Vahvan salasanan luominen ei ole sitä, mitä se oli 10 vuotta sitten. Vuonna 2026 tietokoneet arvaavat 'Kesa2026!' kuten 'Koira123!' alle minuutissa, ei siksi että ne ovat nerokkaita, vaan siksi että hakkerit käyttävät listoja joissa on miljardeja aiemmin vuotaneita salasanoja. Tässä oppaassa käymme läpi mikä oikeasti tekee salasanasta vahvan, miten luot niitä käytännössä, ja miten hallitset kymmeniä eri tilejä ilman että menet hulluksi.
Mitä tarkoittaa 'vahva' vuonna 2026?
Vahva salasana täyttää kolme ehtoa: se on pitkä, se on yksilöllinen jokaisessa palvelussa, ja sitä ei pysty arvaamaan sinun tietoihisi perustuen. Käymme jokaisen näistä erikseen.
Pituus on tärkein tekijä
Kahdeksan merkin salasana, vaikka siinä olisi erikoismerkkejä ja numeroita, murretaan alle päivässä nykyisellä GPU-laskennalla. Kuusitoista merkkiä pitkä salasana, vaikka vain pienillä kirjaimilla, kestää satoja vuosia.
Tämä on matemaattinen fakta, ei mielipide: jokainen lisämerkki tekee murtamisesta eksponentiaalisesti vaikeampaa. Siksi modernit suositukset (NIST, Suomen kyberturvallisuuskeskus) puhuvat vähintään 14 merkistä, mieluummin 16–20.
Monimutkaisuus on yliarvostettu
Vanha sääntö 'iso kirjain + numero + erikoismerkki' on auttanut, mutta sen merkitys on paisutettu. Jos salasana on 8 merkkiä pitkä, mikään monimutkaisuus ei tee siitä vahvaa. Jos salasana on 18 merkkiä pitkä, monimutkaisuutta ei tarvita.
Pitkä salasana on aina vahvempi kuin lyhyt monimutkainen. Kirjoittaja joka vaatii 'vähintään yhden erikoismerkin' on usein asettanut samalla kahdeksan merkin rajan, se on kaksi askelta taaksepäin.
Passphrase, helpoin tapa luoda vahva salasana
Passphrase tarkoittaa salalausetta. Sen sijaan että valitset yhden sanan ja sotket sen, valitset kolme tai neljä sanaa, mielellään satunnaisesti, ja yhdistät ne. Esimerkki: "kahvi-pilvi-vene-asfaltti".
Tämä on:
26 merkkiä pitkä, käytännössä murtamaton
helppo muistaa ilman muistilappua
helpompi kirjoittaa kännykällä kuin 'P@ssw0rd1!'
vahvempi kuin useimmat monimutkaisuussäännöt vaativat
Hyvä passphrase-resepti
Kolme neljä satunnaista sanaa. Ei saman aiheen sanoja (esim. kissa-koira-hiiri on huono, koska liian yleinen). Lisää yksi numero tai merkki jos palvelu sitä vaatii. Esimerkkejä:
ukkonen-pyörä-marjakurkku-42
salamanteri9tuoli!kahvi
rauhallinen-ikkuna-kivimuuri-talvi
Miksi yksilöllisyys on niin tärkeää
Sama salasana monessa paikassa on suurin riski. Jos mikä tahansa palvelu vuotaa, hakkerit kokeilevat automaattisesti samaa sähköpostia ja salasanaa Gmailissa, pankissa, Netflixissä ja kaikkialla muualla. Tätä kutsutaan credential stuffing -hyökkäykseksi, ja se on vuoden 2026 yleisin tapa murtautua tileille.
Voit tarkistaa, onko sinun sähköpostisi vuotanut, osoitteessa haveibeenpwned.com, se on turvallinen, maksuton palvelu jonka ylläpitäjä Troy Hunt on alan tunnetuimpia asiantuntijoita.
