Kirjautumistietojen täyttäminen (credential stuffing) on yksi selkeimmistä esimerkeistä siitä, kuinka henkilökohtaiset salasanatottumukset voivat nopeasti muodostua yrityksen tietoturvaongelmaksi. Hyökkäys on yksinkertainen: rikolliset ottavat yhdessä tietomurrossa paljastuneet käyttäjätunnukset ja salasanat ja testaavat niitä sitten automaattisesti useissa muissa palveluissa toivoen, että jotkut ovat käyttäneet samaa kirjautumista uudelleen muualla.

Yrityksille tämä tarkoittaa sitä, että tietomurto, jolla ei ole mitään tekemistä yrityksenne kanssa, voi silti muodostua ongelmaksenne. Jos työntekijä on käyttänyt henkilökohtaista salasanaansa uudelleen työtilillään, kuluttajatietovuoto voi johtaa luvattomaan pääsyyn sähköpostiin, SaaS-työkaluihin, rahoitusalustoille, ylläpitäjän paneeleihin tai asiakasjärjestelmiin.

Selitämme, mitä kirjautumistietojen täyttäminen (credential stuffing) on, miksi se toimii suuressa mittakaavassa, miksi pienet ja keskisuuret yritykset ovat sille erityisen alttiita ja miten riskiä voidaan vähentää.

Miten credential stuffing vaikuttaa yrityksiin

Miksi credential stuffing toimii laajassa mittakaavassa

Miksi pk-yritykset ovat alttiimpia credential stuffing -hyökkäyksille

Mitä credential stuffing -hyökkäys voi aiheuttaa yritykselle

Miten ehkäistä credential stuffing -hyökkäyksiä

Mitä tehdä, jos epäilette credential stuffing -hyökkäystä

Miten credential stuffing vaikuttaa yrityksiin

Olemme selittäneet aiemmin yksityiskohtaisesti, mikä credential stuffing -hyökkäys on, joten nyt keskitymme siihen, mitä credential stuffing tarkoittaa yritystileille: miten yksi uudelleenkäytetty salasana voi vaarantaa yrityssähköpostin, SaaS-työkalut, ylläpitopaneelit ja asiakasjärjestelmät.

Tämäntyyppinen hyökkäys on tehokas, koska niin monet ihmiset käyttävät salasanoja uudelleen. Jos joku käyttää samaa salasanaa henkilökohtaisella ostostilillään, sosiaalisen median profiilissaan ja työkaluissaan, tietomurto yhdessä palvelussa voi paljastaa kaikkien kolmen salasanan.

Credential stuffing eroaa brute force -hyökkäyksestä. Hyökkääjät käyttävät brute force -hyökkäyksiä salasanojen arvaamiseen. Credential stuffing -hyökkäyksessä heillä on jo käytössään aiemmista vuodoista peräisin olevat todelliset kirjautumistiedot – he voivat sitten testata, toimiiko sama salasana muualla.

Se tekee credential stuffing -hyökkäyksistä erittäin tehokkaita. Yksittäisen vuotaneen kirjautumistiedon toimivuutta voidaan testata sähköpostipalveluita, pilvipalveluita, asiakkuuksien hallinta-alustoja, palkanmaksuohjelmia, kehittäjätilejä, tiedostotallennustiloja ja ylläpitoportaaleja vastaan. Pienikin onnistumisprosentti voi olla arvokas, kun hyökkääjät testaavat tietoja laajassa mittakaavassa.

Miksi credential stuffing toimii laajassa mittakaavassa

Credential stuffing on tehokasta, koska prosessi voidaan automatisoida. Rikolliset voivat hankkia suuria luetteloita vuotaneista kirjautumistiedoista aiemmista tietomurroista tai pimeän verkon markkinapaikoilta. Tämän jälkeen automatisoidut työkalut testaavat näitä kirjautumistietoja satoihin eri palveluihin. Prosessi voi toimia nopeasti, toistaa yrityksiä, vaihdella IP-osoitteita ja jäljitellä normaaleja kirjautumismalleja välttääkseen perustason havaitsemisen.

