2018-10-23

Muutama sananen salasanojen hallinnasta

Salasanojen turvallisesta tallentamisesta puhutaan jatkuvasti. Eri järjestelmät vaativat käyttäjätunnuksia ja salasanoja enemmän kuin normikäyttäjä voi muistaa. Lisäksi näissä on yleensä vielä aika lyhyt rotaatio, jonka välein salasana pitää vaihtaa. Yleensä niissä on myös nykytiedon valossa järjettömiä kryptisyysvaatimuksia. Salasanan hyvyyden määrittää sen pituus, ei kryptisyys. Edistykselliset organisaatiot ovatkin jo siirtyneet kryptisyydestä pituuteen. Ratkaisu salasanojen hyvyyteen, ja siihen, että ihmiset käyttävät ja muistavat niitä on salasanojen hallintaohjelmisto.

Pätkä Aleksis Kiveä on helpompi muistaa ja turvallisempi, kuin kahdeksan merkkiä eri kokoisia kirjaimia, erikoismerkkejä ja numeroita. Toisin sanoen, 32 merkkiä runoa, niin että siellä on välilyöntejä seassa, on parempi kuin ErgfS$1!.

Muka-turvallisissa 8-merkkisissä salasanavaatimuksissa yritys ajaa itsensä nurkkaan, kun ihmiset alkavat käyttää samaa salasanaa monissa eri palveluissa. Se ei ole yllättävää, koska montaa merkkihirviötä ihminen ei muista. Kun tätä salasanaa sitten kylvetään pitkin netin palveluita (yleensä vielä sähköpostiosoitteella ryyditettynä) se päätyy jossain vaiheessa murrettavaan palveluun, josta se kulkeutuu ikävien tyyppien tietoon. Kun meillä on toimiva sähköposti- ja salasanayhdistelmä, sitä kokeillaan uusiin palveluihin, ja tadaa, meillä onkin jo ongelma. Koska ihminen on yleensä laiska, ihminen käyttää sitä samaa muistamaansa, ”hyvää” salasanaa niin töissä, kuin vapaallakin.

Joten hyvä tietohallintojohtaja, CISO tai IT manageri, anna ihmisten käyttää turvallisia metodeja salasanojen käyttöön, ja anna heidän käyttää pitkiä salasanoja. Heikompikin salasanojen hallintaohjelmisto on parempi vaihtoehto kuin post-it-lappu näytön kulmassa. Kun ihmisen pitää muistaa vain yksi hyvä salasana password manageriin, ollaan jo voiton puolella.

Jos haluat olla edistyksellinen, anna heille käyttöön se salasanojen hallintaohjelmisto. Jos haluat viedä tätä vielä pidemmälle, pyydä heitä muistamaan kaksi salasanaa. Toinen on password manageriin, jossa on työtunnukset, ja toinen on manageriin, jossa on henkilökohtaiset tunnukset. Siis mikäli et vielä ole ottanut käyttöön SSO-tunnistautumista ja käyttäjä joutuu kirjautumaan päivän aikana moniin palveluihin. Mikäli mietityttää tuo identiteetinhallinta, ja tämä opas ei aukene, otapa yhteyttä meihin, niin katsotaan ymmärrettävää ja toimivaa salasanojenhallintaa tai vaikka identiteetinhallintaa kokonaisuudessaan.


Takaisin