Salasanamanageri: älä yritä muistaa kaikkea itse
Yksi ihminen ei voi muistaa 50–100 yksilöllistä vahvaa salasanaa. Se on matemaattisesti mahdotonta. Salasanamanageri tekee työn puolestasi: se luo salasanan, tallentaa sen salattuna ja täyttää sen automaattisesti kun kirjaudut palveluun.
Suosittelut 2026
Bitwarden, avoin lähdekoodi, ilmainen, erinomainen yksityishenkilölle ja pienyrityksille
1Password, maksullinen (~3€/kk), erinomainen perheille ja tiimeille, paras käyttöliittymä
Apple Passwords (iOS 26, macOS 26),sisäänrakennettu, ilmainen, riittää jos käytät vain Apple-laitteita
Google Password Manager, riittää perustarpeisiin, mutta vähemmän ominaisuuksia kuin Bitwardenissa
Vältä: LastPass (iso tietovuoto 2022, luottamus ei palaudu), selaimen tallennetut salasanat ilman master-salasanaa, ja ennen kaikkea tekstitiedosto tai post-it lappu.
Kaksivaiheinen tunnistautuminen (2FA)
2FA on tärkein yksittäinen turvatoimi salasanan jälkeen. Vaikka salasanasi vuotaisi, hyökkääjä ei pääse tilille ilman toista tekijää (yleensä koodi puhelimesta).
Paras 2FA-muoto: autentikointisovellus
Käytä sovellusta, joka generoi 6-numeroisen koodin 30 sekunnin välein:
Microsoft Authenticator, toimii kaikkialla, varmuuskopio pilveen
Authy, helppo useammalle laitteelle
Google Authenticator, yksinkertainen ja ilmainen
1Password / Bitwarden, nämä salasanamanagerit toimivat myös 2FA-sovelluksina
Vältä tekstiviesti-2FA:ta jos mahdollista
SMS-koodit ovat parempi kuin ei mitään, mutta SIM-kortin kaappausten takia ne eivät ole vahva suoja. Suomessa riski on pienempi kuin esim. USA:ssa, mutta autentikointisovellus on silti suositeltavampi.
Yleisimmät virheet 2026
Sama salasana kahdessa tai useammassa palvelussa
Salasanan vaihto joka 90 päivä pakotettuna, johtaa helppoihin variaatioihin ja on nykyään huono käytäntö
Vastauksia turvakysymyksiin (äidin tyttönimi, ensimmäinen koulu),nämä ovat yleensä Googletettavissa
Salasanan kirjoittaminen selaimen kenttään epäilyttävällä sivulla, tarkista aina osoite
SMS-2FA kriittisiin tileihin kun autentikointisovellus on saatavilla
Usein kysyttyä
Kuinka usein salasana pitää vaihtaa?
Vain kun tiedät sen vuotaneen. Tutkimukset 2020-luvulla ovat osoittaneet, että pakollinen vaihto 90 päivän välein heikentää turvallisuutta, koska ihmiset alkavat käyttää huonoja variaatioita. Hyvä salasana kestää vuosia.
Mitä teen jos salasanani on vuotanut?
Vaihda se heti kaikissa palveluissa missä käytit sitä. Ota 2FA käyttöön samalla. Tarkista sähköpostin suodattimet ja viimeiset kirjautumiset, hyökkääjä on voinut piilottaa paluuviestejä.
Voinko antaa salasanan puolisolle?
Useimmat salasanamanagerit (1Password, Bitwarden) tarjoavat perhetilin, jossa voi jakaa valittuja salasanoja. Tämä on parempi kuin salasanan lähettäminen viestillä tai paperille kirjoittaminen.
Lopuksi
Aloita tänään: asenna Bitwarden, ota 2FA käyttöön pankkitilillä ja sähköpostilla, ja luo vähintään 16 merkin passphrase master-salasanaksi. Loput salasanat voit vaihtaa vähitellen, jokainen kerta kun kirjaudut palveluun, anna managerin luoda sinulle uusi salasana. Kuukauden kuluttua olet turvassa tavoilla, joita muutama vuosi sitten ei edes olemassa.