Salasanakäytännöt yrityksessä: toimiva malli ilman turhaa kitkaa

Miksi salasanakäytännöt ovat edelleen yksi tärkeimmistä kontrollipisteistä

Salasanat ovat yhä yleisin tapa todentaa käyttäjä. Samalla ne ovat yksi eniten väärinymmärretyistä tietoturvan osa-alueista: ohjeet voivat olla liian monimutkaisia, vanhentuneita tai ristiriidassa arjen työn kanssa. Seurauksena henkilöstö kiertää käytäntöjä (kirjoittaa salasanan ylös, käyttää samaa salasanaa useassa palvelussa, hyväksyy selaimen tallennuspyynnöt hallitsematta) ja organisaatio altistuu tilikaappauksille, tietojenkalastelulle ja palvelukatkoille.

Toimiva salasanakäytäntö ei ole lista ”kiellettyjä asioita”, vaan selkeä, koulutettu ja mitattu toimintamalli. Käytännössä tämä tarkoittaa, että organisaatio määrittää vaatimustason riskin mukaan, varmistaa monivaiheisen tunnistautumisen (MFA) siellä missä se on mahdollista, ja tukee henkilöstöä konkreettisilla työkaluilla ja ohjeilla. Käpy A.I. Oy auttaa rakentamaan tämän mallin käytännönläheisesti: tietoturvakoulutukset vahvistavat osaamista ja tietoturvakartoitukset näyttävät, missä salasanariskit syntyvät juuri teidän ympäristössänne.

Toimiva salasanapolitiikka: mitä sovitaan ja mitä jätetään pois

Monessa organisaatiossa salasanapolitiikka on joko liian kevyt (ei ohjaa mitään) tai liian raskas (ohjaa kaikkea, mutta ketään ei kiinnosta noudattaa). Hyvä kompromissi syntyy, kun erotetaan kolme asiaa: 1) vähimmäisvaatimukset, 2) käytännön toteutus (tekniset kontrollit) ja 3) käyttäytymisen ohjaus (koulutus ja muistutusmalli).

1) Vähimmäisvaatimukset: selkeys ennen kaikkea

Salasanakäytännön minimit kannattaa kuvata yhdellä sivulla. Kun ohje on liian pitkä, se jää lukematta. Tärkeintä on määrittää:

  • Salasanan pituus (käytännössä pituus tuottaa enemmän hyötyä kuin monimutkaiset erikoismerkkisäännöt).
  • Käyttökielto tunnetuille heikoille salasanoille (”blacklist” tai estolista; tekninen kontrolli on tehokkaampi kuin muistuttelu).
  • Yksilöllisyys: samaa salasanaa ei käytetä eri palveluissa.
  • Salasanan jakaminen: lähtökohtaisesti kielletty; jos jakamista tarvitaan, siihen valitaan hallittu ratkaisu (esim. roolipohjaiset käyttöoikeudet tai salasanaholvi).

Sen sijaan moni perinteinen vaatimus kannattaa kyseenalaistaa, jos siitä ei ole teille todistettavaa hyötyä. Esimerkiksi pakotettu tiheä vaihtoväli kaikille käyttäjille voi lisätä riskiä, jos se johtaa ennustettaviin muunnelmiin (Kevät2026!, Kesä2026!). Parempi malli on ohjata vaihtoon riskiperusteisesti: vaihdetaan, kun on epäily, tapahtuma tai roolimuutos, ja suojataan kirjautuminen muuten MFA:lla ja valvonnalla.

2) Tekninen toteutus: politiikka ilman kontrollia ei riitä

Salasanapolitiikka pitää ankkuroida järjestelmien asetuksiin. Muuten se jää toiveeksi. Tyypillisiä toteutettavia asioita ovat:

  • SSO ja keskitetty identiteetinhallinta: vähennetään salasanojen määrää ja parannetaan hallittavuutta.
  • MFA kaikissa kriittisissä palveluissa (sähköposti, pilvipalvelut, VPN, taloushallinto).
  • Haitallisten kirjautumisten esto: lukitukset, epäilyttävien kirjautumispaikkojen ja -laitteiden lisävarmennus.
  • Lokitus ja hälytykset: jotta poikkeamat huomataan eikä vasta viikkojen päästä.

Jos organisaatiossa pohditaan MFA:n käyttöönottoa tai sen kattavuus on vielä vajaa, kannattaa katsoa kokonaisuus läpi: missä MFA on pakollinen, missä se on ”suositus” ja miksi. Käpy A.I. Oy:n näkökulmasta tämä on usein nopeimpia tapoja laskea tilikaappauksen todennäköisyyttä. Käytännön etenemistä voidaan tukea sekä koulutuksella että kartoituksella, ja tarvittaessa sparraamme päätöksenteossa ja teknisissä valinnoissa osana nykytilan ja vaatimusten läpikäyntiä.

