MVnet logo

Blogi » Miten luon ja käytän salasanoja turvallisesti?

  • Julkaistu 25. Maaliskuuta 2010
  • Kirjoittanut: Mikko Vestola
  • 5 kommenttia

Uutinen Älypää-sivuston 127 000 suomalaisen käyttäjätietojen vuotamisesta nettiin on toivottavasti herättänyt ihmiset miettimään omien salasanojensa turvallisuutta. Hyvin vastaavanlainen tietomurtohan tapahtui myös muutama vuosi sitten, kun noin 80 000 suomalaisen käyttäjätiedot vuotivat nettiin. Eikö nyt olisi viimeistään aika pistää salasanat uusiksi?

Samojen salasanojen käyttäminen useassa verkkopalvelussa on iso tietoturvariski. Se, että salasanat oli tallennettu Älypää-sivuston järjestelmään selväkielisinä osoittaa melkoista piittaamattomuutta tietoturvaa kohtaan järjestelmän ylläpitäjiltä. Tavallinen käyttäjä aika harvoin tietää, miten turvallisesti eri palvelut käyttäjätietoja tallentavat. Toisessa palvelussa salasanat saatetaan tallennetaa kryptattuina, mutta jossain toisessa ne ovatkin selväkielisinä. Murtautuminen heikommin suojattuun palveluun saattaa toisenkin palvelun salasanan muiden tietoon. Siksi eri palveluissa pitäisikin käyttää eri salasanoja, vaikka käytetty salasana olisikin turvallinen.

Mutta mikä neuvoksi, kun eri salasanoja alkaa olla kymmeniä tai jopa satoja? Jo turvallisten salasanojen keksiminen on vaikeaa saati sitten niiden muistaminen. Salasanojen säilyttäminen selväkielisinä esim. Excel-tiedostossa tai paperilla ei ole kovin turvallista.

Pidemmän päälle helpointa ja turvallisinta onkin yksinkertaisesti luopua muistamasta kaikkia salasanoja. Periaate on, että muistat vain yhden turvallisen pääsalasanan, jolla pääset käsiksi muihin salasanoihin, jotka on luotu täysin satunnaisesti. Ihminen ei vain voi muistaa niitä kaikkia eri palvelujen salasanoja, jos salasanat ovat turvallisia. Pyrkiminen kaikkien eri palvelujen salasanojen muistamiseen saattaa johtaa siihen, että keksitään heikkoja salasanoja, jotka on helppo arvata. Lisäksi salasanoja pitäisi aina muuttaa aika ajoin, joka edelleen vaikeuttaa muistamista.

KeePassX logo

Onneksi salasanojen luomista ja säilyttämistä varten on kehitelty erilaisia ohjelmia, joista tässä esitellään ohjelma nimeltä KeePassX (pohjautuu KeePass-ohjelmaan). Kyseinen ohjelma on ilmainen ja saatavilla lähes kaikille alustoille (mm. Windows, Linux, OS X ja jopa kännykkään). Ohjelmaa ei tarvitse asentaa vaan sen voi esim. kopioida muistitikulle ja ajaa sitä sieltä. Siksi se sopii myös työpaikan koneisiin, joihin harvemmin saa mitään itse asennella.

KeePassX:n avulla ei tarvitse muistaa kuin yksi turvallinen pääsalasana, jonka syöttämällä ohjelma avaa varsinaisen salasanatietokannan (yksittäinen salattu tiedosto), johon muut salasanat tallennetaan salatussa muodossa. Itse olen käyttänyt tätä ohjelmaa jo pitkään, enkä edes yritä muistaa lukuisia salasanojani, joita on jo varmaan lähemmäs sata. KeePassX generoi minulle täysin satunnaiset salasanat, jolloin yhdessäkään palvelussa ei ole samoja salasanoja. Lisäksi ohjelma auttaa muistamaan, mihin kaikkiin palveluihin olen rekisteröitynyt, jolloin kaikki salasanat on helppo vaihtaa vaikka parin vuoden välein.

Alla lueteltu KeePassX:n oleellisimmat ominaisuudet:

  • Salasanan lisäksi ohjelma tallentaa tietueisiin käyttäjätunnuksen, URL-osoitteen ja muita kommentteja.
  • Salasanat voi järjestellä kategorioihin (esim. työ, koti, pankki)
  • Salasanoja voi hakea esim. käyttäjätunnuksen tai URL-osoitteen perusteella.
  • Salasanojen generointi. Ohjelma osaa luoda turvallisen, täysin satunnaisen salasanan. Käyttäjä voi määritellä, että salasana pitää olla äännettävissä (esim. ajpawfyaik) tai täysin satunnainen (esim. j:RTTE;w0n)
  • Salasanatietokanta lukkiutuu automaattisesti määritellyn ajan kuluessa, jos se on käyttämättömänä (esim. 10 min.). Tällöin kukaan ei pääse salasanoihin käsiksi vaikka unohtaisitkin ohjelman hetkeksi auki.
  • Salasanan voi kopioida ohjelmasta leikepöydälle ilman että kukaan olan yli kurkkija saa sitä selville (eikä salasana jää kummittelemaan leikepöydälle koska ohjelma tyhjentää sen automaattisesti esim. 20 sekunnin päästä).
  • Salasanatietokanta on täysin käyttöjärjestelmäriippumaton. Salasanatietokannan voi suoraan kopioida tiedostona toisiin koneisiin tai kännykkään, jolloin salasanat saa auki myös muiden käyttöjärjestelmien koneella, kunhan niihin on vain saatavilla KeePassX-ohjelma. Tietokanta-tiedoston joutuminen vääriin käsiin ei haittaa, koska se on hyvin tehokkaasti salattu (olettaen että pääsalasana on riittävän vaikeasti arvattava).
  • Pääsalasanan voi halutessaan korvata avaintiedostolla, joka avaa salasanatietokannan. Tällöin ei tarvitse muistaa edes pääsalasanaa, mutta mukana pitää olla aina avaintiedosto (jota ei missään tapauksessa saa päästää vääriin käsiin). Itse käytän muiden salasanojen salaamiseksi pelkästään pääsalasanaa, koska se yksinään takaa jo riittävän turvan ja on muistissa vain omassa päässäni. Sen sijaan avaintiedoston voi aina fyysisesti varastaa.

Suosittelen ehdottomasti tutustumaan KeePassX:ään. Ei enää ongelmia salasanojen keksimisessä tai niiden muistamisessa. Muistat vain keksiä riittävän turvallisen pääsalasanan, jota et kirjoita mihinkään sellaisenaan ylös.

PS. Tämä oli pitkästä aikaa uusi blogikirjoitus tähän blogiin. Blogi ei ole täysin kuollut, vaikka viime aikoina onkin ollut hyvin hiljaista. Uusia juttuja tulee aina silloin tällöin kun on jotain mielenkiintoista kerrottavaa.