Yrityksen sisällä on erittäin vaikeaa havaita yksittäisen kirjautumisyrityksen aiheuttamaa uhkaa. Ensimmäinen merkki kirjautumistietohyökkäyksestä voi olla onnistunut kirjautuminen tuntemattomasta sijainnista, salasanan palautuspyyntö, uusi postilaatikkosääntö, laskun muutos, tiedoston lataus tai epätavallinen toiminta SaaS-työkalussa.

Hyökkäys hyötyy myös siitä, miten nykyaikainen työ on hajautettua. Työntekijät käyttävät monia palveluita, usein yhden henkilöllisyysjärjestelmän ulkopuolella. Osaston työntekijät saattavat luoda tilejä ilman IT-osaston valvontaa. Jotkin työkalut eivät tue kertakirjautumista (SSO) tai kaksivaiheista tunnistautumista (2FA). Joissakin toimittajaportaaleissa on heikko valvonta. Credential stuffing etsii juuri tällaisia aukkoja.

Miksi pk-yritykset ovat alttiimpia credential stuffing -hyökkäyksille

Credential stuffing voi vaikuttaa minkä tahansa kokoisiin organisaatioihin, mutta pk-yritykset ovat usein erityisen alttiita sille.

Vähemmän resursseja, enemmän vastuita

Pienemmät tiimit pyrkivät toimimaan nopeasti ja jakamaan tehtäviä. Työntekijät saattavat luoda tilejä uusiin ohjelmistoihin ilman virallista hyväksyntäprosessia. Jaetut toimittajien kirjautumistiedot voivat liikkua chatissa tai sähköpostitse. Salasanojen uudelleenkäyttö saattaa jäädä huomaamatta, koska käytössä ei ole erillistä tietoturvatiimiä, joka valvoisi ja panisi täytäntöön salasanakäytäntöä. Vuosia sitten luotu salasana saattaa edelleen suojata tärkeää yritysjärjestelmää.

Henkilökohtaisten ja työhön liittyvien digitaalisten rajojen puuttuminen

Suurin riski on henkilökohtaisten ja työhön liittyvien kirjautumistietojen sekoittuminen. Jos työntekijä käyttää samaa salasanaa tietomurron kohteeksi joutuneessa kuluttajapalvelussa ja työtilillään, hyökkääjien ei tarvitse ensin murtautua yritykseen. Sen sijaan he voivat käyttää kuluttajapalvelun tietomurtoa sisäänpääsyreittinä.

Tästä syystä credential stuffing -hyökkäysten ehkäisyssä on keskityttävä salasanojen uudelleenkäytön estämiseen. Koulutus auttaa, mutta muistiin perustuvat salasanatottumukset eivät toimi laajassa mittakaavassa. Työntekijät eivät pysty luomaan ja muistamaan turvallisesti uniikkeja, vahvoja salasanoja jokaista henkilökohtaista ja yritystiliä varten ilman tukea.

Pk-yritykset ovat kyberrikollisten kohteita

Protonin Data Breach Observatory osoittaa, kuinka usein vuotaneet tiedot sisältävät tietoja, jotka voivat edesauttaa tilin vaarantamista, kuten nimiä, sähköpostiosoitteita, salasanoja, taloudellisia tietoja, yhteystietoja ja muita arkaluonteisia tietoja.

Nykyään mikään yritys ei ole liian pieni joutuakseen kyberrikollisten kohteeksi. Esimerkiksi helmikuussa 2026 ranskalainen verkko-oppimisalusta GDQuest joutui epäillyn tietomurron kohteeksi, joka sisälsi yli 66 000 tietuetta, mukaan lukien sähköpostiosoitteita ja käyttäjätunnuksia. Vaikka GDQuest on näin pieni yritys, se tarjosi kyberrikollisille ilmeisen mahdollisuuden taloudelliseen hyötyyn, ja se otettiin kohteeksi määrittelemättömällä hyökkäysvektorilla.

