Salasanaväsymys kehittyy vähitellen. Sen aiheuttaa uusien kirjautumisten ja tilien luomisen henkinen kuormitus, lukuisat salasanojen palautukset ja se, että kymmenet tai jopa sadat salasanat väistämättä katoavat mielestä, sillä kaikkia niitä on mahdotonta seurata. Tiimin jäsenet yrittävät väistämättä hallita salasanaväsymystä turvattomilla käytännöillä.
Nämä käytännöt aiheuttavat merkittävän turvallisuusongelman yrityksellenne, sillä pienetkin oikotiet voivat altistaa suurille riskeille. Uudelleen käytetty salasana voi auttaa hyökkääjää pääsemään käsiksi useisiin palveluihin. Heikko salasana voi murtua sanakirjahyökkäyksessä. Epävirallisesti jaettu salasana voi johtaa siihen, ettei selkeää auditointipolkua jää. Salasanaväsymystä on hallittava suunnittelemalla helppo ja tehokas pääsynhallinta yrityksenne verkossa.
Miten salasanaväsymys ilmenee työssä
Miksi salasanaväsymys aiheuttaa riskejä yritykselle
Vahvempien salasanojen luominen ei riitä
Todellinen ratkaisu salasanaväsymykseen
Miten Proton Pass for Business auttaa vähentämään salasanaväsymystä
Mitä salasanaväsymys on?
Salasanaväsymys on turhautumista ja ylikuormitusta, jota ihmiset kokevat, kun heidän on hallittava liian monia salasanoja liian monilla tileillä. Yritysympäristössä tämä tarkoittaa kirjautumistietojen luomista, muistamista, palauttamista, päivittämistä ja jakamista kymmenissä jokapäiväisissä työkaluissa. Näitä voivat olla sähköposti, viestintäalustat, projektinhallintaohjelmistot, HR-järjestelmät, taloustyökalut, pilvitallennustila ja muut työsovellukset.
Ajan myötä ja tilien määrän kasvaessa salasananhallinnasta voi tulla liian monimutkaista manuaalisesti hoidettavaksi. Jokaisella palvelulla tai tilillä voi olla erilaiset säännöt pituudelle, erikoismerkeille, palautuksille, lukituksille tai monivaiheiselle tunnistautumiselle. Ajan mittaan jokaisen salasanan pitäminen ainutlaatuisena, vahvana ja helposti käytettävänä muuttuu vaikeaksi ylläpitää.
Tässä vaiheessa salasanaväsymyksestä tulee riski yritykselle. Kun ihmiset kohtaavat liian monta salasanaa ja sääntöä, he usein keventävät taakkaansa käytännöllisillä mutta turvattomilla tavoilla. He käyttävät salasanoja uudelleen, luovat helposti arvattavia kuvioita, tallentavat kirjautumistiedot muistiinpanoihin tai laskentataulukoihin tai jakavat pääsyä epävirallisesti, kun kollegan on päästävä tilille nopeasti.
Miten salasanaväsymys ilmenee työssä
Kun yritätte arvioida yrityksenne salasanaväsymystä, sitä voi olla vaikea havaita, sillä se ilmenee eri tavoilla.
Salasanojen uudelleenkäyttö
Yleisin toimintamalli on salasanojen uudelleenkäyttö. Jos työntekijällä on liian monta salasanaa muistettavana, saman salasanan käyttäminen useilla tileillä voi tuntua tehokkaalta. Mutta jos yksi salasana paljastuu tietomurrossa, tietojenkalasteluhyökkäyksessä tai haittaohjelmatartunnassa, jokaiseen sitä käyttävään tiliin voidaan päästä käsiksi.
Ennalta arvattavat salasanat
Toinen toimintatapa on ennalta-arvattavuus. Ihmiset saattavat käyttää yrityksen nimeä, vuodenaikaa, vuotta, näppäimistökuviota, lemmikin nimeä tai pientä variaatiota vanhasta salasanasta, koska tällaiset kuviot on helpompi muistaa. Salasana kuten Spring2026! saattaa täyttää perussäännön, mutta se on silti helpompi arvata kuin pitkä, satunnainen salasana.
