Salasanasuojauksen parhaat käytännöt 2026: vahvat salasanat, hallinta ja MFA käytännössä

Miksi salasanasuojaus on edelleen yksi suurimmista riskeistä yrityksissä?

Salasanat ovat yhä useimmissa organisaatioissa tärkein yksittäinen tunnistautumisen muoto. Samaan aikaan ne ovat tyypillisin syy siihen, miksi hyökkääjä pääsee sisään: heikot tai kierrätetyt salasanat, vuotaneet tunnukset, puutteellinen monivaiheinen tunnistautuminen ja epäselvät toimintatavat arjen tilanteissa. Vuonna 2026 tilanne ei ole muuttunut helpommaksi, koska pilvipalveluiden, etätyön ja kumppaniverkostojen määrä kasvattaa tunnusten määrää ja käyttötilanteita.

Yrityksen näkökulmasta salasanasuojauksen ongelma ei yleensä ole se, ettei tiedettäisi “miten pitäisi tehdä”, vaan se, että hyvät käytännöt eivät muutu johdonmukaisiksi toimintatavoiksi. Tähän tarvitaan kahta asiaa: 1) selkeä, riskiperusteinen malli (politiikat, tekniset kontrollit ja valvonta) ja 2) henkilöstön osaaminen, joka tekee mallista toimivan käytännössä.

Käpy A.I. Oy auttaa rakentamaan salasanasuojauksen käytännöt osaksi arkea tietoturvakoulutusten, tietoturvakartoitusten ja kohdennetun konsultoinnin kautta. Tavoite ei ole lisätä sääntöjä, vaan vähentää tunnusriskiä konkreettisilla päätöksillä: mitä otetaan käyttöön, missä järjestyksessä ja miten vaikutus varmistetaan.

Salasanasuojauksen parhaat käytännöt: malli, joka toimii myös kiireessä

Toimiva salasanasuojauksen malli rakentuu useasta kerroksesta. Jos jokin kerros pettää (esimerkiksi salasana vuotaa), seuraava kerros estää vahingon. Alla on käytännönläheinen kokonaisuus, jota voidaan soveltaa sekä pk-yrityksissä että suuremmissa organisaatioissa.

1) Vahvat salasanat: pituus, yksilöllisyys ja käytettävyys

Vahva salasana ei ole “monimutkainen” vaan ennen kaikkea riittävän pitkä ja uniikki. Käytännössä paras lopputulos saavutetaan, kun ohjeistus suosii pitkiä salalauseita ja kieltää salasanan kierrätyksen palvelusta toiseen. Tyypillisiä kompastuksia ovat:

• yksi “vahva” salasana, jota käytetään useassa palvelussa
• salasanat, jotka perustuvat yrityksen nimeen, vuodenaikoihin tai helposti arvattaviin muotoihin
• salasanan jakaminen tiimin kesken (esim. yhteinen sähköpostilaatikko tai järjestelmä)

Käytännössä ohjeistus kannattaa muotoilla niin, että se on helppo noudattaa: selkeät vaatimukset, esimerkit hyvistä salalauseista ja nopea ohje “mitä teen, kun unohdan”. Koulutuksessa tämä sidotaan suoraan arjen tilanteisiin, jotta ohje ei jää irralliseksi dokumentiksi.

2) Salasananhallinta (password manager): riskin pienin, nopein pudotus

Salasananhallintaohjelma on usein se yksittäinen muutos, jolla saadaan suurin parannus: uniikit salasanat jokaiseen palveluun, helppo käyttöönotto ja pienempi tarve “muistaa kaikkea”. Yritystasolla on tärkeää päättää, miten hallinta toteutetaan:

• hyväksytty työkalu ja käyttötapa (esim. selainlaajennus + mobiili)
• organisaation omistajuus: kenellä on ylläpito ja palautusprosessit
• jaettujen tunnusten korvaaminen: siirtymäpolku yhteisistä tunnuksista henkilökohtaisiin
• kriittisten järjestelmien “break-glass” -tilit ja niiden säilytys

Käpy A.I. Oy:n konsultointi auttaa valitsemaan mallin, joka sopii organisaation IT-ympäristöön ja vaatimuksiin. Tavoite on vähentää hallinnollista kuormaa ja parantaa valvottavuutta, ei lisätä käyttäjien kitkaa.