Pienestä tietomurrosta tulee suuri ongelma

Pienille yrityksille opetus on selvä: vuotaneet tiedot eivät pysy eristettynä siinä yrityksessä, jossa ne alun perin ilmestyivät. Jos työntekijä käyttää uudelleen salasanaa, joka on peräisin tietomurron kohteeksi joutuneelta henkilökohtaiselta tai ulkopuolisen tahon tililtä, hyökkääjät voivat testata kyseistä kirjautumistietoa työsähköpostiin, SaaS-alustoihin, taloustyökaluihin tai ylläpitojärjestelmiin. Näin ulkoisesta tietomurrosta voi tulla sisäinen pääsyongelma.

Mitä credential stuffing -hyökkäys voi aiheuttaa yritykselle

Credential stuffing -hyökkäys voi aluksi jäädä havaitsematta: esimerkiksi jos yksittäinen tili kirjautuu sisään uudelta laitteelta, jos yksi sähköpostisääntö muuttuu tai vain yksi asiakirja ladataan. Mutta kun hyökkääjillä on käytössään kelvolliset kirjautumistiedot, riski kasvaa nopeasti.

Luvaton pääsy SaaS-työkaluihin

Yritystoiminta on nykyään riippuvaista SaaS-työkaluista projektinhallinnassa, asiakasviestinnässä, henkilöstöhallinnossa ja myynnissä. Jos hyökkääjät käyttävät uudelleenkäytettyjä kirjautumistietoja päästäkseen johonkin näistä palveluista, he voivat löytää asiakastietoja, sisäisiä asiakirjoja, laskuja, asiakasluetteloita tai toiminnallisia työnkulkuja.

Jopa vähäriskisiltä vaikuttavat työkalut voivat paljastaa hyödyllisiä tietoja. Projektinhallintatili voi näyttää, mitä järjestelmiä yritys käyttää, kuka hyväksyy maksut, mitkä asiakkaat ovat aktiivisia ja missä arkaluonteisia tiedostoja säilytetään.

Sähköpostin vaarantuminen ja tilin haltuunotto

Sähköposti on yksi arvokkaimmista kohteista yrityksiin kohdistuvissa credential stuffing -hyökkäyksissä. Kun hyökkääjät pääsevät käsiksi sähköpostiin, he voivat palauttaa muiden palveluiden salasanoja, etsiä laskuja tai sopimuksia, esiintyä työntekijöinä, määrittää edelleenlähetyssääntöjä tai seurata keskusteluja salaa.

On myös tärkeää muistaa, että pääsy sähköpostiin edesauttavat tietojenkalastelua. Hyökkääjä, jolla on pääsy lailliseen saapuneet-kansioon, voi lähettää vakuuttavia viestejä kollegoille, asiakkaille tai toimittajille, koska viesti tulee luotetulta tililtä.

Ylläpitopaneelin käyttöoikeudet ja oikeuksien korottaminen

Jos credential stuffing -hyökkäys ulottuu ylläpitäjätilille, seuraukset voivat olla vakavat. Hyökkääjät voivat luoda uusia tilejä, muuttaa suojausasetuksia, kutsua ulkopuolisia yhteistyökumppaneita, poistaa valvontatoimia käytöstä, viedä tietoja tai korottaa käyttöoikeuksia.

Tässä kohdin salasanojen uudelleenkäyttö muuttuu erityisen vaaralliseksi. Ylläpitäjä- ja etuoikeutettujen tilien salasanoja ei tulisi koskaan käyttää uudelleen muissa palveluissa, koska niiden vaarantuminen voi vaikuttaa moniin muihin tileihin ja järjestelmiin.