Hallitsematon tallennus ja epävirallinen jakaminen
Salasanaväsymys voi myös johtaa hallitsemattomaan tallennukseen ja epäviralliseen jakamiseen. Tiimin jäsenet saattavat kirjoittaa salasanoja muistikirjoihin, tallentaa niitä laskentataulukoihin, luottaa selaimeen tallennettuihin salasanoihin tai lähettää pääsytietoja chat-viesteissä ja sähköpostiketjuissa. Nämä oikotiet toimivat kyseisessä hetkessä, mutta ne levittävät kirjautumistiedot paikkoihin, joita yritys ei voi helposti valvoa, auditoida tai mitätöidä.
Jakaminen itsessään ei aina ole ongelma. Monilla yrityksillä on perusteltuja syitä jakaa pääsy tietyille tileille, erityisesti silloin, kun toimittajan työkalu ei tue henkilökohtaisia tilejä, kertakirjautumista tai roolipohjaisia käyttöoikeuksia. Turvallinen ja valvottu jakaminen yrityksen salasananhallinnassa on turvallista, koska pääsyä voidaan rajoittaa, päivittää ja mitätöidä hallitun järjestelmän kautta. Mutta kun tiimin jäsenet jakavat tietoja yrityksenne verkon ja hyväksyttyjen työkalujen ulkopuolella, menetätte verkkonne sisäänpääsyreittien hallinnan.
Miksi salasanaväsymys aiheuttaa riskejä yritykselle
Uudelleen käytetyt salasanat, ennalta arvattavat kuviot, hallitsematon tallennus ja epävirallinen jakaminen heikentävät kaikki niitä suojakeinoja, joihin yritykset luottavat luvattoman pääsyn estämisessä.
Salasanaväsymys on siis uhka yrityksenne pääsynhallinnalle. Jos yhtä paljastunutta kirjautumistietoa käytetään uudelleen useissa järjestelmissä, hyökkääjä saattaa pystyä siirtymään yhdestä tilistä sähköpostiin, SaaS-työkaluihin, pilvialustoihin tai ylläpitäjän järjestelmiin. Koska he käyttävät voimassa olevaa kirjautumista, tämä toiminta saattaa aluksi vaikuttaa lailliselta ja sitä voi olla vaikeampi havaita.
Salasanojen uudelleenkäyttö mahdollistaa credential stuffing -hyökkäykset
Credential stuffing -hyökkäykset toimivat, koska salasanojen uudelleenkäyttö on niin yleistä. Hyökkääjät käyttävät yhdestä tietomurrosta paljastuneita käyttäjätunnuksen ja salasanan yhdistelmiä yrittääkseen päästä muihin palveluihin tietäen, että monet ihmiset käyttävät kirjautumistietojaan uudelleen eri tileillä.
Yrityksille vain yksi vuotanut salasana voi aiheuttaa vakavia ongelmia. Paljastunut sähköpostin salasana voi antaa hyökkääjälle mahdollisuuden palauttaa pääsyn muihin työkaluihin. Projektinhallintatili voi paljastaa asiakastietoja, sisäisiä tiedostoja, linkkejä muihin järjestelmiin tai toiminnallisia tietoja. Pääsy ylläpitäjän tilille voi olla vieläkin vakavampaa, sillä sen avulla hyökkääjät voivat muuttaa asetuksia, luoda uusia tilejä tai korottaa käyttöoikeuksia.
Kun hyökkääjällä on hallussaan yhdetkin kirjautumistiedot, salasanojen uudelleenkäyttö mahdollistaa heidän siirtymisensä sivusuunnassa yrityksen verkossa. He voivat tutkia ympäristöä, testata pääsyä muihin järjestelmiin ja etsiä arvokkaampia tilejä. Uudelleen käytetyt salasanat helpottavat tätä prosessia, sillä yksi paljastunut kirjautumistieto voi avata useamman kuin yhden oven.
Heikot salasanat vähentävät brute-force-hyökkäysten sietokykyä
Heikko tai ennalta arvattava salasana on helpompi arvata brute-force-, sanakirja- tai kuviopohjaisten hyökkäysten avulla. Hyökkääjät käyttävät automatisoituja työkaluja, vuotaneita salasanatietokantoja ja yleisiä korvauksia.
Salasanaväsymys lisää heikkojen salasanojen todennäköisyyttä, koska ihmiset optimoivat muistettavuuden. He valitsevat sen, minkä pystyvät muistamaan, eivät sitä, mikä on vaikeinta murtaa. Vahvan salasanan tulisi olla pitkä, ainutlaatuinen ja satunnainen, mutta jokaisen työntekijän pyytäminen luomaan ja muistamaan manuaalisesti kymmeniä pitkiä, ainutlaatuisia ja satunnaisia salasanoja ei ole realistista. Ilman yrityksen salasananhallintaa ohje on teknisesti oikea mutta käytännössä heikko.
Epävirallinen jakaminen poistaa vastuullisuuden
Kun useat ihmiset käyttävät samaa jaettua kirjautumistunnusta, on vaikeampi seurata, kuka sitä käyttää ja milloin. Jos tiedosto poistetaan, asetus muuttuu, maksu hyväksytään tai tietoja viedään, lokit saattavat näyttää vain tilin toiminnan eivätkä yksittäisiä käyttäjiä.
Jaetut kirjautumiset voivat myös vaikeuttaa työntekijän poistamista järjestelmistä (offboarding). Jos työntekijällä on ollut pääsy jaettuihin kirjautumistietoihin chat-historian, asiakirjojen tai kuvankaappausten kautta, hänen henkilökohtaisen tilinsä poistaminen ei välttämättä poista hänen käytännön pääsyään. Turvallinen jakaminen yrityksen salasananhallinnan kautta auttaa tiimejä tekemään yhteistyötä ilman, että arkaluonteisia tietoja jaetaan valvomattomissa kanavissa.
Hajanaiset salasanat hidastavat poikkeamiin reagoimista
Tietoturvapoikkeaman aikana tiimien saattaa olla tarpeen mitätöidä pääsy, kierrättää salasanat, tarkistaa toiminta ja vahvistaa, mihin järjestelmiin poikkeama vaikuttaa. Salasanaväsymys tekee tästä vaikeampaa, kun kirjautumistietoja käytetään uudelleen, tallennetaan liian moneen paikkaan tai jaetaan epävirallisesti. Tietoturvatiimi ei välttämättä tiedä, mitä salasanoja on olemassa, kenellä ne ovat, mihin ne on tallennettu tai mitkä tilit ovat riippuvaisia niistä.
Tämä epävarmuus pidentää reagointiaikaa ja lisää yritystoiminnan häiriöitä. IBM:n raportti Cost of a Data Breach Report 2025(uusi ikkuna) arvioi tietomurron maailmanlaajuisiksi keskimääräisiksi kustannuksiksi 4,4 miljoonaa dollaria, vaikka määrä on vähentynyt edellisestä vuodesta.
Vahvempien salasanojen luominen ei riitä
Työntekijöiden kehottaminen käyttämään vahvempia salasanoja kuulostaa järkevältä. Mutta pelkät vahvemmat salasanat eivät voi ratkaista salasanaväsymystä. Joissakin tapauksissa tämä lähestymistapa voi jopa pahentaa ongelmaa.
Vahvasta salasanasta on hyötyä vain, jos se on ainutlaatuinen, tallennettu turvallisesti ja sitä käytetään johdonmukaisesti oikeassa paikassa. Jos työntekijöiden odotetaan luovan ja muistavan jokaisen vahvan salasanan itse, taakka muodostuu liian suureksi. He saattavat vastata tähän käyttämällä yhtä vahvaa salasanaa uudelleen kaikkialla, tekemällä siitä ennalta arvattavia muunnelmia tai tallentamalla salasanat johonkin turvattomaan paikkaan.
