Turvallisuusopas

Kuinka pitkä salasanan tulisi olla?

Opi, milloin valita 12, 16, 20 tai 32 merkkiä ja miksi salasanan pituus, ainutlaatuisuus ja tallennus ovat tärkeämpiä kuin visuaalinen monimutkaisuus.

Yhteenveto

Useimpiin nykyaikaisiin tileihin 16 satunnaista merkkiä on vahva käytännön perustaso. Käytä 20 tai enemmän tärkeissä henkilökohtaisissa, sähköposti-, pankki-, työ- tai järjestelmänvalvojan tileissä. Käytä 32 merkkiä, kun salasana tallennetaan salasananhallintaan ja suojaa korkean arvon pääsyä.

Kokeile 16 merkin, 20 merkin tai 32 merkin generaattoreita.

Pituusluokat

Lyhyet salasanat on helpompi arvata, koska mahdollisia yhdistelmiä on vähemmän. Kuudesta yhdeksään merkkiä on yleensä liian lyhyt tilin turvallisuudelle. Kymmenestä neljääntoista merkkiä monet palvelut saattavat hyväksyä, mutta niitä ei tulisi pitää ensisijaisena valintana tärkeille tileille.

Kuusitoista satunnaista merkkiä on hyvä oletus, kun salasananhallinta tallentaa arvon. Kaksikymmentä merkkiä lisää marginaalia pysyen samalla yhteensopivana monien sivustojen kanssa. Kolmekymmentäkaksi merkkiä on hyödyllinen järjestelmänvalvojan paneeleille, salatuille tiedostoille, tietokantatunnuksille ja paikallisille salaisuuksille.

Satunnainen pituus vs. ihmisen tekemä pituus

Satunnainen 16 merkin salasana on hyvin erilainen kuin ihmisen tekemä 16 merkin lause. Ihmisten valinnat sisältävät usein sanoja, päivämääriä, nimiä ja ennustettavia loppuja. Hyökkääjät testaavat näitä malleja ennen kuin yrittävät sokeaa raakaa voimaa.

Käytännön suositukset

• Käytä 16 merkkiä normaalina perustasona.
• Käytä 20–32 merkkiä korkean arvon tileille.
• Käytä tunnuslausetta, jos muistettavuus on tärkeää.
• Käytä ilman symboleja tai ilman epäselviä merkkejä vain, kun yhteensopivuus vaatii niitä.
• Älä koskaan käytä samaa salasanaa uudelleen vain siksi, että se on pitkä.

Yksityiskohtainen opas

Tämä opas keskittyy salasanan pituuden valintaan eri tiliriskeille. Se on kirjoitettu lukijoille, jotka vertailevat 12, 16, 20, 24 ja 32 merkin valintoja, joten käytännön tavoite ei ole luoda dramaattista turvallisuusväitettä. Tavoite on valita salasanatapa, joka kestää jokapäiväistä käyttöä: kirjautumislomakkeet, salasananhallinnat, mobiilinäppäimistöt, tilin palautus, jaetut laitteet ja satunnaiset palvelut, joilla on outoja validointisääntöjä. Turvallinen suositus on hyödyllinen vain, jos oikea henkilö voi noudattaa sitä johdonmukaisesti.

Turvallisin lähtökohta on satunnaisuus plus ainutlaatuisuus. Satunnaisuus tarkoittaa, että arvo valitaan suuresta avaruudesta kryptografisesti sopivasta satunnaislähteestä, ei keksitty syntymäpäivästä, lemmikin nimestä, näppäimistökuviosta tai suosikkilainauksesta. Ainutlaatuisuus tarkoittaa, että samaa salasanaa ei käytetä missään muualla. Pitkä mutta uudelleenkäytetty salasana voi pettää nopeasti yhden toisiinsa liittymättömän tietomurron jälkeen, kun taas ainutlaatuinen satunnainen salasana rajoittaa vahingon siihen yhteen tiliin, jossa sitä käytettiin.