Sivuttaisliikkuminen järjestelmien välillä

Credential stuffing mahdollistaa myös sivuttaisliikkumisen. Kun hyökkääjät pääsevät käsiksi yhteen tiliin, he voivat käyttää löytämiään tietoja muiden järjestelmien testaamiseen, arvokkaampien tilien tunnistamiseen ja liikkumiseen yritysympäristössä.

Esimerkiksi vaarantunut SaaS-tili saattaa paljastaa sisäisiä nimeämiskäytäntöjä, jaettuja asiakirjoja, toimittajaportaaleja tai linkkejä ylläpitojärjestelmiin. Hyökkääjät voivat sitten kokeilla samaa salasanaa, etsiä tallennettuja kirjautumistietoja tai käyttää salasanan palautustoimintoja päästäkseen muihin palveluihin.

Kiristysohjelma- ja kiristysriski

Credential stuffing ei automaattisesti johda kiristysohjelmaan. Itsenäisesti sitä käytetään useammin tilien haltuunottoon, petoksiin tai tietovarkauksiin. Vaarantuneet kirjautumistiedot voivat kuitenkin olla myös ensimmäinen askel kohti vakavampaa hyökkäystä.

Jos hyökkääjät saavat pääsyn pilvitallennustilaan, ylläpitokonsoliin, etäkäyttöpalveluihin tai päätepisteiden hallintatyökaluihin, he voivat laajentaa häiriötilannetta kiristykseksi, toiminnan häiriintymiseksi tai kiristysohjelman asentamiseksi.

Miten ehkäistä credential stuffing -hyökkäyksiä

Credential stuffing -hyökkäysten ehkäisy alkaa poistamalla se heikkous, josta tämäntyyppinen hyökkäys riippuu: salasanojen uudelleenkäyttö. Tämän jälkeen yritykset voivat lisätä suojaustasoja, jotka tekevät luvattomasta pääsystä vaikeampaa toteuttaa ja helpompaa havaita.

Valitkaa uniikki salasana jokaiselle tilille

Uniikit salasanat ovat vahvin puolustus credential stuffing -hyökkäyksiä vastaan. Jos jokaisella tilillä on eri salasana, yhdestä palvelusta vuotanutta kirjautumistietoa ei voida käyttää uudelleen toiseen palveluun pääsemiseksi.

Tämä kuulostaa yksinkertaiselta, mutta sitä on vaikea ylläpitää manuaalisesti. Työntekijöiltä ei pitäisi odottaa uniikkien ja vahvojen salasanojen keksimistä ja muistamista jokaiselle työtilille. Yrityskäyttöön tarkoitettu salasananhallinta tekee tästä käytännöllistä luomalla ja tallentamalla uniikit salasanat jokaiseen palveluun.

Proton Pass for Business auttaa tiimejä luomaan vahvoja ja uniikkeja salasanoja, tallentamaan ne päästä päähän -salattuihin holveihin, käyttämään automaattitäyttöä ja jakamaan käyttöoikeuksia turvallisesti. Tämä pienentää suoraan sitä hyökkäyspinta-alaa, johon credential stuffing nojaa.

Käyttäkää salasanaterveyden tarkistusta heikkojen tai uudelleenkäytettyjen salasanojen löytämiseen

Yritykset tarvitsevat myös näkyvyyttä olemassa oleviin salasanariskeihin. Salasanojen uudelleenkäyttö yleistyy usein ajan myötä erityisesti vanhoilla tileillä, jaetuissa työkaluissa ja virallisten IT-prosessien ulkopuolella luoduilla tileillä.

Salasanaterveyden tarkistus auttaa tunnistamaan heikot tai uudelleenkäytetyt salasanat, jotta tiimit voivat vaihtaa ne ennen kuin hyökkääjät hyödyntävät niitä. Proton Pass for Business auttaa teitä tunnistamaan organisaation heikot ja uudelleenkäytetyt salasanat, mikä auttaa priorisoimaan ja suojaamaan eniten riskejä aiheuttavat kirjautumistiedot.

Ottakaa 2FA käyttöön toisena puolustuslinjana

2FA tuo lisäsuojan, kun salasana on vaarantunut. Vaikka hyökkääjillä olisi oikea käyttäjätunnus ja salasana, he tarvitsevat silti toisen tekijän päästäkseen käsiksi tiliin. Tämä auttaa organisaatioita vähentämään todennäköisyyttä sille, että heikot, varastetut tai uudelleenkäytetyt kirjautumistiedot johtavat suoraan luvattomaan pääsyyn, ja vahvistaa samalla suuren riskin tilien yleistä tietoturvaa.

Tällainen puolustus tulisi priorisoida sähköpostille, salasananhallintaohjelmille, ylläpitäjien tileille, taloustyökaluille, henkilöllisyydentarjoajille, pilvitallennustilalle ja kaikille järjestelmille, joilla voidaan palauttaa muiden palveluiden salasanoja tai hallita niiden pääsyä.

2FA täydentää yksilöllisiä salasanoja, mutta ei korvaa niitä. Jos uudelleenkäytetty salasana paljastuu, hyökkääjät voivat silti aiheuttaa häiriöitä toistuvilla kirjautumisyrityksillä, tilien lukitsemisilla, yrittämällä huijata työntekijöitä jakamaan 2FA-koodeja tai hyökkäämällä järjestelmiin, joissa 2FA:ta ei vaadita. Siitä huolimatta todentajasovelluksen käyttö vähentää riskiä siitä, että yksi varastettu salasana johtaa välittömään vaarantumiseen.

Käyttäkää pimeän verkon valvontaa paljastuneiden kirjautumistietojen havaitsemiseen

Pimeän verkon valvonta auttaa yrityksiä havaitsemaan, näkyvätkö työntekijöiden kirjautumistiedot murretuissa tiedoissa. Käytännössä se toimii skannaamalla tietomurtoaineistoja ja pimeän verkon lähteitä, jotka liittyvät kirjautumistietojen vuotoihin, kuten foorumeita, markkinapaikkoja ja muita paikkoja, joissa varastetut tiedot voivat liikkua. Se ei estä alkuperäistä tietomurtoa, mutta se voi antaa tiimeille mahdollisuuden reagoida ennen kuin paljastuneita kirjautumistietoja käytetään väärin.

Proton Pass sisältää Pass Monitor -toiminnon, joka voi havaita kirjautumistietojen vuodot ja varoittaa teitä, kun tietojanne näkyy tietomurrossa. Protonin Data Breach Observatory 2026 korostaa myös sitä, miten vuotaneet yritystiedot leviävät julkisuuteen ja miksi organisaatiot tarvitsevat parempaa näkyvyyttä kirjautumistietojen paljastumiseen.

Kun valvonta havaitsee paljastuneita kirjautumistietoja, reagoinnin tulisi olla nopeaa: vaihda kyseinen salasana, tarkista, onko sitä käytetty uudelleen muualla, mitätöi epäilyttävät istunnot, tarkista tilin tapahtumat ja ota käyttöön 2FA aina kun mahdollista.

Suojatkaa Proton-tiliänne Proton Sentinel -palvelulla

Proton Sentinel tuo kehittyneen tilisuojauksen Proton-tileille. Automaattisen havaitsemisen ja ihmisanalyytikoiden avulla se tunnistaa epäilyttävät tilin haltuunottoyritykset ja puuttuu niihin. Se voi auttaa estämään hyökkääjää pääsemästä käsiksi tietoihinne, vaikka tämä olisi onnistuneesti varastanut Proton-tilinne käyttäjätunnuksen ja salasanan.

Huomioikaa, että Proton Sentinel on saatavilla vain Proton-tilinne suojaamiseen. Muiden työntekijöidenne käyttämien yrityspalveluiden, kuten SaaS-alustojen, taloustyökalujen, ylläpitopaneelien tai toimittajaportaalien osalta laajemman puolustusstrategianne tulisi edelleen perustua yksilöllisiin salasanoihin, 2FA:han, valvontaan ja selkeisiin pääsykäytäntöihin.

