Yhdysvaltain viranomaiset ovat ottaneet täyskäännöksen salasanasuosituksissaan. Viralliset ohjeet hylkäävät vaatimukset esimerkiksi perinteisistä monimutkaisista salasanoista sekä salasanojen vanhentumisajoista.

Uudet ohjeet on laatinut National Institute of Standards and Technology (Nist), jonka tehtävänä on mittaustekniikoiden, standardien ja tekniikan kehittäminen ja edistäminen.

Ohjeita on arvioinut omassa blogissaan esimerkiksi tietoturva-asiantuntija Bruce Schneier. Kolme suositusta nousee esiin:

1) Organisaatioiden tulisi luopua ärsyttävistä monimutkaisten salasanojen vaatimuksista joiden mukaan salasanoissa tulee olla vaikkapa isoja kirjaimia, numeroita ja erikoismerkkejä. Ne tekevät salasanoista vain hankalia muistaa ja lisäävät virheitä ilman, että ne edes parantavat tietoturvaa.

Uusi suositus on fraasien käyttäminen: salasanan ”Sal4sa-nA” sijaan valitaan esimerkiksi ”oranssipupulensijokeen”.

2) Viranomaisten mukaan tulisi myös luopua salasanan uusimisesta esimerkiksi joka 4. kuukausi. Nyt salasanan uusimista ei pitäisi vaatia ellei ole merkkejä tietomurrosta tai sellaista ole huomattu.

3) Käyttäjien tulisi voida käyttää salasananhallintaohjelmistoja.

”Nämä säännöt olivat epäonnistuneita yrityksiä ’käyttäjän korjaamiseen'”, Schneier kirjoittaa. ”On parempi, että korjaamme sen sijaan järjestelmät.”

Lähde: Tivi