Microsoftin tuore selvitys paljastaa, että moni vanha salasanoihin liittyvä suositus ei pidäkään paikkansa. Salasanoja tutki Microsoftin Identity Protection Team käyttäen apunaan Azure AD -palveluun tehtyjä sisäänkirjautumisyrityksiä.

Azure AD:ta kohtaan tehdään päivittäin jopa 10 miljoonaa salasanahyökkäystä, kertoo Microsoftin selvityksestä uutisoiva Semperis.com. Data on siis varsin ainutlaatuista.

Selvitys paljastaa, että osa vanhoilla opeilla koostetuista salasanoista itse asiassa murtuu helposti moderneilla hyökkäystavoilla ja itse asiassa osa nykysuosituksista jopa heikentää salasanojen laatua.

Selvityksen perusteella Microsoft tekee seitsenkohtaisen suosituksen, jolla tietoturvaa voidaan parantaa erityisesti yrityksissä. Moni neuvo pätee silti myös yksityiskäyttöön.

Pidä salasanat vähintään kahdeksan merkin pituisina, mutta pidempi ei välttämättä ole parempi

Ohjetta perustellaan sillä, että pidemmistä salasanoista ei ole juuri hyötyä yleisimpiä hyökkäystapoja kuten tietojenkalastelua tai näppäimistön painallukset tallentavia haittaohjelmia vastaan. Salasana on riittävän vahva, kun se kestää kolmen kerran yritykset ennen tilin lukkiutumista.

Älä vaadi salasanoissa käytettäväksi tietynlaisia merkkejä

Microsoftin mukaan käyttäjät päätyvät erikoismerkkien kohdalla nopeasti tuttuihin kaavoihin kuten ykkösten korvaamiseen huutomerkeillä, tai s-kirjainten korvaamiseen dollarimerkeillä. Nykyhyökkääjälle ne ovat tuttua kauraa.

Älä vaadi salasanojen säännöllistä vaihtamista

Salasanojen säännöllinen vaihtaminen johtaa saman salasanan kierrättämiseen arvattavalla tavalla. Microsoftin mukaan salasanoja on turha vaihtaa, ellei ole syytä epäillä niiden vuotaneen.

Estä yleisimpien salasanojen käyttö kokonaan

Yksi helpoimpia keinoja turvallisuuden parantamiseksi on estää järjestelmätasolla heikkojen salasanojen kuten 12345678 tai abcdefgh käyttäminen.

Valista käyttäjiä salasanojen uusiokäytön vaaroista

Mielestään hyvän salasanan keksinyt käyttäjä saattaa mielellään käyttää samaa salasanaa myös muualla. Ikävä kyllä rikolliset tietävät tilanteen ja kokeilevat vuotaneita salasanoja useilla eri sivustoilla. Microsoftin mukaan muualta vuotaneita salasanoja kokeillaan Azure AD:n kirjautumiseen miljoonia kertoja päivässä.

Pakota käyttöön kaksivaiheinen tunnistus

Kaksivaiheinen tunnistautuminen eli esimerkiksi puhelimeen lähetettävä koodi salasanan lisäksi on käytössä yhä useammassa palvelussa. Microsoftin mukaan se kannattaa ottaa käyttöön, mikäli mahdollista. Se aiheuttaa kevyttä lisävaivaa, mutta suojaa tehokkaasti tietomurroilta.

Ota käyttöön riskipohjainen vaatimus kaksivaiheiselle tunnistautumiselle

Kaksivaiheinen tunnistautuminen voidaan vaatia erityisesti niissä tilanteissa, joissa havaitaan epäilyttävää käytöstä kuten sisäänkirjautuminen uudesta maantieteellisestä paikasta.

Lähde: Tivi