

Tamminen, T. 2017. Ethän sortunut? Tässä on vuoden surkeimpien salasanojen TOP10.

 

Julkaistu

https://pieceoftotal.blogspot.com/2018/03/salasanan-uudet-standardit.html

VN:F [1.9.22_1171]
Rating: 5.0/5 (4 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)
Blogi: Salasanan uudet standardit, 5.0 out of 5 based on 4 ratings

Keskustele artikkelista

Kirjoita kommentti

Kirjoita allaoleva koodi viereiseen kenttään roskapostin suodattamiseksi, kiitos!