← Back to Blog

Miksi hyökkääjät rakastavat ihmisten luomia salasanoja

2025-12-23

Tämä artikkeli perustuu julkisesti saatavilla olevaan kyberturvallisuustutkimukseen, alaraportteihin ja yleisesti hyväksyttyihin turvallisuuskäytäntöihin. Jos henkilökohtaisia kokemuksia mainitaan, ne on ilmoitettu nimenomaisesti.

Tietomurto, jonka useimmat unohtivat – mutta jota ei pitäisi unohtaa

Vuonna 2012 LinkedIn joutui uhriksi sille, mikä oli tuohon aikaan yksi historian suurimmista tietomurroista. Myöhemmät analyysit osoittivat, että noin 167 miljoonaa tilitietoa paljastui, ja noin 117 miljoonaa niistä sisälsi sähköpostiosoitteita ja salasanojen tiivisteitä (hasheja).

Kun turvallisuustiimit tutkivat murrettuja salasanoja, tulokset olivat tuskallisen tuttuja. password1, linkedin123 ja vastaavat laiskat valinnat esiintyivät miljoonittain. Mielenkiintoisempaa – ja huolestuttavampaa – oli, että jopa fiksulta vaikuttavat salasanat, kuten L!nk3d1n2020, murtuivat nopeasti. Miksi? Koska ne noudattivat malleja, joita ihmiset käyttävät melkein aina.

Olen työskennellyt yli viisitoista vuotta kyberturvallisuuden tunkeutumistestauksessa. Työni on murtautua järjestelmiin – laillisesti – käyttäen samoja menetelmiä, joihin oikeat hyökkääjät luottavat. Salasanat eivät ole minulle teoreettinen aihe; näen niiden epäonnistuvan käytännössä joka ikinen päivä.

Miten salasanoihin todella hyökätään

Ymmärtääksesi, miksi jotkut salasanat selviävät ja toiset eivät, sinun on katsottava asiaa hyökkääjän näkökulmasta. Hyökkääjät eivät istu arvaamassa salasanoja yksi kerrallaan. He automatisoivat kaiken.

  1. Sanakirjahyökkäykset (Dictionary Attacks): Nämä luottavat massiivisiin kokoelmiin oikeita salasanoja, sanoja, lauseita ja muunnelmia, jotka on kerätty vuosien varrella tapahtuneista tietomurroista. Nämä sanakirjat sisältävät miljardeja merkintöjä ja kasvavat jatkuvasti.
  2. Sääntöpohjaiset hyökkäykset (Rule-Based Attacks): Nämä ovat tuhoisan tehokkaita ihmisen luovuutta vastaan. Työkalut soveltavat automaattisesti yleisiä tapoja: "o":n korvaaminen "0":lla, "123":n tai "!":n lisääminen loppuun, ensimmäisen kirjaimen isontaminen, vuosiluvun lisääminen ja niin edelleen. Useimmat "fiksut" salasanat kaatuvat juuri tässä.
  3. Raaka voima (Brute Force): Kaikkien mahdollisten yhdistelmien kokeileminen. Tämä kuulostaa pelottavalta, mutta pitkiä, aidosti satunnaisia salasanoja vastaan, jotka on tallennettu moderneilla tiivistealgoritmeilla, raaka voima muuttuu nopeasti epäkäytännölliseksi yksinkertaisesti siksi, että se kestää liian kauan.

Itse luotujen salasanojen ongelma

Pidämme itse keksimistämme salasanoista, koska ne tuntuvat henkilökohtaisilta ja helposti muistettavilta. Valitettavasti tutkimus – ja kokemus – osoittavat, että ne ovat myös erittäin ennustettavia.

  • Mallit toistuvat: Laajat tutkimukset, mukaan lukien Carnegie Mellon -yliopiston työ, osoittavat johdonmukaisesti samat rakenteet: sana tai nimi, iso kirjain alussa ja numeroita tai symboleja lopussa. Sisältö muuttuu, mutta muoto pysyy samana. Kun hyökkääjät mallintavat tuon rakenteen, murtaminen nopeutuu dramaattisesti.
  • Pituus osuu kattoon: Useimmat käyttäjien luomat salasanat ovat 8–10 merkkiä pitkiä. Ei siksi, etteivätkö ihmiset tietäisi, että pidempi on turvallisempi, vaan koska muisti ohjaa meitä kohti lyhyempiä merkkijonoja.
  • Henkilökohtaiset tiedot vuotavat: Syntymäpäivät, lemmikkien nimet, vuosipäivät – ihmiset käyttävät niitä jatkuvasti. Ja sosiaalisen median aikakaudella hyökkääjien ei usein tarvitse edes arvata.

