Oman tietoturvan kannalta ei mikään yksittäinen tekijä liene yhtä tärkeä kuin vahva salasana. Sen pitäisi parhaan mahdollisen tietoturvan vuoksi olla myös sellainen, jota ei käytä missään muualla.
Salasanoihin liittyy kuitenkin myös joitakin virhekäsityksiä, joista on alla mainittu kaksi.
”En tarvitse useampaa salasanaa”
Voisi esimerkiksi kuvitella, että jos on joskus keksinyt hyvän vaikkapa 30 merkkiä pitkän salasanan, sitä voi käyttää huoletta kaikissa palveluissa.
30 merkin salasana on todennäköisesti erittäin vahva, jos se on aidosti satunnainen. Sitä ei kuitenkaan välttämättä tarvitse murtaa, vaan se voi päätyä verkkorikolliselle epäsuoraan tietomurrossa, joka tapahtuu huonoa tietoturvaa noudattavaan kohteeseen.
Todennäköisesti heti ensimmäiseksi verkkorikollinen kokeilee samaa käyttäjätunnusta ja salasanaa myös muihin palveluihin. Näin salasanan vahvuudella ei ole enää mitään merkitystä, kun se on kerran päätynyt väärän tahon käsiin.
Vahva salasana voi päätyä väärän tahon haltuun myös kalasteluhyökkäyksen tai näppäilyn tallentajan avulla, tosin nämä ovat vähemmän todennäköisiä vaihtoehtoja.
”Salasana kannattaa vaihtaa usein”
Tämä vinkki ei ole varsinaisesti väärä. Salasanan vaihtamisesta ei kuitenkaan ole mitään erityistä hyötyä, jos aiempikin salasana on riittävän vahva estämään mahdolliset murtoyritykset.
Jatkuvassa salasanojen muuttamisessa voi piillä myös se riski, että aluksi vahvoja salasanoja käyttänyt käyttäjä laiskistuu ennen pitkää ja alkaa huomaamattaan siirtyä aiempaa heikompiin salasanoihin.
Koulut ja työpaikat saattavat yhä edellyttää, että käyttäjät vaihtavat salasanansa tietyn ajan välein. Sen sijaan niiden ulkopuolella salasanojen vaihtelemisessa ei ole suuremmin mieltä.