”Salasana” ei ole hyvä salasana, vaikka siihen lisäisi miukumaukun tai numeron. Myös kirjainten sekamelska voi kuitenkin olla salasanana huono, jos se ei olekaan tarpeeksi sekamelska.
Salasanojen vahvuuden parantamiseen keskittyvä Specops Software on julkaissut vuoden 2023 raporttinsa siitä, millaisia heikkouksia salasanoissa maailmalla esiintyy. Vaikka salasanojen murtamiseen on olemassa työkalu jos toinenkin, verkkorikolliset voivat päästä pitkälle ihan vain kokeilemalla yleisiä heikkoja salasanoja.
Specopsin raportissa toistuvat kolme tyypillistä virhettä.
Ensimmäinen virhe on jonkin ”perussanan” käyttäminen tai muunteleminen. Esimerkiksi sanasta ”salasana” muunnetut salasanat ovat sellaisia, joita verkkorikolliset todennäköisimmin ensimmäisenä kokeilevat. Ei siis kannata käyttää esimerkiksi salasanaa ”s@lasana” tai ”5alasana”.
Sama pätee myös työnantajan nimeen salasanassa. Jos on työssä yhtiössä nimeltä SuomiSoft, ei esimerkiksi ”Su0m1Soft” ole turvallinen salasana.
Toisena yleisenä virheenä Specops nostaa esille liian lyhyet salasanat, jotka ovat sen mukaan valitettavan yleisiä. Specopsin mukaan 88 prosenttia sen tutkimista salasanoista on alle 12 merkkiä pitkiä.
Jos vertaillaan pelkästään pieniä kirjaimia sisältäviä salasanoja, hakkeri saa nykyaikaisilla työkaluilla sen murrettua käytännössä välittömästi, jos se sisältää vain kahdeksan merkkiä. Jos salasanan pituus on 16 merkkiä eli kaksinkertainen, murtamiseen kuluva aika pitenee yli 2000 vuoteen eli käytännössä mahdottomaksi.
Kolmantena virheenä Specops mainitsee maailman tapahtumiin liittyvät termit salasanassa. Erityisesti jalkapalloilijoiden nimiä käytetään salasanoina paljon, ja esimerkiksi puolalaisen jalkapalloilijan Grzegorz Laton nimi esiintyi yli 174 000 kertaa Specopsin analysoimissa salasanoissa.
Specops on lisäksi havainnut heinäkuussa, että näppäimistöllä vierekkäin olevista kirjaimista muodostuvat salasanat ovat vaarallisen yleisiä. Esimerkiksi salasanat ”qwerty” ja ”asdf” on helppo tunnistaa heikoiksi salasanoiksi, koska kirjaimet ovat kaikki näppäimistöllä kyseisessä järjestyksessä vasemmalta oikealle.
Kuitenkin myös esimerkiksi ”1qaz2wsx3edc” on salasanana huono, sillä vaikka se näyttääkin satunnaiselta, sen merkkejä voi painaa siirtymällä näppäimistöllä pystyriveissä vasemmalta oikealle. Tyypillinen verkkorikollinen hyvin todennäköisesti tietää ihmisten olevan laiskoja ja keksivän kyseisen tyylisiä salasanoja, jotka on helppo muistaa, mutta myös helppo murtaa.
LÄHDE: TIVI.fi/Petri Ranta 12.09.2023