Salasanat suojaavat lähes kaiken, mitä teemme verkossa—sähköposti, pankkiasiat, sosiaalinen media, pilvitallennus, kehittäjäalustat ja paljon muuta. Oikean pituinen (ja rakenteinen) salasana on yksi helpoimmista keinoista parantaa tietoturvaa muuttamatta arkea juuri lainkaan.
Tässä artikkelissa selitetään, kuinka pitkä salasanan tulisi olla, miksi pituus on tärkeää, mitä johtavat standardointielimet suosittelevat sekä miten luoda vahvoja ja ainutlaatuisia salasanoja, joita on helppo hallita.
Mikä on vahva salasana?
Vahva salasana on sellainen, jota hyökkääjän on vaikea arvata tai laskea. Vahvuus perustuu kahteen päätekijään:
- Pituus: enemmän merkkejä kasvattaa mahdollisten yhdistelmien määrää dramaattisesti.
- Ennalta-arvaamattomuus: satunnaisuus sekä tuttujen kaavojen tai omien tietojen välttäminen.
Kun nämä kaksi tekijää yhdistyvät, salasanat kestävät paremmin murtamisyritykset (kaikkien yhdistelmien järjestelmällinen kokeilu), sanakirjahyökkäykset (yleisten sanojen tai kaavojen kokeilu) sekä monet automatisoidut murtoyritykset.
Salasanan minimipituus: pyri vähintään 16 merkkiin (tai pidempään)
Tietoturva-asiantuntijat korostavat johdonmukaisesti pituuden merkitystä. Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) suosittelee valitsemaan salasanat, jotka ovat "Pitkiä — vähintään 16 merkkiä (mieluummin pidempiä)". Voit lukea heidän suosituksensa täältä: https://www.cisa.gov/secure-our-world/require-strong-passwords
Myös National Institute of Standards and Technology (NIST) toimii samalla linjalla ohjeissaan: salasanan pituus on ensisijainen tekijä vahvuuden arvioinnissa, ja käyttäjiä tulisi kannustaa mahdollisimman pitkiin salasanoihin. Katso: https://pages.nist.gov/800-63-4/sp800-63b.html
Käytännössä 14 merkkiä on hyvä minimiraja, mutta 16+ merkkiä on suositeltava oletus. Erityisen arkaluontoisissa tai pitkäikäisissä tileissä vielä pidempi salasana on hyödyksi—kunhan sivusto sallii sen ja pystyt säilyttämään salasanan turvallisesti.
Onko pisin mahdollinen salasana aina paras?
Pidempi salasana on melkein aina vahvempi murtamisyrityksiä vastaan. On kuitenkin muutamia käytännön rajoitteita:
- Sivuston rajoitukset: Jotkin palvelut rajoittavat maksimi-pituutta tai sallivat vain tietyt merkit. Silloin kannattaa käyttää sallittu pisin pituus satunnaisella rakenteella.
- Käytettävyys: Jos kirjoitat salasanoja pienillä laitteilla tai rajoitetuissa ympäristöissä, todella pitkät salasanat voivat olla hankalia—ellei käytössä ole salasanojen hallintasovellusta, joka täyttää kentät puolestasi.
- Uhkamalli: Jos tilissä on vahva kirjautumisyritysten hidastus (rate limiting) ja monivaiheinen tunnistautuminen (MFA), yli 20–24 merkin salasanalla saavutettavat lisähyödyt voivat olla pienempiä kuin MFA:n käyttöönotto ja salasanan ainutlaatuisuus.
Yhteenveto: käytä mahdollisimman pitkää ja satunnaista salasanaa, jonka sivusto hyväksyy ja joka sopii omaan käyttöösi—ja lisää MFA kaikille tileille, joille se on mahdollinen.
Tarvitaanko numeroita, isoja ja erikoismerkkejä?
Monet palvelut vaativat useiden merkkilajien käyttöä (pienet kirjaimet, isot kirjaimet, numerot, symbolit). Näin tehdessä mahdollisten vaihtoehtojen määrä kasvaa ja arvaaminen vaikeutuu. Kuitenkin ns. "monimutkaisuussäännöt" ovat vähemmän tärkeitä kuin pituus ja satunnaisuus. Satunnainen 20-merkkinen salasana pelkillä kirjaimilla voi olla vahvempi kuin 8-merkkinen, joka sisältää kaikkia merkkejä.
Jos palvelu vaatii tiettyjä rakenteita, anna salasanojen hallintasovelluksen luoda satunnainen, vaatimukset täyttävä salasana. Jos ei vaadi, priorisoi pituus ja satunnaisuus pakotetun monimutkaisuuden sijaan.
Neljää merkkilajia, joita usein suositellaan:
- Numerot (0–9)
- Pienet kirjaimet (a–z)
- Isot kirjaimet (A–Z)
- Symbolit (esim. ! $ % & ? # @)
Satunnaisuus: todellisen vahvuuden avain
Pituus ei riitä, jos salasana seuraa helppoja kaavoja. Vältä:
- Näppäimistökaavoja kuten
1qaz2wsxtaiqwertyuiop - Yleisiä sanoja ja fraaseja (myös pitkiä)
- Henkilökohtaisia tietoja (nimiä, syntymäpäiviä, osoitteita)
Kaksi tapaa saavuttaa hyvää satunnaisuutta:
- Satunnaiset salasanat: Anna salasanageneraattorin luoda 16–24 merkin mittaisia satunnaisia salasanoja, joissa yhdistyy useampia merkkilajeja. Säilytä ne salasanojen hallinnassa, jotta sinun ei tarvitse muistaa niitä ulkoa.
