Kymmeniä erillisiä salasanoja, mitä vaihtaa parin kuukauden välein? Ehkä parempi, että ei.  

Lukuisat salasanat ja tiheä salasanojen vaihtaminen altistaa salasanojen unohtamiselle ja saattaa houkutella käyttäjää ei-tietoturvallisiin oikoreitteihin, kuten turvattomiin salasanoihin tai turvattomaan salasanan säilyttämiseen esimerkiksi selaimessa tai paperilapulla.  

Salasanat on silti hyvä vaihtaa säännöllisesti esimerkiksi vuoden välein. 

Miten sitten luoda aidosti tietoturvallinen ympäristö? 

Siihen on muutamia hyviä työkaluja, jotka yhdistettynä hyviin käytäntöihin antavat erinomaista suojaa kyberhyökkäyksille. Yhä useammat tietoturvahyökkäykset kohdistuvat salasanoihin, joten tietoturvaan panostaminen salasanojen kanssa on jokaiselle yritykselle kannattavaa.

SSO – Single sign on 

Palvelut yhden tunnuksen takana vähentää merkittävästi muistettavien ja näpyteltävien salasanojen määrää. Se myös vähentää kyberhyökkäyksiltä suojattavien paikkojen määrää.  

Huomaa, että palvelut yhden tunnuksen takana on aivan eri asia, kuin käyttää samoja tunnuksia useampaan palveluun. Tämä jälkimmäinen on erittäin turvaton salasanojen käyttötapa. SSO-tunnuksia on käyttäjän ja IT:n helppo suojata ja hallinnoida, sillä ne ovat yhdellä alustalla. Jos käyttää samaa salasanaa useammassa palvelussa, riittää hyökkääjälle pääsy heikoiten suojattuun palveluun. Sen lisäksi saman käyttäjätunnuksen ja salasanan toistuva näpyttely altistaa ne myös esimerkiksi sille, että joku pääsee seuraamaan olkasi yli, mitä kirjoittelet. Kannattaa huomioida kirjautuessa, ettei kukaan näe näppäimistöäsi.  

MFA – Multifactor authentication

Eli suomeksi monivaiheinen tunnistautuminen tarkoittaa sitä, että kirjautuessaan käyttäjä vahvistaa kirjautumisensa puhelimeensa ladatun todennussovelluksen kautta. Vahvistuksen voi tehdä hyväksymällä sovellukseen tulevan ilmoituksen tai näppäilemällä todennussovelluksen antaman vaihtuvan koodin kirjautumisen yhteydessä. Tästä käytetään myös joskus lyhennettä 2FA, joka tarkoittaa kaksivaiheista todennusta.

Työkalut yrityksen verkossa 

Tietoturvaa voi parantaa palveluilla, joihin pääsee vain yrityksen omasta verkosta käsin. Tällöin käyttäjän tulee olla joko yrityksen toimitiloissa, joissa on yrityksen verkko tai käyttää yrityksen VPN-yhteyttä. Tällöin päästäkseen palveluun hyökkääjän tulee myös saada käyttöönsä yrityksen verkko tai VPN ja se tekee kyberhyökkäyksestä jo merkittävästi vaikeamman. 

Suojattu salasanasäilö 

Joissain tilanteissa käyttäjällä täytyy kuitenkin olla lukuisia salasanoja, tällöin kannattaa miettiä tilanteeseen soveltuvan salasanasäilön käyttämistä.  

Vaihtoehtoina on käyttää esimerkiksi salasanasäilöä, joka säilyttää salasanat koneellasi, pilvipalvelussa tai verkkokansiossa kryptattuna (toisin kuin esimerkiksi verkkoselaimet), jolloin hyökkääjät eivät pääse niihin käsiksi ilman master-salasanaa. Tällaisia vaihtoehtoja on esimerkiksi ilmaiseksi saatavilla oleva Keepass. 

Toinen vaihtoehto on ottaa käyttöön verkkopalvelu, joka tekee saman. Verkkopalveluun on usein mahdollista ottaa käyttöön niin SSO kuin myös MFA ja kirjautuminen vain yrityksen verkosta. 

Yrityksen tasolla tästä ratkaisusta on hyötyä erityisesti, jos esimerkiksi yrityksessä on käytössä sellaisia tunnuksia tai tietoja, joihin useammalla henkilöllä tulee olla pääsy. Tällöin, kun salasana pitää vaihtaa, tulee uusi salasana heti tietoturvallisesti myös muiden käyttäjien saataville. Salasananhallintaohjelmat säilyttävät myös lokeja, joista näkee, kuka on salasanaa viimeksi hakenut, mikä parantaa tietoturvan seurantaa. 

Turvalliset käytännöt 

Kaikki tämä valmistautuminen on kuitenkin täysin turhaa, jos kaikki eivät huolehdi omasta tietoturvastaan. Monet tietoturvalliset käytännöt ovat täysin ilmaisia ja sovellettavissa käyttöön välittömästi. 

Hyviä käytäntöjä on muun muassa: 

• Huolehdi, että salasanasi ovat pitkiä ja vaikeasti arvattavia, mutta helposti muistettavia. 
• Käytä vain omia salasanasuojattuja verkkoja.  
• Lukitse tietokone aina poistuessasi sen äärestä. PC-koneissa näppäinkomento Windows + L tekee sen näppärästi. 
• Älä jätä tietokonettasi tai puhelintasi valvomatta yleisiin tiloihin.  
• Ota käyttöön laitteissasi pääsykoodin tai salasanan kysely. 
• Varmista, ettei kukaan näe näyttöäsi tai näppäimistöäsi käsitellessäsi luottamuksellista tietoa tai salasanojasi 
• Älä klikkaile epämääräisiä linkkejä ja tarkista aina, kun syötät tunnuksesi, että palvelu on oikeasti se, mitä esittää olevansa.  

Mikäli nämä eivät ole käytössä yrityksessänne, niin kannattaa ottaa se puheeksi IT:nne kanssa. Salasanat ja niihin liittyvä turvallisuus on myös asia, joka kannattaa ottaa huomioon IT-palveluita kilpailutettaessa.