Ihmiset pystyvät muistamaan muutamia tärkeitä salaisuuksia, mutta he eivät voi luotettavasti muistaa kymmeniä ainutlaatuisia, satunnaisia ja korkean entropian salasanoja muuttuvissa yrityksen työkaluissa. Kun salasanakäytäntö(uusi ikkuna) jättää tämän todellisuuden huomiotta, se luo kuilun sen välille, mitä yrityksenne sanoo ihmisten pitävän tehdä ja mitä ihmiset todellisuudessa pystyvät tekemään.
Tästä syystä nykyaikaiset tietoturvaohjeet ovat luopuneet säännöistä, jotka aiheuttavat tarpeetonta salasana-stressiä. Jos valvontakeino ohjaa ihmisiä kohti turvattomampaa toimintaa, se saattaa heikentää turvallisuutta sen parantamisen sijaan.
Parempi lähestymistapa on suunnitella salasanaturvallisuus sen mukaan, miten ihmiset yrityksessänne työskentelevät. Heidän ei pitäisi joutua opettelemaan ulkoa jokaista salasanaa, luomaan vahvoja kirjautumistietoja manuaalisesti tai liittämään salaisuuksia chattiin pitääkseen työn käynnissä. Turvallisesta toiminnasta on tehtävä helpoin vaihtoehto.
Todellinen ratkaisu salasanaväsymykseen
Viime kädessä paras lähestymistapa on luopua lisätaakan asettamisesta työntekijöille. Salasanaväsymyksen ratkaiseminen ei tarkoita sitä, että työntekijöitä pyydetään muistamaan enemmän, yrittämään kovemmin tai keksimään vahvempia salasanoja itse. Tämä asettaa taakan yksilön muistin varaan sen sijaan, että se ulkoistettaisiin luotettavalle työkalulle.
Yrityksen salasananhallinta poistaa tämän taakan päivittäisestä työnkulusta. Sen sijaan, että työntekijöiden odotettaisiin muistavan jokaisen kirjautumistiedon, sen avulla he voivat luoda vahvoja, ainutlaatuisia salasanoja, tallentaa ne turvallisesti, käyttää automaattitäyttöä tarvittaessa ja jakaa pääsyä valvotusti. Sen sijaan, että ihmisiä yritettäisiin pakottaa yrittämään enemmän, tämä tekee turvallisimmasta toiminnasta helpoimman valinnan.
Salasanageneraattorit ovat hyödyllisiä, mutta niitä on käytettävä oikein: salasanageneraattori on ominaisuus, ei itsenäinen yritysratkaisu. Todellinen arvo yrityksellenne syntyy silloin, kun vahvojen salasanojen luominen on sisäänrakennettu yrityksen salasananhallintaan, joka voi myös tallentaa, täyttää automaattisesti, jakaa ja hallita kirjautumistietoja. Tämä tekee myös yrityksen salasananhallinnasta vahvemman kuin selaimeen sisäänrakennettu salasananhallinta.
Selaimiin sisäänrakennetut salasananhallintaohjelmat voivat auttaa yhtä henkilöä tallentamaan omat salasanansa, mutta yrityksellänne ei ole siihen hallinnollista valvontaa: jaettua hallintaa tai selkeää yrityksen kirjautumistietojen omistajuutta ei ole. Yritykselle salasananhallinta tekee ainutlaatuisista kirjautumistiedoista oletusasetuksen kaikilla työtileillä ilman, että työntekijöille aiheutuu lisätyötä tai menetettäisiin pääsynhallinta.
Hallitut salasanaholvit antavat myös jokaiselle kirjautumistiedolle kunnollisen kodin. Sen sijaan, että salasanat päätyisivät muistiinpanoihin, laskentataulukoihin, selainprofiileihin tai asiakirjoihin, tiimeillä on yksi turvallinen paikka säilyttää ja käyttää tarvitsemaansa. Tämä vähentää salasanojen leviämistä ja antaa ylläpitäjille selkeämmän näkymän käyttöoikeuksiin, poistoprosesseihin ja salasanojen kiertoon, kun jotain muuttuu.
