Artikkeli
2. syyskuuta 2025 · 5 min lukuaikaSamu Warinowski, Nitorin Site Reliability Engineer ja Service Manager, innostuu monesta asiasta, mutta yksi asia on ylitse muiden: moderni ja käyttäjäystävällinen digitaalinen turvallisuus. Samu jakaa tuoreimmat päivitykset yritysmaailman salasanaohjeistuksista ja kertoo, miksi pakotettu salasanojen uusimiskäytäntö on vanhentunut ja riskialtis.
Istuin baarissa ystäväni kanssa ja aloitin tavanomaisen ränttäykseni salasanoista. Kerroin, että "Aurinko1!" on yksi huonoimmista salasanoista mitä voin kuvitella.
"Hei se on mun äidin Netflix-salasana!", kuului vastaus.
Lähdin kotiin ja aloin kirjoittamaan tätä artikkelia.
Voimme kaikki myöntää, ettemme pidä pakollisista salasanan vaihdoista. Moni yritys tai koulu edelleen pakottaa päivittämään salasanat 90 päivän välein - usein tiukkojen monimutkaisuussääntöjen kanssa, joihin liittyvät isot kirjaimet, numerot ja symbolit.
Lopputulos? Salasanakäytäntö, joka johtaa heikkoihin, helposti arvattaviin salasanoihin kuten "Password2025!". Miksi tämä lähestymistapa on vanhentunut ja tehoton? Käydään se nyt läpi ja mitä kannattaisi tehdä sen sijaan.
Miksi salasanoilla on merkitystä?
Salasanat ovat digitaalisen maailmamme yleisin todentamis- ja suojausmenetelmä. Ne toimivat yleensä ensimmäisenä ja joskus ainoana puolustuksena luvattoman pääsyn estämisessä, mikä usein tekee niistä hakkereiden pääkohteen.
Jos käytämme heikkoja salasanoja, annamme hakkereille tarjottimella helpon tavan päästä käsiksi kriittisiin ja arkaluontoisiin tietoihimme. Digimaailmassa nämä voivat olla esimerkiksi pankkitili, sähköposti, sosiaalisen median kanavat tai töihin liittyvät tiedostot. Salasanojen murtaminen on yleensä halpaa, ja murron taloudellinen hyöty voi olla eksponentiaalisesti merkittävästi suurempi.
Kun salasana on murrettu, tiliä voidaan käyttää "hiljaisesti" ilman selviä varoitusmerkkejä murrosta, mikä tekee yrityksen tietojen kalastelusta tai tilin jälleenmyynnistä helppoa. Todennäköisesti huomaisit varastetun lompakon puuttumisen välittömästi, mutta sovelluksissa ja järjestelmissä hakkerit voivat käyttää murtamaansa salasanaa viikkoja tai kuukausia tietämättäsi. Tänä aikana he saattavat tyhjentää tilisi, varastaa identiteettisi tai käyttää sähköpostiasi nollatakseen muiden käyttämiesi palveluiden salasanoja.
Asiantuntijoiden suositukset
National Institute of Standards and Technology (NIST) on Yhdysvaltojen liittovaltion virasto, joka kehittää mittausstandardeja ja edistää teknologisia innovaatiota tukemaan teollisuutta ja organisaatioita maailmanlaajuisesti. NIST:n kyberturvallisuuskehys (Cybersecurity Framework) tarjoaa organisaatioille käytännön apua kyberturvallisuusriskien hallintaan ja digitaalisten resurssien suojaamiseen.
Uusimmassa päivityksessään, jonka viimeisin versio julkaistiin 31.7.2025, NIST ei suosittele säännöllisiä salasananvaihtoja tai monimutkaisia sääntöjä salasanoille.
Uusimmat ohjeet
NIST:n nykyinen kanta salasanakäytäntöihin perustuu moderniin tutkimukseen. Tässä muutama oleellisin kohta heidän SP 800-63B -päivityksensä osalta:
Ei pakotettuja, säännöllisiä salasananvaihtoja - ellei tietomurtoa epäillä
Vahvaa salasanaa ja monimutkaisuutta ei haeta symbolien kautta - keskitytään pituuteen, ei satunnaisiin merkkeihin
Älä estä kopioi-liitä -toimintoa ja salasanan näkymistä - jotta salasananhallintaohjelmien käyttö olisi vaivatonta (tästä lisää myöhemmin)
Miksi vanhentuneet säännöt kostautuvat
NIST suositteli aiemmin säännöllisiä salasananvaihtoja. Siis yhdeksän vuotta sitten! Tässä syyt, miksi he muuttivat mieltään:
1. Pakotetut vaihdot kannustavat heikkoihin salasanoihin
Ihmiset eivät kykene luomaan ja muistamaan uutta ainutlaatuista, pitkää salasanaa 90 päivän välein. Sen sijaan he toistavat ennustettavia malleja:
salasana → salasana1 → salasana2
Hakkerit hierovat käsiään yhteen helposti arvattavien kaavojen äärellä.
2. "Monimutkaiset" salasanat eivät ole monimutkaisia
Turvallisuuskäytännöt kieltävät usein salasanat kuten "salasana", joten ihmiset vaihtavat sen versioon "Salasana2025!".
Tämä tekee hakkerien työstä helppoa. Hyökkääjät tuntevat jo kaavan: iso alkukirjain, numero ja loppuun symboli.
3. Hakkerit hyödyntävät yleisiä kaavoja
Mitkä sanat murretaan nopeasti? Esimerkiksi:
password
letmein
aurinko (jostain syystä erityisen yleinen Suomessa)
Jos salasanasi on koostettu näiden pohjalta, kohtele sitä kuin murto olisi jo tapahtunut. Vaihda se ensitilassa.
