Salasanoilla on heikkouksia ja vahvuuksia

18.12.2014 klo 14:59

Salasanojen heikkoudet ja vahvuudet on hyvä tunnistaa. Näin on helpompaa arvioida, missä palveluissa yksin salasana riittää ja missä taas vahva todentaminen on tarpeellista.

Salasana on yleisin käytössä oleva todentamismenetelmä, jolla käyttäjä autentikoidaan. Helppokäyttöisenä ja hyvin tunnettuna menetelmänä salasanoilla on omat etunsa. Pääsääntöisesti muita todentamismenetelmiä käytetään vain, jos itse palvelu tai järjestelmä edellyttää luotettavampaa tapaa todentaa käyttäjiä.

Joskus pelkkä salasana ei riitä käyttäjän todentamiseen ja tietojen suojaamiseen. Jos lisätodentamisen mahdollisuutta ei ole, käyttäjän kannattanee pohtia jopa vaihtoehtoiseen palvelun käyttöä. Onkin suositeltavaa, että käyttäjät hyödyntävät salasanoja tukevia todennusmenetelmiä aina, kun niitä on käytettävissä.
 

Salasanojen vahvuudet

Edulliset toteutuskustannukset ovat salasanojen selkeä etu muihin todentamismenetelmiin verrattuna. Useat verkkopalvelut ovat ilmaisia tai toteutettu pienillä alkukustannuksilla, jolloin kalliiden tunnistamisvälineiden (esim. biometrinen sormenjälkitunniste, sirukortti) jakaminen käyttäjille on taloudellisista ja logistisistakin syistä hankalaa. Salasanat ovat yleisesti hyväksyttyjä ja tunnettuja, siksi niitä käyttävät uudet palvelut saadaan nopeasti käyttöön, koska käyttäjille tunnistamistapa on jo tuttu.

Salasanojen etuna on myös tilannejoustavuus. Ne kulkevat helposti käyttäjän mukana. Tärkeimmät salanat ovat käyttäjien muistissa tai pysyvät lähellä kännyköissä lähes kaikkialla.

Joissakin palveluissa useiden on tarpeen käyttää samaa salanaa. Tilanne voi syntyä, kun halutaan hallinnoida samaa tiliä tai asiakkuutta, eikä samaan käyttöoikeuteen ole mahdollista liittää useita erillisiä salasanoja. Näissä tapauksissa salasana on helppo jakaa käyttäjien kesken toisin kuin esimerkiksi biometriset tunnisteet.

Salasanojen hallinnan mukautuvuus poikkeustilanteissa on sekin hyödyllinen ominaisuus. Fyysisen tai biometrisen tunnisteen korvaaminen ja uuden tunnisteen päivittäminen järjestelmään on hankalaa, jos esimerkiksi sirukortti katoaa tai sormeen tulee haava. Salasanoja käytettäessä tällaisia ongelmia ei yleensä ole.

Vanhentuminen, unohtaminen, tietoturvakontrollien muuttuminen tai tietomurto ovat syitä, miksi käytettyä todentamismenetelmää on muutettava. Muihin todentamismenetelmiin verrattuna salasanat taipuvat muutoksiin verrattain nopeasti ja vaivattomasti.
 

Salasanojen heikkoudet

Todettu on, että salasanatunnistamisen käyttöönottokustannukset ovat pienet. Usein kuitenkin unohdetaan, että salasanojen ylläpitoon kätkeytyy piilokustannuksia. Salasanojen hallinnan ja palvelun ylläpitovaatimusten vuoksi kustannukset voivat kasvaa yllättävänkin suuriksi. Esimerkiksi, kun käyttäjät unohtavat salasanoja, asiakaspalveluun liittyvät kustannukset lisääntyvät välittömästi.

Suurin salasanoihin liittyvä ongelma on niiden riippuvuus käyttäjien kyvystä hallita salasanojaan. Käyttäjien on itse keksittävä laadukkaita salasanoja ja vaihdeltava niitä palveluittain. Jos käyttäjän salasanat ovat aina samoja, yhden palvelun salasanojen paljastuminen voi vaikuttaa toisen, täysin sivullisen, palvelun tietoturvaan. Tällöin käyttäjätilien tietoturva ei ole täysin palvelun ylläpidon oman osaamisen varassa.

Salasanojen turvallisuuteen voi merkittävästi vaikuttaa oikeanlaisella hallinnalla ja hyvillä salasanoilla. Kuitenkin salasanat ovat teknisin apuvälinein kohtuullisen helposti murrettavissa ja sosiaalisin menetelmin selvitettävissä. Muutaman käyttäjän heikot ja paljastuneet salasanat voivat toimia siemeninä, joilla murtaja selvittää salasanojen tallennuksen laskukaavan ja onnistuu paljastamaan myös palvelun muiden käyttäjien laadukkaammat salasanat.

Varsin usein palveluissa salasana on ainoa käyttäjän todentamiseen käytetty ominaisuus, eikä muita tunnistuspalveluja ole tarjolla. Tällöin pelkällä salasanalla voi esiintyä oikeutettuna käyttäjänä ja tehdä paljon vahinkoa.