Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST) julkaisi vuonna 2003 suosituksen, joka on vaikuttanut lähes jokaisen internet-käyttäjän elämään.

”NIST Special Publication 800-63. Appendix A” oli kahdeksansivuinen digitaalisen identiteetin vahvistamiseen ohjeistava suositus. Käytännössä se ohjeisti Yhdysvaltain valtion erinäisten virastojen, suuryrityksien ja yliopistojen henkilöstöä käyttämään salasanoja oikein ja turvallisesti.

Tästä ohjeistuksesta tuli nopeasti internet-standardi. Kaikkihan me tiedämme, että hyvässä salasanassa on sekaisin isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä!

Yhtä hyvin tiedämme sen, että salasana tulisi vaihtaa 90 päivän välein. Eri asia on, kuinka orjallisesti näitä sääntöjä seuraamme.

Vasta viime vuosina asiantuntijat ovat alkaneet kritisoida tätä kiveenhakattua ohjenuoraa. Esimerkiksi Englannin kansallisen kyberturvallisuuskeskuksen johtaja Ciaran Martin latasi helmikuussa näin:

”Kuukausittain vaihtuvan 600 merkin lukujonon mieleen painaminen on haasteellista jopa parhaille spesialisteillemme. Jos edes asiantuntijamme eivät kykene siihen, miten voimme sanoa ihmisille että näin on tehtävä?”

Vuonna 2003 voimaan tullut ohjeistus kesti läpi historian laajimpien tietomurtojen, mutta kesäkuussa NIST viimein päivitti ohjesääntöään. Ohjeistus on käytännössä täyskäännös 14 vuoden takaiseen verrattuna: Se opastaa unohtamaan erikoismerkit ja salasanan rutiininomaisen vaihtamisen.

Viimeaikaisen tutkimustiedon valossa neljästä tavallisesta sanasta koostuva salasana on perinteistä ”s4!A5aN4”-merkkioksennusta turvallisempi – puhumattakaan käyttäjäystävällisyydestä!

Sarjakuvataiteilija Randall Munroe laski, että hakkerilla kestää 550 vuotta selvittää salasana ”correct horse battery staple”. Vanhan ohjeistuksen mukainen salasana, kuten ”Tr0ub4dor&3” on ratkaistavissa kolmessa päivässä.

Uuden ohjeistuksen mukaan salasanaa ei ole syytä vaihtaa, mikäli ei ole syytä epäillä, että tilin turvallisuus on vaarantunut.

Nyt kun uusi ohjeistus on voimassa, mies alkuperäisen ohjesäännön takana, NIST:n entinen tutkija Bill Burr on avannut sanaisen arkkunsa:

”Kadun monia asioita, joita tein ohjenuoraa kirjoittaessani”, nyt 72-vuotias Burr kertoo Wall Street Journalille.

Empiirisen datan puuttuessa Burr kertoo kirjoittaneensa ohjesäännön perustuen 1980-luvulla julkaistuun valtion ohjeistukseen.

”Loppujen lopuksi ohjeistuksesta tuli liian monimutkainen ymmärrettäväksi. Säännöt saavat ihmiset raivon partaalle, eivätkä he valitse hyviä salasanoja vaikka tekisimme mitä”, Burr toteaa viitaten faktaan, että kolmellakymmenellä prosentilla verkon käyttäjistä on käytössään joku kymmenestä tuhannesta yleisimmästä salasanasta.


Jos kaipaat helppoa tapaa selvittää, onko käyttämäsi nimimerkin tai sähköpostiosoitteeseen kirjautumistiedot päätyneet hakkerien käsiin, vieraile osoitteessa https://haveibeenpwned.com/.

Have i been pwned on Microsoftin tietoturva-asiantuntija Troy Huntin kehittämä api-pohjainen työkalu, johon voit syöttää esimerkiksi sähköpostiosoitteesi. Annettua sähköpostiosoitetta verrataan aiempiin merkittäviin tietovuotoihin. Mikäli osumia ei löydy, tunnuksesi ja sähköpostisi ovat todennäköisesti turvassa.