Tässä aiheessa käytännön esiasetus on 16 merkkiä tavallisille tileille, 20 tai enemmän tärkeille tileille ja 32 salaisuuksille, jotka tallennetaan eikä kirjoiteta. Voit soveltaa tätä esiasetusta 32 merkin salasanageneraattorilla ja tallentaa lopullisen arvon luotettuun salasananhallintaan. PwdGen luo arvot paikallisesti selaimessa Web Cryptolla; luotua salasanaa ei lähetetä PwdGen-palvelimelle. Tämä paikallinen suunnittelu vähentää palvelinpuolen altistumista, mutta se ei suojaa kaikilta uhilta. Haitallinen selainlaajennus, vaarantunut laite, tietojenkalastelusivu tai turvaton leikepöydän käsittely voi silti paljastaa salaisuuden sen luomisen jälkeen.

Yleisimmät vältettävät ongelmat ovat lyhyet satunnaisarvot, enimmäispituusrajat, vanhat lomakkeet ja oletus, että kiinteä luku on turvallinen jokaiselle järjestelmälle. Nämä ongelmat ovat tärkeitä, koska hyökkääjät harvoin tarvitsevat raakaa voimaa jokaiseen mahdolliseen salasanaan, kun ihmisten tavat antavat heille oikotien. Tunnusten täyttö, tietojenkalastelu, vuotaneet salasanalistat ja tilin palautuksen väärinkäyttö ovat usein realistisempia kuin puhdas matemaattinen haku. Siksi paras neuvo yhdistää salasanan laadun tilikohtaisiin hallintakeinoihin, kuten MFA, passkeys, palautuskoodien tallennus ja palautussähköpostin tai puhelinnumeron säännöllinen tarkistus.

Käytä tätä tarkistuslistaa suosituksen soveltamisessa:

• Käytä enemmän pituutta, kun symboleja ei sallita.
• Tarkista kohteen enimmäispituus ennen tallennusta.
• Vältä salasanojen lyhentämistä mukavuuden vuoksi.
• Käytä tunnuslauseita, kun muistaminen on tärkeää.

Jos verkkosivusto hylkää ihanteellisen asetuksen, älä pakota salasanaa heikompaan malliin käsin. Säädä yhtä muuttujaa kerrallaan. Jos symbolit hylätään, pidä isot kirjaimet, pienet kirjaimet ja numerot käytössä ja lisää pituutta. Jos enimmäispituus on pieni, käytä suurinta hyväksyttyä pituutta ja varmista, että arvo on ainutlaatuinen. Jos salasana on luettava ääneen, tulostettava tai kirjoitettava televisio- tai reitittimen näytöllä, harkitse hämmentävien merkkien poissulkemista ja pituuden lisäämistä kompensoimaan pienempää aakkostoa.

Lopuksi muista salasananeuvonnan rajat. Vahva salasana on yksi puolustuskerros, ei takuu. Se ei voi tehdä tietojenkalastelusivusta turvallista, korjata haittaohjelmia tai korvata palvelua, joka tallentaa tunnukset huonosti. Hyödyllinen tapa on tylsä mutta kestävä: luo ainutlaatuinen arvo, tallenna se turvallisesti, suojaa palautuspolku ja vaihda se nopeasti, jos epäilet altistumista.

Usein kysytyt kysymykset

Riittääkö 12 merkkiä?

Satunnainen 12 merkin salasana voi olla hyödyllinen yhteensopivuuden vuoksi, mutta 16 tai enemmän on parempi oletus, kun palvelu hyväksyy sen.

Milloin minun tulisi käyttää 20 tai 32 merkkiä?

Käytä 20 tai enemmän tärkeille tileille ja 32 järjestelmänvalvojan, salattujen tiedostojen tai kehittäjäsalaisuuksien työnkuluille, jotka tallennetaan salasananhallintaan.

Voiko salasana olla liian pitkä?

Jotkut palvelut asettavat enimmäispituuksia tai hylkäävät symboleja. Käytä pisintä ainutlaatuista satunnaisarvoa, jonka kohde hyväksyy.