3) Monivaiheinen tunnistautuminen (MFA): perusvaatimus, ei lisäominaisuus

Vuonna 2026 MFA kuuluu kaikkiin kriittisiin palveluihin: sähköposti, pilvipalvelut, ylläpitotunnukset, VPN/etäyhteydet ja taloushallinnon järjestelmät. Hyökkääjä voi saada salasanan haltuunsa tietojenkalastelulla tai vuotaneesta palvelusta, mutta MFA pysäyttää suuren osan hyökkäyksistä ennen kuin ne etenevät.

Keskeistä on varmistaa, että MFA ei jää “osittaiseksi käyttöönotoksi”. Tyypilliset puutteet liittyvät poikkeuksiin (vanhat protokollat), puuttuviin vaatimuksiin kumppanitunnuksille sekä ylläpitotilien heikkoon suojaamiseen. Näitä voidaan arvioida osana nykytilan kartoitusta ja korjata hallitulla käyttöönotolla.

4) Pääkäyttäjäoikeuksien hallinta: vähimmän oikeuden periaate käytännössä

Salasanoihin liittyvä riski kasvaa merkittävästi, kun tunnukseen liittyy laajat oikeudet. Siksi pääkäyttäjäoikeuksien hallinta on salasanasuojauksen tärkeä jatke: käyttäjällä on normaalityöhön perustili ja admin-oikeudet myönnetään vain tarpeeseen, mieluiten määräaikaisesti ja valvotusti.

Käpy A.I. Oy tukee organisaatioita mallin rakentamisessa, jossa admin-oikeudet ovat hallittuja ja todennettavia. Käytännössä tämä tarkoittaa rooleja, lokitusta, hyväksyntäprosesseja ja sitä, että ylläpidon työ ei perustu pysyviin “superuser”-tunnuksiin. Aiheeseen voi perehtyä myös sivulla paikallisten pääkäyttäjäoikeuksien hallinta, jossa kuvataan hallinnan periaatteita käytännön näkökulmasta.

Miten tietoturvakartoitus paljastaa salasanasuojauksen todelliset aukot?

Salasanasuojausta on vaikea kehittää vain ohjeita kirjoittamalla, koska todelliset riskit ovat yleensä järjestelmien ja käytäntöjen rajapinnoissa: kenen vastuulla on MFA-pakotus, missä järjestelmissä on vanhoja kirjautumistapoja, miten poistuvat työntekijät käsitellään ja miten kumppanit pääsevät ympäristöön. Tietoturvakartoituksen arvo on siinä, että se tekee tilanteesta mitattavan ja päätöksenteon kannalta selkeän.

Tietoturvakartoituksissa tyypillisesti tarkennetaan vähintään seuraavat kokonaisuudet:

• Tunnistautumisen kattavuus: missä palveluissa on MFA, missä ei, ja miksi.
• Käyttäjähallinnan prosessit: liittymisen, roolimuutosten ja poistumisen käytännöt (JML).
• Ylläpitotilit ja palvelutilit: missä niitä on, miten niitä suojataan ja valvotaan.
• Jaetut tunnukset: missä niitä käytetään, mitä riskiä ne aiheuttavat ja millä mallilla ne poistetaan.
• Lokitus ja reagointi: miten epäilyttäviin kirjautumisiin reagoidaan, kenen toimesta ja millä aikataululla.

Kun aukot on tunnistettu, seuraava askel on priorisointi. Kaikkea ei tarvitse tehdä kerralla, mutta kaikkea ei myöskään kannata siirtää “seuraavaan vuoteen”. Kartoituksen tuloksena syntyy tyypillisesti toimenpidelista, jossa näkyy vaikutus, vaiva ja riippuvuudet. Tämä tekee salasanasuojauksen kehittämisestä hallittavan projektin, ei jatkuvaa palojen sammuttamista.

Tietoturvakoulutus tekee käytännöistä totta: mitä henkilöstön pitää osata?

Tekniset kontrollit eivät riitä, jos käyttäjä ohittaa ne kiireessä tai ei tunnista riskiä. Toisaalta pelkkä koulutus ei riitä, jos järjestelmät mahdollistavat heikot käytännöt. Siksi Käpy A.I. Oy yhdistää koulutuksissa käytännön toimintamallit organisaation omaan ympäristöön: mitä meillä tehdään, miksi ja miten.