Miksi satunnaiset salasanat pelaavat eri peliä

Turvallisen satunnaisen salasanageneraattorin luoma salasana – jotain kuten r8$NpL#2qW9 – ei ole vain "monimutkaisempi". Se on perustavanlaatuisesti erilainen.

Jokainen merkki valitaan itsenäisesti. Ei ole sanoja, ei korvauksia, ei inhimillistä logiikkaa. Tuo yksi tosiasia poistaa hyökkääjän tehokkaimmat työkalut: sanakirjat ja säännöt.

Numeroiden näkökulmasta:

  • 8-merkkinen salasana, jossa on vain pieniä kirjaimia, sisältää noin 26⁸ mahdollisuutta (~209 miljardia).
  • Lisää isot kirjaimet, numerot ja symbolit, ja olet yhtäkkiä noin 95⁸:ssa (~6 biljoonaa).
  • Kasvata se 12 merkkiin, ja avaruus kasvaa tähtitieteellisen suureksi.

Mutta todellinen etu ei ole vain koko – se on se, että satunnaiset salasanat pakottavat hyökkääjät käyttämään raakaa voimaa, mikä on hidasta, kallista ja usein vaivan arvoista.

Miltä näiden salasanojen murtaminen näyttää käytännössä

Tunkeutumistestaajan näkökulmasta ero on jyrkkä:

| Salasanatyyppi | Esimerkki | Hyökkääjän menetelmä | Murtamisaika | | :--- | :--- | :--- | :--- | | Itse luotu | Tiger2021! | Sanakirja & Sääntöpohjainen | Minuuteista tunteihin | | Satunnaisesti generoitu | r8$NpL#2qW9 | Puhdas raaka voima | Vuosia / Vuosisatoja |

Jos salasana on tiivistetty oikein käyttämällä jotain kuten bcrypt tai Argon2, raaka voima satunnaista merkkijonoa vastaan tarkoittaa aikakehystä, joka tekee hyökkäyksestä mahdottoman. Useimmissa todellisissa tapauksissa hyökkääjä yksinkertaisesti siirtyy eteenpäin.

Todellinen kompromissi: Ihmiset vs. Satunnaisuus

Satunnaisten salasanojen suurin heikkous ei ole turvallisuus – se on käytettävyys. Ihmiset ovat surkeita muistamaan merkityksettömiä merkkijonoja. Se on salasanaturvallisuuden keskeinen jännite:

  • Salasanat, jotka ihmiset muistavat hyvin, ovat yleensä heikkoja.
  • Salasanat, jotka ovat vahvoja, ovat yleensä mahdottomia muistaa.

Nykyaikaiset turvallisuuskäytännöt ovat olemassa tuon kuilun kuromiseksi.

Mikä todella toimii tänään

Perustuen alan konsensukseen ja todelliseen kokemukseen:

  1. Käytä salasanojen hallintaohjelmaa: Työkalut kuten Bitwarden tai 1Password antavat sinun luottaa yhteen vahvaan pääsalasaan, kun taas kaikki muu on pitkää, satunnaista ja ainutlaatuista. Tätä pidetään laajalti parhaana vaihtoehtona useimmille ihmisille.
  2. Jos sinun täytyy muistaa, käytä pituutta: Toisiinsa liittymättömien sanojen ketju (esim. coffee-zebra-battery-stapler) on usein vastustuskykyisempi hyökkäyksille – ja helpompi muistaa – kuin lyhyt, symboleja täynnä oleva salasana.
  3. Älä koskaan käytä salasanoja uudelleen: Kun yksi sivusto on murrettu, uudelleenkäyttö muuttaa sen dominoefektiksi.
  4. Ota MFA käyttöön: Sähköposti, pankki, pilvitilit – käytä aina monivaiheista todennusta.
  5. Tarkista tietovuotoaltistus: Palvelut kuten Have I Been Pwned antavat sinun nähdä, esiintyykö sähköpostisi tunnetuissa tietovuotoaineistoissa.

Lopuksi

Tämä ei ole filosofinen väittely siitä, tekevätkö ihmiset vai koneet "parempia" salasanoja. Kyse on riskienhallinnasta.

Tietokoneet ovat hyviä tuottamaan satunnaisuutta. Ihmiset ovat hyviä suojelemaan yhtä salaisuutta ja reagoimaan kehotteisiin kuten MFA. Turvallisin lähestymistapa on antaa kummankin tehdä sitä, missä se on paras.

Oletko valmis päivittämään turvallisuutesi? Generoi vahva offline-salasana nyt suojataksesi tilisi välittömästi.