3) Käyttäytymisen ohjaus: henkilöstö tarvitsee mallin, ei pelkkää kieltoa

Salasanariskit ovat usein inhimillisiä: kiire, keskeytykset ja oletus, että ”ei tämä koske meitä”. Siksi pelkkä ohje ei riitä. Tarvitaan yhteinen tapa toimia: miten luodaan vahva salasana käytännössä, mihin se tallennetaan, miten tunnistetaan huijaus, ja mitä tehdään, jos epäily herää.

Käytännönläheisessä henkilöstön tietoturvakoulutuksessa salasanat ja tunnistautuminen käsitellään arjen tilanteiden kautta: mitä tapahtuu, kun kirjautumissivu on ”melkein oikea”, kun MFA-pyyntö tulee yllättäen, tai kun joku pyytää salasanaa Teamsissa kiireeseen vedoten. Tavoite on muuttaa käyttäytymistä, ei testata muistia.

Käytännön malli: miten salasanakäytännöt rakennetaan ja jalkautetaan 30–60 päivässä

Salasanakäytännön kehittäminen onnistuu hallitusti, kun se tehdään vaiheittain. Alla on malli, joka sopii monelle pk- ja keskisuurelle organisaatiolle, ja jonka voi sovittaa myös suurempaan ympäristöön.

Vaihe 1: Nykytilan kartoitus ja riskipisteiden tunnistaminen

Ensimmäinen kysymys ei ole ”mikä on hyvä salasana”, vaan ”missä salasanoilla pääsee liian pitkälle”. Tyypillisiä riskipisteitä ovat sähköposti, järjestelmäylläpidon tunnukset, taloushallinnon käyttäjät, ja palvelut, joihin kirjaudutaan henkilökohtaisilla tunnuksilla ilman lisävarmennusta.

Tietoturvakartoituksessa voidaan käydä läpi:

  • missä palveluissa on MFA käytössä ja millä tasolla
  • miten käyttöoikeuksia myönnetään ja poistetaan (liittyy myös offboarding-prosessiin)
  • onko jaettuja tunnuksia tai ”yhteisiä käyttäjiä”
  • miten kirjautumisia valvotaan ja miten poikkeamiin reagoidaan

Lopputuloksena syntyy tilannekuva, jonka pohjalta on helppo priorisoida: mitä korjataan heti, mitä seuraavaksi ja mitä voidaan jättää myöhemmäksi.

Vaihe 2: Selkeä käytäntö ja ”minimipaketti” henkilöstölle

Kun riskit on tunnistettu, luodaan käytäntö, jonka henkilöstö ymmärtää. Minimipaketti kannattaa aina kuvata myös käytännön ohjeina:

  • miten luodaan pitkä ja muistettava salasana (esim. lausepohjaisuus)
  • miksi salasanoja ei kierrätetä ja miten se ratkaistaan salasanaholvin avulla
  • miten toimitaan, jos epäillään tietojenkalastelua tai salasana on lipsahtanut vääriin käsiin

Hyvä käytäntö vähentää myös IT-kuormaa: kun toimintamalli on selkeä, tukipyynnöt vähenevät ja käyttäjät osaavat toimia oikein ennen kuin ongelma eskaloituu.

Vaihe 3: Koulutus, roolikohtaiset painotukset ja arjen harjoitukset

Yksi yhteinen koulutus ei riitä kaikille rooleille. Talous, johto, HR ja IT kohtaavat erilaisia uhkia ja heillä on erilaiset oikeudet. Käpy A.I. Oy toteuttaa koulutuksia, joissa sama teema skaalataan roolien mukaan: käyttäjä oppii oman työn kannalta relevantit riskit ja oikeat toimintatavat.

Erityisen hyödyllistä on harjoitella kahta asiaa käytännössä:

  • MFA-väsymyshyökkäykset: mitä tehdä, jos puhelin pommittaa hyväksyntäpyyntöjä.
  • Kirjautumislinkit ja ”uudelleenkirjautuminen”: miten tunnistetaan aidon ja väärennetyn sivun erot kiireessä.

Kun harjoittelu on tehty arjen esimerkeillä, toimintamalli jää mieleen ja reagointi nopeutuu oikeassa tilanteessa.

Vaihe 4: Mittaaminen ja jatkuva parantaminen

Salasanakäytännöt eivät ole ”kerralla valmiit”. Ympäristö muuttuu: uusia pilvipalveluita tulee käyttöön, henkilöstö vaihtuu ja hyökkäystavat kehittyvät. Siksi kannattaa sopia, miten tilannetta seurataan ja mihin reagoidaan.

Toimivia seurannan kohteita ovat esimerkiksi:

  • MFA:n kattavuus ja poikkeukset (miksi jossain ei ole MFA:ta)
  • tilikaappauksiin viittaavat signaalit (epäonnistuneet kirjautumiset, uudet laitteet, mahdottomat matkustukset)
  • tukipyyntöjen määrä (lukitukset, salasanan palautukset) ja trendi

Kun mittareista sovitaan etukäteen, päätöksenteko helpottuu: nähdään, mikä toimenpide oikeasti vähensi riskiä ja missä pitää vielä tukea henkilöstöä.