Jopa "vaikeammin arvattava" sana kuten CareBear1! on huomattavasti simppelimpi murtaa, kun voidaan olettaa kahden viimeisen merkin olevan numero ja huutomerkki.
Kuinka luoda vahva salasana?
1. Käytä salalauseita, älä salasanoja
Pituus on tärkeämpää kuin satunnaiset sanat. Pitkä salasana, joka sisältää useita sanoja, jotka eivät suoraan liity toisiinsa (mutta ehkä luovat tarinan, jonka muistat) kuten:
koira-asiantuntija-ruoanlaitto-sijainti-juoksu-sää
...on paljon turvallisempi kuin Th1s!sMyP@ssw0rd. Hakkerit käyttävät tietokantoja, jotka ovat täynnä tunnettuja sanoja ja malleja, ja pitkät “salauslauseet” tekevät niiden läpikäymisestä teknisesti mahdotonta. Salasananhallintaohjelmat osaavat luoda salauslauseita automaattisesti, joten se on yhtä helppoa kuin tavallisen salasanan luominen. Seuraavaksi pureudutaankin salasananhallintaohjelmiin.
2. Ota salasananhallintaohjelma käyttöön koko yrityksessä
Salasananhallintaohjelmat luovat vahvat ja yksilölliset salasanat jokaiselle käyttämällesi digipalvelulle ja tallentavat ne. Ohjelman avulla saat helposti luotua eri salasanat jokaiselle tilillesi. Tämä helpottaa salasanojen käyttöä.
Nitorilla käytämme Bitwardenia. Se:
Tallentaa kaikki salasanasi turvallisesti
Luo uusia, vahvoja salasanoja jokaiselle tilille
Vaatii vain yhden pitkän ja tehokkaan pääsalasanan muistamisen päästäksesi käsiksi koko salasanakirjastoosi
3. Ota käyttöön kaksivaiheinen tunnistautuminen (2FA)
Yhdistä salasananhallintaohjelmasi kaksivaiheisen tunnistautumisen (two factor authentication, 2FA) sovellukseen, esimerkiksi Microsoftin Authenticatoriin.
Kun kirjaudut sisään uudesta laitteesta, sovellus luo lyhyen, kertakäyttöisen 30 sekuntia kerrallaan voimassaolevan koodin vahvistaakseen sinut. Joten vaikka hallintasovelluksesi pääsalasana murrettaisiin, tilillesi ei pääse läpi ilman autentikointisovellukseen kirjautumista ja annetun koodin täyttämistä.
Tulevaisuus: ei salasanoja ollenkaan
Passkey-avaimet ovat täällä, ja ne ovat digitaalisen turvallisuuden tulevaisuus. Passkey on todentamismenetelmä, joka poistaa salasanojen tarpeen. Käyttäjät voivat kirjautua tileihinsä biometristen tunnisteiden, kuten sormenjäljen tai kasvojentunnistuksen, tai laitteen näytönlukitusmenetelmän, kuten PIN-koodin tai kuvion avulla. Miten ne toimivat?
Julkinen avain tallennetaan sovellukseen. Tämä tieto voi olla täysin julkinen, julkisella avaimella ei voida tehdä tietomurtoa.
Yksityinen avain tallennetaan laitteeseesi tai salasananhallintaohjelmaasi. Tämä on yksityinen osa, ainoa asia joka saa julkisen avaimen avaamaan sovelluksen.
Kun kirjaudut sisään, palvelu tarkistaa, että tallennettu yksityinen avain täsmää, eikä salasanaa tarvita. Se on saumaton, turvallinen, äärimmäisen helppo käyttää ja lähes mahdoton murtaa.
Passkey-avaimet ovat turvallisempia ja yksinkertaisempia. Niiden käyttöönotto lisääntyy nopeasti ja ne tulevat olemaan saatavilla kaikkialla. Esimerkiksi Google, Apple ja Microsoft tukevat niitä jo sovelluksissaan. Koska salasananhallintasovelluksesi voi tallettaa myös Paaskey-avaimia, voit käyttää Passkeyta kun mahdollista, salalauseita kun se ei ole, ja kaikki toimivat edelleen saman pääsalasanan kautta.
Epilogi
On kulunut yhdeksän vuotta siitä, kun suositellut salasanakäytännöt muutettiin, mutta silti maailmanlaajuisesti suurin osa yrityksistä käyttää auttamattomasti vanhentuneita ohjeita edelleen. Modernien, parhaiden käytäntöjen sivuuttaminen antaa hakkereille suoran edun, tehden kohteisiin hyökkäämisestä huomattavasti helpompaa. Hakkerit hyödyntävät heikkoja, uudelleen käytettyjä ja/tai ennustettavia salasanoja, ja vanhat ohjeet kannustavat ihmisiä tekemään juuri tällaisia.
Turvallisuusohjeissa yksinkertaisin lähestymistapa osoittautuu usein tehokkaimmaksi. Kun prosessista tulee liian vaativa, käyttäjät etsivät luonnostaan oikoteitä. Tämä johtaa usein heikompiin turvallisuuskäytäntöihin, kuten helposti muistettavien (ja helposti arvattavien) salasanojen käyttöön, erityisesti kun ihmisiä pakotetaan päivittämään niitä usein. Kun teemme järjestelmistä helppokäyttöisiä, käyttäjillä on vähemmän syitä kiertää turvallisuusvaatimuksia.
Jos meillä on tapoja parantaa turvallisuutta samalla tehden järjestelmistä helppokäyttöisempiä, en keksi mitään syytä olla tekemättä niin.
Unohdetaan siis viimein uskomukset, että pakotetut salasananvaihdot ja satunnaiset symbolit luovat turvallisuutta. Aloitetaan vahvojen, käyttäjäystävällisten järjestelmien ja prosessien rakentaminen.