Miksi samaa salasanaa ei kannata käyttää useissa eri palveluissa?

Miksi samaa salasanaa ei kannata käyttää useissa eri palveluissa?

Salasanojen kierrätys ja tietoturvan vaarat

Salasanat ovat yhä monen yrityksen tärkein suojakeino. Käytännössä jokainen työntekijä tarvitsee oman salasanan useisiin järjestelmiin. Silti suurelle osalle ihmisistä salasanat ovat arjen riesa, ja sama salasana päätyy helposti käyttöön useassa paikassa. Tälle on inhimillisiä syitä: muistettavuus, helppous ja totutut rutiinit ajaa hyvien tietoturvakäytäntöjen ohi. Mutta miksi näin ei kannattaisi toimia, ja mitä riskejä siihen liittyy?

Kun käytössä on yksi ja sama salasana moneen eri palveluun, vain yhden palvelun tietomurto voi paljastaa salasanan hyökkääjille. Tämän jälkeen hyökkääjä voi kokeilla samaa salasanaa muihin palveluihin ja päästä käsiksi esimerkiksi yrityksen sähköpoistilihin, pilvipalveluihin tai paikallisiin järjestelmiin. Tähän perustuu ilmiö nimeltä ”credential stuffing”, eli tunnustietojen väärinkäyttö automaattisesti eri palveluissa.

Credential stuffing – kun yksi salasana rikkoo monta palvelua

Viime vuosina on uutisoitu lukuisista laajoista tietovuodoista, joissa käyttäjätietoja ja salasanoja on päätynyt vääriin käsiin. Näiden tietojen kerääjät käyttävät automaattisia työkaluja, joilla samoja käyttäjätunnuksia ja salasanoja testataan läpi eri verkkopalveluihin. Jos työntekijä käyttää työ- ja yksityissähköpostissaan samaa salasanaa, murto yksityiseen palveluun avaa väylän myös yrityksen tietoihin.

Pk-yrityksille tilanteen tekee haastavaksi se, että tunnus ja salasana ovat usein ainoa suoja monessa järjestelmässä. Ilman monivaiheista tunnistautumista ja hyviä käytäntöjä yrityksen verkkopalvelut ja data voivat olla yllättävän haavoittuvaisia. Yksittäisen työntekijän lipsahdus voi johtaa tietovuotoon tai laajempaan haittojen ketjuun, jossa yrityksen koko toimintaan kohdistuu riski.

Mikä on hyvä salasanakäytäntö pk-yrityksessä?

Kaikki lähtee siitä, että jokaisella palvelulla ja järjestelmällä tulee olla oma, yksilöllinen ja vahva salasana. Tämä ei kuitenkaan vielä riitä. On tärkeää myös huomioida seuraavat asiat:

  • Salasanojen pituus ja monimutkaisuus. Vahva salasana on vähintään 12 merkkiä, ja se sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.
  • Käytä salasanojen hallintatyökalua. Salasanatyökalut, kuten LastPass, 1Password tai Bitwarden, mahdollistavat turvalliset pitkät salasanat ilman että niitä tarvitsee muistaa ulkoa.
  • Vaihda salasanat säännöllisesti. Erityisesti, jos epäilet vuotoa tai salasana on vanha, vaihda se heti.
  • Käytä monivaiheista tunnistautumista (MFA/2FA), aina kun mahdollista. Näin hyökkääjä ei pääse eteenpäin pelkällä salasanalla.
  • Vältä läheisten henkilökohtaisten asioiden käyttöä salasanassa. Nimipäivät, osoitteet ja syntymäajat ovat helposti arvattavia.

Monissa yrityksissä arki helpottuu ja tietoturva paranee jo pienillä, suunnitelmallisilla muutoksilla. Kaikissa palveluissa omat, yksilölliset salasanat – tämä on simppeli suositus, mutta sen vaikutus tietoturvaan on merkittävä.

Mitä tehdä jos salasana vuotaa?

Tietomurrot ja salasanojen vuotaminen ovat arkipäivää. Jokainen yritys ja yksilö saattaa joskus törmätä siihen, että oma salasana löytyy vuotaneiden tietojen listalta. Silloin pitää toimia nopeasti:

  • Vaihda salasana kaikkiin palveluihin, joissa olet käyttänyt samaa tai samankaltaista salasanaa.
  • Tarkista yrityksen käytössä olevat järjestelmät ja tilasta mahdolliset kirjautumishälytykset.
  • Ota käyttöön monivaiheinen tunnistautuminen niihin palveluihin, missä se on mahdollista.
  • Informoi tarvittaessa yrityksen tietoturvavastaavaa tai palveluntarjoajaa.

Jo ennen mahdollisia tietomurtoja kannattaa seurata, onko omia tunnuksia päätynyt vuotaneiden listalle (esim. palvelussa haveibeenpwned.com). Ennakoiva suhtautuminen ja hyvät salasanakäytännöt auttavat suojaamaan pk-yritystä tulevilta harmilta.

Yhteenveto ja seuraavat askeleet

Salasanojen kierrätys on pahin vihollinen yrityksen tietoturvassa. Yksilölliset, vahvat salasanat sekä monivaiheinen tunnistautuminen muodostavat perustan digitaaliselle suojaukselle. Pk-yrityksen kannattaa lisätä perehdytystä, käyttää salasanojen hallintatyökaluja ja seurata tietoturvauutisia. Lue lisää neuvonnan ja opastuksen ratkaisuistamme.

Tarvitsetko käytännön vinkkejä tai tukea tietoturvan parantamiseen? Ota yhteyttä Käpy A.I.:hin – autamme suojaamaan yrityksesi tiedot.

You might also like
Salasanojen turvallisuus pk-yrityksissä – käytännön ohjeet ja sudenkuopat
Security headers: Pieni ratkaisu, suuri vaikutus nettisivujen tietoturvaan
Perinteisen turvallisuuden ja tietoturvan risteyskohdat pk-yrityksissä
Ransomware as a Service – uusi aikakausi kiristyshaittaohjelmien uhkassa
Generatiivinen tekoäly tietomurtoaseena: näin phishing-viestit kehittyvät ja miten niihin voi varautua
Sosiaalinen manipulointi: miksi somessa ei kannata kertoa olevansa poissa kotoa?

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Kaarlo Lajunen

Myyntijohtaja
Tietoturvakonsultti ja -kouluttaja

050 354 7538
[email protected]

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma

Generatiivinen tekoäly tietomurtoaseena: näin phishing-viestit kehittyvät...Security headers: Pieni ratkaisu, suuri vaikutus nettisivujen tietoturvaan