Yleisimmät ongelmat salasanakäytännöissä ja miten ne ratkaistaan käytännössä

Salasanat kaatuvat harvoin yhteen yksittäiseen asiaan. Useimmiten ongelma on kokonaisuudessa: työkalut, käytännöt ja osaaminen eivät kohtaa. Alla on tyypillisiä tilanteita ja käytännön korjauspolkuja.

Ongelma 1: Samat salasanat kiertävät palvelusta toiseen

Riski: kun yksi palvelu vuotaa tai käyttäjä harhautetaan kirjautumaan väärennetylle sivulle, hyökkääjä testaa samaa salasanaa muihin palveluihin.

Ratkaisu: salasanaholvi käyttöön, selkeä ohje ja koulutus. Lisäksi keskitetty identiteetinhallinta ja SSO, jotta salasanojen määrä vähenee. Käpy A.I. Oy voi auttaa tunnistamaan, missä palveluissa tämä tuo eniten hyötyä sekä teknisesti että työn sujuvuuden kannalta osana kartoitusta ja konsultointia.

Ongelma 2: Jaetut tunnukset ja epäselvät vastuut

Riski: jos usea henkilö käyttää samaa tunnusta, tapahtumien jäljitettävyys katoaa ja väärinkäytökset jäävät helposti huomaamatta.

Ratkaisu: siirrytään henkilökohtaisiin tunnuksiin ja roolipohjaisiin oikeuksiin. Tarvittaessa käytetään hallittuja ”break glass” -tunnuksia vain hätätilanteissa. Vastuut kuvataan: kuka omistaa palvelun, kuka hyväksyy oikeudet ja kuka valvoo poikkeamia.

Ongelma 3: MFA on käytössä, mutta sitä ohitetaan tai hyväksytään ajattelematta

Riski: käyttäjä hyväksyy vahingossa hyökkääjän kirjautumisen (esim. jatkuvat push-hyväksynnät).

Ratkaisu: koulutuksessa tehdään selväksi, että MFA-pyyntö ilman omaa kirjautumisyritystä on hälytysmerkki. Teknisesti voidaan suosia vahvempia menetelmiä ja ottaa käyttöön ehdollinen pääsynhallinta (esim. laitevaatimukset, sijainti, riskipohjaisuus) niissä ympäristöissä, joissa se on mahdollista.

Ongelma 4: Käytännöt ovat olemassa, mutta henkilöstö ei tunne niitä

Riski: oikea toimintatapa ei toteudu, koska se ei ole osa arkea.

Ratkaisu: tietoturvakoulutus, joka kytkeytyy teidän käytäntöihin ja työkaluihin. Lisäksi muistutukset ja lyhyet, toistuvat tietoiskut toimivat paremmin kuin kerran vuodessa tehtävä ”pakollinen koulutus”. Käpy A.I. Oy voi auttaa rakentamaan jatkuvan, kevyen mallin, jossa osaaminen pysyy yllä ja uudet työntekijät saadaan nopeasti mukaan.

Milloin kannattaa ottaa ulkopuolinen kumppani mukaan

Salasanakäytäntöjen kehitys on usein poikkihallinnollinen hanke: IT vastaa toteutuksesta, HR ja johto vaikuttavat jalkautukseen, ja liiketoimintayksiköt määrittävät, mikä on ”riittävän sujuvaa” arjessa. Ulkopuolinen asiantuntija on hyödyllinen erityisesti, kun:

  • organisaatiossa on tapahtunut (tai epäillään) tilikaappaus tai tietojenkalastelun onnistuminen
  • MFA:n käyttöönotto on jäänyt kesken tai sen poikkeuksia on liikaa
  • käytännöt ovat vanhat eikä kukaan omista niiden päivittämistä
  • tarvitaan selkeä riskiperusteinen malli ja toimenpidelista, joka etenee ilman raskasta projektia

Käpy A.I. Oy:n lähestymistapa on käytännönläheinen: ensin luodaan tilannekuva, sitten priorisoidaan toimet, ja lopuksi varmistetaan, että henkilöstö osaa toimia oikein. Yhdistämällä kartoituksen, konsultoinnin ja koulutuksen saadaan aikaan muutos, joka näkyy arjessa ja vähentää riskejä konkreettisesti.

CTA: Ota salasanakäytännöt hallintaan käytännönläheisesti

Jos salasanat, MFA ja tunnusten hallinta tuntuvat organisaatiossa hajanaisilta, seuraava järkevä askel on selvittää nykytila ja sopia selkeä malli: mitä suojataan, miten ja kuka vastaa mistäkin.

Tutustu Käpy A.I. Oy:n tietoturvakartoituksiin ja tietoturvakoulutuksiin, tai ota yhteyttä ja aloitetaan keskustelu teidän tilanteesta: yhteystiedot.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma