Salasanat ja näennäinen turvallisuus

Tiedätkö sinä lukijani millainen on hyvä salasana? Väitän että suurin osa ei tiedä ja puhutaampa salasanoista hieman. Nykytrendi on vaatia ihmisiä muistamaan hankalia salasanoja, eikä vain pitkiä, vaan salasanaan pitää lisätä numeroita, suuria ja pieniä kirjaimia ja erikoismerkkejä. On totta, että "s4l@S4Na" on parempi salasana kuin pelkkä "salasana" mutta se on myös hämmästyttävän hankala muistaa.

Miksi sitten erikoismerkkejä vaaditaan? Lisäävätkö ne jotain erityisen hienoa salasanaan? Ne lisäävät salasanaan enemmän mahdollisuuksia variaatioihin. Kun käytettävien merkkien määrä on suuri, variaatioita on enemmän. Esimerkiksi Lotossa voittamisesta tulisi yllättävän hankalaa, jos numeroiden lisäksi Lotossa arvottaisiin kirjaimia ja erikoismerkkejä, mahdollisten variaatioiden määrä kasvaisi.

Erikoismerkkihirviöitä on kuitenkin hankala muistaa ja niiden kanssa päädytään aina tilanteeseen jossa salasana on kirjoitettava ylös, yleensä jonnekin missä se on tarpeen - esimerkiksi lapulle pöytälaatikkoon. Kun salasana täytyy vaihtaa tietyin väliajoin, tämä on pakollista: lähes kukaan ei kykene opettelemaan kuukauden välein uutta salasanahirviötä. Nämä monissa yrityksissä vaaditut salasanapolitiikat ovat täysin naurettavia ja voisi sanoa että sanasalahirviöt eivät enää ole hallinnassa.

Mutta olemassa on olemassa keino jolla salasanan turvallisuus voidaan pitää korkeana ja salasana pysyy helppona muistaa ja jonka kautta : salasanalauseet. Eli yksittäisen sanan sijaan, salasana on lause jossa ei ole mitään järkeä. Esimerkiksi sanasana voisi olla "rautanyrkki mummo katukivetyksellä". Sanoja on paljon enemmän kuin erikoismerkkejä joten variaation määrä kasvaan taivaisiin. Lisäksi salasanalause on helppo muistaa. Henkisen mielikuvan muodostaminen noista kolmesta sanasta on niin vahva ettei salasanaa heti unohda.


Mutta toistaiseksi salasanalauseet eivät käy ratkaisuksi, koska salasanoilta vaaditaan monissa ympäristöissä turhia erikoismerkkejä ja numeroita. Pelkkä pituusvaatimus riittäisi oikean turvallisuuden aikaansaamiseksi. It-politiikat eivät tässä asiassa ole ehkä todellisuuteen perustuvia, vaan näennäistä turvallisuutta haetaan tekemällä ympäristöistä hankalampia käyttää. Kuulostaa hieman ilmailun tilanteesta, jossa terrorismia yritetään estää tiukoilla turvatoimilla lentokentillä: terrorismiin se ei vaikuta, mutta näyttääpä että jotain tehdään.

Näennäinen turvallisuus on tilanne jossa asioita muutetaan näyttämään turvallisemmilta ilman että todellinen turvallisuus lisääntyy. Salasanapolitiikan tekeminen on yksi tällainen prosessi: turvallisuus paranee marginaalisesti, käyttömukavuus laskeen merkittävästi. Tämän huomaa nimenomaan työympäristöissä, ei vapaa-ajan ohjelmistoissa ja palveluissa. Monimutkaisemman salasanan vaatiminen lisäämällä salasanan vaatimukseen asioita jotka tekevät siitä monimutkaisemman ihmiskäyttäjälle. Nämä ovat helppoja politiikkoja perustella varsinkin työympäristössä, jossa työntekijät joutuvat hyväksymään yrityksen sanelemat käytännöt. Työkäyttäjällä ei ole vaihtoehtoa. Kotikäyttäjä sen sijaan hylkää palvelun joka on liian hankala käyttää ja turvallisuusvaatimukset ovat miedompia.

Mahdottomat salasanakäytännöt lopulta johtavat tilanteeseen jossa salasanat ovat variaatioita samasta salasanasta tai kirjoitettu ylös. Molemmissa tapauksissa salasanapolitiikka johtaa turvallisuuden heikkenemiseen. Etuovella on suuri lukko, mutta takaovi on auki.

Kommentit