Tietoturvakoulutuksissa salasanasuojauksen kannalta keskeisiä osa-alueita ovat:

• Salasanan kierrätyksen riski ja miten salasananhallinta poistaa tarpeen kierrättää.
• Tietojenkalastelu arjessa: miten tunnistaa tyypilliset kirjautumissivujen huijaukset ja mitä tehdä, jos tuli syötettyä tunnus.
• MFA-käytännöt: mitä hyväksyä, mitä ei (esim. yllättävät kirjautumispyynnöt) ja miten toimia poikkeustilanteissa.
• Jaettujen tunnusten korvaaminen: miten toimitaan, jos “yhteinen tunnus” on ollut tapa.
• Toimintamalli poikkeamissa: kenelle ilmoitetaan ja millä tiedoilla, jotta reagointi on nopeaa.

Hyvä koulutus näkyy käytännössä kahtena muutoksena: 1) käyttäjät uskaltavat pysäyttää tilanteen ja varmistaa, kun jokin tuntuu epäilyttävältä ja 2) käyttäjät osaavat käyttää sovittuja työkaluja (salasananhallinta, MFA) ilman turhautumista. Tämä pienentää suoraan riskiä, että yksi tunnusmurto laajenee liiketoimintaa häiritseväksi incidentiksi.

Konkreettinen etenemissuunnitelma: näin parannat salasanasuojausta 30–90 päivässä

Organisaatioissa on usein tarve saada parannuksia nopeasti ilman, että käynnistetään raskasta monivuotista ohjelmaa. Alla on malli, jota voidaan soveltaa käytännössä. Sisältö ja järjestys tarkentuvat aina ympäristön mukaan.

Vaihe 1 (0–30 päivää): minimoi tunnusmurtojen todennäköisyys

• MFA käyttöön kaikissa kriittisissä palveluissa ja ylläpitotileillä, poikkeukset näkyväksi ja poistoon.
• Salasananhallinnan käyttöönoton suunnitelma: työkalu, omistajuus, ohjeet ja tuki.
• Nopea ohjeistus: miten toimitaan, jos epäillään tietojenkalastelua tai tunnus on vuotanut.

Vaihe 2 (30–60 päivää): hallitse oikeudet ja jaetut tunnukset

• Jaettujen tunnusten kartoitus ja korvausmalli (henkilökohtaiset tunnukset, roolit, tarvittaessa holvi).
• Admin-oikeuksien hallintamalli (tilapäiset oikeudet, lokitus, hyväksynnät).
• Käyttäjähallinnan prosessien (JML) läpikäynti ja vastuut selkeiksi.

Vaihe 3 (60–90 päivää): varmista pysyvyys valvonnalla ja mittareilla

• Seurantamittarit: MFA-kattavuus, riskitunnukset, poikkeusten määrä, koulutuksen läpäisy.
• Lokituksen ja hälytysten minimivaatimukset epäilyttäville kirjautumisille.
• Koulutuksen kertaus ja uusien työntekijöiden perehdytysmalli.

Kun perustaso on kunnossa, kehitys jatkuu luontevasti osana riskienhallintaa ja vaatimustenmukaisuutta. Jos organisaatiossa tavoitellaan esimerkiksi ISO 27001 -linjausta, tunnistautumisen kontrollit ja käyttäjähallinta nousevat luonnollisesti keskiöön myös kypsyystason arvioinnissa.

CTA: tehdään salasanasuojauksesta hallittu kokonaisuus

Jos tavoitteena on vähentää tunnusriskiä nopeasti ja käytännönläheisesti, aloita kartoittamalla nykytilan aukot ja sopimalla selkeä eteneminen: mitkä kontrollit otetaan käyttöön, miten henkilöstö koulutetaan ja miten toteutus varmistetaan arjessa.

Katso lisää Käpy A.I. Oy:n tietoturvakartoituksista ja tietoturvakoulutuksista tai ota yhteys ja sovitaan lyhyt alkukeskustelu: yhteystiedot.

Päivitetty: 2026-02-17T01:00:50.077-05:00