Yhdysvaltalainen standardointivirasto on julkaissut ohjeet, joiden mukaan organisaatioiden ei pitäisi vaatia käyttäjiä vaihtamaan salasanojaan määräajoin, kirjoittaa New Scientist. Yhdysvaltain kansallisen standardi- ja teknologiainstituutin (NIST) neuvo perustuu tutkimustuloksiin vuosikymmenten ajalta.

Monet organisaatiot velvoittavat henkilöstönsä vaihtamaan säännöllisesti tietokoneidensa salasanoja turvallisuussyistä. NIST:n mukaan käytäntö kannattaisi lopettaa.

Syy ohjeistukseen on, että tutkimusten mukaan salasanojen pakotettu säännöllinen vaihtaminen johtaa usein siihen, että käyttäjät valitsevat huonoja salasanoja, jotka hakkerien on helppo arvata. Ihmiset eivät pysty muistamaan loputtoman pitkiä salasanoja ja alkavat tehdä huonoja päätöksiä, tutkijat kertovat. Esimerkki tällaisesta toiminnasta on numeroiden lisääminen yksinkertaisiin sanoihin tai lauseisiin – ”salasana1”, ”salasana2” ja niin edelleen.

Nyt uusissa standardeissaan NIST sanoo, että verkkotyökalut ja -ohjelmistot ”EIVÄT SAA vaatia käyttäjiä vaihtamaan salasanoja säännöllisesti”. Tutkijat ovat jo pitkään peräänkuuluttaneet, että salasanojen vaihtovaatimuksista luovutaan.

“Havainnoimme sen aiheuttamaa muistikuormaa ja ärsytystä haastattelujen ja itseraportoitujen tietojen perusteella yli 20 vuotta sitten. Ihmiset kertoivat meille selviytymisstrategioista, jotka johtavat heikompiin salasanoihin”, kertoo University College Londonin tutkija Angela Sasse.

“Mysteeri on, miksi vakiintunut tieteellinen tieto ja viralliset neuvot eivät ole onnistuneet muuttamaan vanhentuneita neuvoja tietyissä sertifikaateissa, tarkastajien mielissä ja suuressa osassa turvallisuusalaa.”

Voit lukea lisää aiheesta NewScientistin uutisesta.

Kuitenkaan salasanojen vaihtamisesta ei pitäisi luopua kokonaan. Jos käytössäsi on Identiteettivahti, joka alkaa olla ainakin suurempien talojen virustorjunnassa, tiedät milloin sähköpostiosoitteesi on mennyt pimeään verkkoon. Siinä tietomurrossa on saattanut joutua myös salasanoja rikollisille. Silloin on aika vaihtaa salasanat.

Salasanoja varten tarjotaan ohjelmia, jotka muistavat salasanat ja täyttävät lomakkeita. Sinun pitää kuitenkin tietää eri palveluiden salasanasi. Niitä ei pidä jättää yhden ohjelman varaan. Myös Google muistaa salasanat, mutta ne täytyy keksiä ensin ja vaihtaa tarvittaessa palvelussa.