Salasanat ja niiden hallinta vaikuttavat merkittävästi käyttäjien sähköisten
palvelujen tietoturvaan. Usein palveluihin ja järjestelmiin pääsyn edellytys
on salasana, jolla käyttäjä myös todennetaan. Joulukuun teemassa keskitytään
salasanojen käyttöön liittyvään tietoturvaan. Hyvä alku on turvallisesti
muodostettu salasana.
Verkkopalveluissa ja tietojärjestelmissä tarvitaan usein kykyä valvoa ja
rajata sitä, kenellä on oikeus päästä käsiksi palvelun tietoihin tai muuttaa
tietoja. Erityisesti internetpalveluissa salasana on suosittu
tunnistamismenetelmä sen tunnettavuuden ja helppokäyttöisyyden vuoksi.
Käyttäjätunnuksin ja salasanoin suojataan tietoja ja rajataan pääsyä eri
tietojärjestelmiin. Jokaisen on hyvä olla tietoinen yleisimmistä
periaatteista salasanojen turvallisesta käytöstä.
Käyttäjätunnusta ja salasanaa voi ajatella tunnusparina, joista toinen on
julkinen ja toinen taas salainen tieto. Käyttäjätunnus on vähintään
kohtuullisella vaivalla arvattavissa tai selvitettävissä. Hyvä esimerkki
käyttäjätunnuksesta on sähköpostiosoite. Salasana puolestaan on salassa
pidettävä tieto, jonka tarkoitus on varmistaa, ettei käyttäjätunnusta
käytettäisi luvatta.
Mistä salasanoissa on kyse? Miten muodostaa hyvä salasana? Millä menetelmin
salasanoja hyväksikäytetään? Miten hallita salasanoja? Lisäksi verrataan
salasanoja muihin todentamismentelmiin ja annetaan palvelujen ylläpitäjille
perusvinkkejä salasanojen hallintaan. Näitä asioita käsitellään joulukuussa
ja teemakuukauden lopuksi Kyberturvallisuuskeskus julkaisee kootun
salasana-ohjeen.
Vahvaa ja heikkoa käyttäjätunnistamista
Kun käytössä on vain käyttäjätunnus ja salasana -pari, puhutaan heikosta
käyttäjätunnistuksesta. Heikkoa tunnistamista käytetään yleisesti lukuisissa
kuluttajille suunnatuissa verkkopalveluissa sekä järjestelmissä, joissa
suojausvaatimukset eivät ole korkeita. Tällaisia muita järjestelmiä voivat
olla esimerkiksi kuluttajien koti-PC:t tai vaikkapa osa oppilaitosten
tarjoamista tietotekniikkapalveluista.
Käyttäjän vahvalla tunnistamisella pyritään yksilöimään henkilö ja
todentamaan, että hänen antamansa tunnisteet ovat aitoja ja oikeita. Vahva
tunnistautuminen perustuu vähintään kahteen (2) seuraavista vaihtoehdosta:
1. Käyttäjän oma tieto (esimerkiksi salasana)
2. Käyttäjän hallussa oleva tieto (esimerkiksi sirukortti tai
kertakäyttöiset PIN-koodit)
3. Käyttäjän oma biometrinen ominaisuus (esimerkiksi sormenjälki tai
iiris)
Vahvasta tunnistamisesta tyypillinen esimerkki on verkkopanki, jossa
käyttäjällä on käyttäjätunnus, salasana ja hallussa oleva kertakäyttöinen
avainlukulista.