Rakentakaa kirjautumistietojen täyttämisen esto osaksi päivittäistä pääsynhallintaa

Tehokkain estostrategia ei ole pyytää työntekijöitä muistamaan enemmän. Se on sellaisen järjestelmän tarjoaminen, joka tekee salasanojen uudelleenkäytöstä tarpeetonta.

Proton Pass for Business auttaa tiimejä tässä luomalla vahvoja, yksilöllisiä salasanoja, tallentamalla ne salattuihin holveihin, tunnistamalla heikot tai uudelleenkäytetyt salasanat salasanaterveyden tarkistuksen avulla ja tukemalla turvallista jakamista tiimien välillä. Tämä muuttaa kirjautumistietojen täyttämisen eston pelkästä neuvosta päivittäiseksi pääsykäytännöksi.

Käyttäkää sähköpostialiaksia

Sähköpostialiakset piilottavat henkilökohtaisen tai työsähköpostiosoitteenne, kun rekisteröidytte uusiin tileihin tai palveluihin. Ne ovat erinomainen tapa varmistaa, etteivät kyberrikolliset voi seurata sähköpostiosoitettanne internetissä.

Proton Pass for Business auttaa myös vähentämään kirjautumistietojen täyttämisen riskiä SimpleLogin-pohjaisten sähköpostialiaksien avulla. Työntekijät voivat käyttää yksilöllistä sähköpostialiasta jokaisessa palvelussa, johon he rekisteröityvät, mikä tarkoittaa, että tietomurto yhdessä palvelussa ei automaattisesti paljasta heidän ensisijaista työsähköpostiaan kirjautumistietojen täyttämisyrityksille muualla.

Mitä tehdä, jos epäilette kirjautumistietojen täyttämistä

Aloittakaa tunnistamalla tilit, joita asia koskee. Etsikää epätavallisia kirjautumissijainteja, toistuvia epäonnistuneita kirjautumisyrityksiä, uusia laitteita, odottamattomia salasanojen palautuksia, postilaatikon välityssääntöjä, uusia ylläpitäjäkäyttäjiä, epätavallisia tiedostojen latauksia sekä muutoksia maksu- tai suojausasetuksissa.

Ryhtykää sen jälkeen välittömiin toimenpiteisiin:

  • Palauttakaa niiden tilien salasanat, joita asia koskee.
  • Tarkistakaa, onko kyseisiä salasanoja käytetty uudelleen muualla.
  • Mitätöikää aktiiviset istunnot.
  • Ottakaa käyttöön tai vaatikaa MFA:n käyttöä.
  • Tarkistakaa tilin tapahtumat ja lokitiedot.
  • Poistakaa luvattomat käyttäjät tai integraatiot.
  • Tarkistakaa sähköpostisäännöt ja välitysasetukset.
  • Ilmoittakaa tarvittaessa asiakkaille, kumppaneille tai sääntelyviranomaisille, joita asia koskee.

Kun tilanne on saatu hallintaan, vähentäkää sen uusiutumisen mahdollisuutta. Siirtäkää kyseiset tilit yrityskäyttöön tarkoitettuun salasananhallintaan, korvatkaa uudelleenkäytetyt salasanat yksilöllisillä kirjautumistiedoilla, tarkistakaa jaetut tilit ja etsikää jäljellä olevat heikot tai uudelleenkäytetyt salasanat salasanaterveyden tarkistuksen avulla.

Jos paljastuneet tiedot sisältävät henkilötietoja, tapaus voi myös aiheuttaa tietosuojavelvoitteita. Protonin tietomurtosuojausopas yrityksille voi auttaa tiimejä ymmärtämään, miten tietomurtoriskejä voidaan vähentää ja valvontaa vahvistaa ennen seuraavaa tapausta.