- Salalauseet: Käytä 4–6 satunnaisesti valittua sanaa (ei mitään tunnettua lainausta tai laulun sanoja). Satunnaiset sanayhdistelmät, kuten
tunneli-magneetti-silkki-happi-duetto, voivat olla sekä pitkiä että helpommin muistettavia. Lisää erottimia ja, jos sallittu, jokunen symboli tai numero.
Miksi “toosi pitkä” voi silti olla heikko
Jotkut pitkät merkkijonot ovat helppoja kohteita, koska ne noudattavat selkeitä kaavoja tai löytyvät vuotaneista salasanalistoista. Esimerkiksi pitkät näppäimistökaavat, toistuvat merkkijonot tai yleiset "kikat" ovat työkaluohjelmistojen ensimmäisiä testattavia. Pituus vaatii aina myös satunnaisuutta ollakseen tehokas.
Ennen kuin käytät salasanaa, kannattaa tarkistaa ettei sitä löydy tunnetuista tietovuototietokannoista. Useimmat salasanamanagerit ja tietoturvapalvelut tarjoavat mahdollisuuden tarkistaa vuotaneet salasanat ("have I been pwned" tms.). Voit myös käyttää salasanan vahvuustesteriä arvioidaksesi vahvuuden.
Muut hyökkäykset: tietojenkalastelu ja uudelleenkäyttö
Kaikkia tilejä ei kaapata arvaamalla salasanaa. Tietojenkalastelu ja salasanan uudelleenkäyttö ovat hyvin yleisiä syitä murtoon:
- Tietojenkalastelu (phishing): Jopa 30-merkkinen salasana voidaan varastaa, jos kirjoitat sen huijaussivulle. Käytä MFA:ta aina kun mahdollista ja harkitse fyysisiä turva-avaimia tärkeille tileille.
- Uudelleenkäyttö: Jos käytät samaa salasanaa useissa paikoissa, yksi tietovuoto voi laajentua muihin tileihin. Yksilölliset salasanat rajoittavat vaikutuksia.
Pituus auttaa murtamista vastaan, mutta tietojenkalastelua ja uudelleenkäytön seurauksia estetään MFA:lla ja salasanojen hallinnan avulla.
Vahvan salasanan käytännöt pähkinänkuoressa
- Käytä salasanojen hallintatyökalua: Luo ja säilytä yksilölliset, satunnaiset salasanat jokaiseen tiliin. Ei tarvitse muistaa niitä ulkoa, helppo käyttää pitkiä yhdistelmiä.
- Suosi pituutta ja satunnaisuutta: Pyri vähintään 16 merkkiin. Lisää eri merkkilajeja jos mahdollista, mutta älä uhraa pituutta monimutkaisuuden alttarille.
- Ota MFA käyttöön kaikkialla: Sovelluspohjaiset TOTP-koodit, push-hyväksynnät tai laiteavaimet pienentävät riskiä merkittävästi.
- Älä käytä samaa salasanaa kahdesti: Yksi tili, yksi salasana—aina.
- Vältä henkilökohtaisia tietoja ja tuttuja kaavoja: Ei nimiä, syntymäaikoja, osoitteita tai näppäimistöpolkuja.
- Tarkista kriittiset tunnukset säännöllisesti: Sähköposti, pankki, kehittäjätilit ja hallintapaneelit vaativat erityistä huomiota.
Näin hallitset yksilölliset, vahvat salasanat jokaiseen tiliin
Käytännöllisin tapa käyttää 16–24 merkin uniikkeja salasanoja kymmenissä (tai sadoissa) palveluissa on hyödyntää salasanamanageria. Managerin avulla voit:
- Luoda vahvat salasanat jokaisen palvelun vaatimusten mukaan (kokeile salasanageneraattoria)
- Täyttää salasanat automaattisesti kenttiin (vähemmän virheitä, pienempi olkainteroinnin riski)
- Synkronoida salasanat turvallisesti eri laitteiden välillä
- Tarkistaa uudelleenkäytetyt, heikot tai vuotaneet salasanat (kokeile vahvuustesteriä)
Jos palvelu rajoittaa pituutta tai symboleita, säädä generaattorin asetuksia—mutta priorisoi silti pisin mahdollinen pituus.
Nopeat suositukset
- Arkiset tilit: 16–20 satunnaista merkkiä
- Tärkeät tilit (sähköposti, pankki, pilvipalveluiden hallinta): 20–24 satunnaista merkkiä + MFA
- Pitkäikäiset salaisuudet (API-avaimet, SSH-avaimet): käytä managerin säilytystä; noudata alustan ohjeita; suosi satunnaisia salalauseita vain, jos ne ovat aidosti satunnaisia
Yhteenveto
Kuinka pitkä salasanan tulisi olla? Niin pitkä kuin palvelu sallii—pyri vähintään 16 merkkiin—ja tee siitä satunnainen ja ainutlaatuinen. Lisää MFA vahvaksi toiseksi suojauskerrokseksi. Salasanamanagerin avulla voit toteuttaa tämän käytännössä vahvan tietoturvan ilman lisäkuormitusta muistinvaraan.