Valvottu jakaminen on osa samaa siirtymää pois salasanaväsymyksestä. Joitakin yrityksen kirjautumistietoja on edelleen tarpeen jakaa, mutta kysymys on siitä, miten se tehdään turvallisesti. Epävirallisessa jakamisessa salasanat päätyvät turvattomiin sijainteihin. Kun käytetään valvottua jakamista yrityksen salasananhallinnassa, pääsyä voidaan hallita harkitummin. Tiimit voivat jakaa kirjautumistietoja holvien kautta, rajoittaa sitä, kenellä on pääsy, päivittää salasanoja ja mitätöidä pääsyn tarvittaessa.
Viime kädessä yrityksen salasananhallinta mahdollistaa vahvemman salasanakäyttäytymisen ilman ylimääräistä työtä. Automaattitäyttö auttaa työntekijöitä käyttämään työkaluja ilman, että heidän tarvitsee kirjoittaa tai muistaa monimutkaisia salasanoja. Sisäänrakennettu salasanojen luomistoiminto tarkoittaa, ettei heidän tarvitsee itse keksiä vahvoja kirjautumistietoja yrittäessään täyttää salasanakäytäntöjenne standardeja. Jäsennellyt holvit helpottavat pääsyä, ja ylläpitäjän hallintatyökalut auttavat yritystä pitämään käytännöt yhtenäisinä.
Miten Proton Pass for Business auttaa vähentämään salasanaväsymystä
Proton Pass for Business on turvallinen yrityksen salasananhallinta, joka auttaa tiimejä vähentämään salasanaväsymystä korvaamalla manuaaliset salasanatottumukset turvallisella ja hallittavalla järjestelmällä. Työntekijät voivat luoda vahvoja, yksilöllisiä salasanoja, tallentaa ne salattuihin holveihin ja käyttää niitä tarvittaessa ilman, että heidän tarvitsee turvautua muistiinsa, selaimen tallentamiin salasanoihin tai turvattomiin kiertoteihin.
Ylläpitäjille Proton Pass for Business tarjoaa keskitetyn kirjautumistietojen hallinnan tiimeille. Se auttaa yrityksiä vähentämään salasanojen uudelleenkäyttöä, rajoittamaan epämuodollista jakamista ja parantamaan näkyvyyttä siihen, miten kirjautumistietoja hallitaan. Sen sijaan, että salasanat olisivat laskentataulukoissa, chateissa, selainprofiileissa tai henkilökohtaisissa muistiinpanoissa, tiimit voivat käyttää erityisesti yrityskäyttöön suunniteltua salasananhallintaa.
Protonin SMB Cybersecurity Report 2026 -raportti vahvistaa sen, että salasanaväsymys ei ole vain yksittäisen käyttäjän käyttäytymisongelma, vaan myös järjestelmäongelma. Raportissa havaittiin, että 48 %:lla kyselyyn vastanneista pienistä ja keskisuurista yrityksistä ei ole käytössään salasananhallintaa organisaatiossaan, ja osa niistäkin, joilla on, jakaa silti kirjautumistietoja sähköpostitse, viestisovelluksissa, jaetuissa asiakirjoissa, keskusteluissa tai kirjallisissa muistiinpanoissa.
Siksi käyttöönoton, käytäntöjen ja hallitun jakamisen on toimittava yhdessä. Protonin opas salasanakäytännön luomiseen esittää saman käytännön perustelun: vahvan käytännön tulisi tarjota työntekijöille työkalut sen noudattamiseen.
Proton Pass on suunniteltu Protonin laajemman tietoturvamallin ympärille. Se käyttää päästä päähän -salausta kaikille tallennetuille kirjautumistiedoille, mukaan lukien metatiedoille, on avointa lähdekoodia, läpikäy riippumattomia tarkastuksia ja tukeutuu Protonin omaan infrastruktuuriin.
Proton Pass for Business tarjoaa sekä suurille organisaatioille että pienemmille tiimeille, joilla ei ole suuria tietoturvatiimejä, käytännöllisen tavan vähentää salasanojen uudelleenkäyttöä, korvata turvaton jakaminen ja tehdä turvallisesta käytöstä helpompaa noudattaa joka päivä.






