Useimmat ihmiset käyttävät salasanoja päivittäin, joten on helppo unohtaa, että ne voivat aiheuttaa poikkeuksellisen paljon vahinkoa, jos niitä ei hallita asianmukaisesti. Useimmat tiimit tietävät, että heidän tulisi käyttää vahvoja salasanoja, välttää niiden uusiokäyttöä, ottaa käyttöön kaksivaiheinen tunnistautuminen (2FA) ja tallentaa kirjautumistiedot turvallisesti. Salasanoihin liittyviä murtoja tapahtuu kuitenkin päivittäin, eikä vain suurissa yrityksissä vaan myös pienissä tiimeissä, jotka hallitsevat kasvavaa joukkoa SaaS-työkaluja, jaettuja tilejä ja nopeatempoisia työnkulkuja.

Ongelma ei ole tiedon puute. Monet yritykset tietävät kyberturvallisuusriskeistä, mutta uskovat, etteivät ne ole arvokkaita kohteita tietojenkalastelulle tai kiristysohjelmille, erityisesti pk-yritykset. Siksi ne eivät etsi ratkaisuja ennen kuin on liian myöhäistä.

Toinen yleinen ongelma on kuilu sääntöjen tuntemisen ja oikeiden salasanaturvallisuusjärjestelmien välillä. Kun tiimien odotetaan muistavan liikaa, liikkuvan liian nopeasti ja työskentelevän liian monien työkalujen parissa ilman turvallisia tapoja luoda, tallentaa, jakaa ja tarkistaa kirjautumistietoja, huonot tavat yleistyvät.

Tästä syystä murtoja tapahtuu edelleen. Tässä artikkelissa selitetään, miksi salasanat ovat edelleen yleinen sisäänpääsyreitti tietomurtoihin, mitkä riskit vaikuttavat useimmiten pieniin tiimeihin, mitkä työkalut ja käytännöt auttavat vähentämään niitä, ja miten pääsyavaimet sekä biometrinen tunnistautuminen sopivat vahvempaan salasanaturvallisuusstrategiaan.

Miksi salasanat ovat edelleen suurin syy tietomurtoihin?

Vaarantuneet salasanat ovat hyökkääjille yksi helpoimmista tavoista päästä käsiksi tileihin, koska ne suojaavat niin monia verkon sisäänpääsyreittejä. Monissa nykyaikaisissa organisaatioissa työntekijät kirjautuvat kymmeniin järjestelmiin sähköpostin, tallennustilan, yhteistyön, talouden, henkilöstöhallinnon, kehityksen ja asiakasrajapinnan työkaluissa, joista jokainen on mahdollinen sisäänpääsyreitti murroille.

Heikot kirjautumistiedot luovat laajan hyökkäyspinnan, ja mitä enemmän salasanoja tiimin jäsenten on hallittava manuaalisesti, sitä todennäköisemmin he käyttävät yksinkertaisia ja heikkoja salasanoja, käyttävät niitä uudelleen, tallentavat ne turvattomasti tai lankeavat tietojenkalasteluhuijauksiin.

Tästä on näyttöä: Protonin vuoden 2026 pk-yritysten kyberturvallisuusraportti osoitti, että lähes joka neljäs pk-yritys koki kyberhyökkäyksen edellisen 12 kuukauden aikana, vaikka monet olivat jo investoineet työkaluihin, käytäntöihin ja koulutukseen. Lisäksi Protonin Data Breach Observatory näyttää, että salasanat paljastuvat lähes puolessa raportoiduista tietomurroista, mikä korostaa kirjautumistietoihin liittyvän riskin laajuutta.

Kuinka yhdestä salasanasta tulee laajempi tietoturvariski

Salasanat ovat edelleen valtava haavoittuvuus, koska ne voivat vaarantua useilla tavoilla. Salasana on helppo arvata sanakirjahyökkäyksellä, jos se on heikko. Uudelleenkäytetyt salasanat voivat vaarantaa useita tilejä eri palveluissa. Salasanat paljastuvat helposti myös, jos ne on tallennettu turvattomiin paikkoihin, kuten laskentataulukkoihin tai viestiketjuihin. Kun hyökkääjällä on yhdet pätevät kirjautumistiedot, hänen ei useinkaan tarvitse “hakkeroida” mitään; hän vain kirjautuu sisään.

Kun taustalla on näin monia riskejä, vaarantunut salasana ei ole vain pääsyongelma: se on näkyvyysongelma, reagointiongelma ja usein hallintotapa-asia. Tiimien on tiedettävä, mihin järjestelmiin on vaikutettu, kenellä oli pääsy, oliko 2FA käytössä, jaettiinko kirjautumistiedot ja pitääkö salaisuuksia tai kirjautumistietoja vaihtaa tai tarkistaa.

Nykyaikaiset ohjeistukset heijastavat tätä todellisuutta. Vuoden 2025 NIST-salasanaohjeistus toteaa nimenomaisesti, että salasanat yksinään eivät kestä tietojenkalastelua, vaikka niitä käytetään edelleen laajasti. Asiakirja suosittelee myös vahvempia tarkistuksia salasanan pituuden, estolistojen ja turvallisen käsittelyn suhteen sen sijaan, että luotettaisiin pelkästään vanhentuneisiin monimutkaisuusvaatimuksiin.

Joten kun keskustelemme salasanojen turvallisuudesta, kyse ei ole pelkästään hyvistä toimintatavoista: se on yksi yleisimmistä tavoista, joilla jokapäiväinen työ johtaa todelliseen murtoon.

Mitä yleisiä salasanoihin liittyviä riskejä pienet tiimit kohtaavat?

Yleensä pienillä tiimeillä on vaikeuksia salasanaturvallisuuden kanssa, koska niiden on edettävä nopeasti rajoitetulla ajalla ja vähäisillä IT-resursseilla käyttäen kasvavaa määrää työkaluja, jotka eivät luonnostaan edistä turvallisia toimintatapoja.

Salasanojen uudelleenkäyttö

Yksi organisaatioiden suurimmista tietoturvauhkista on salasanojen uudelleenkäyttö. Tiimin jäsen saattaa käyttää samaa tai samankaltaista salasanaa useilla työtileillä yksinkertaisesti siksi, että se tuntuu helposti muistettavalta ja hallittavalta. Jos kuitenkin yksi näistä kirjautumistiedoista paljastuu ulkopuolisen tahon tietomurrossa, hyökkääjät voivat kokeilla sitä muualla. On uskomattoman helppoa, että yksi vuotanut salasana johtaa useiden järjestelmien vaarantumiseen.

Turvaton kirjautumistietojen tallennus

Toinen yleinen ongelma on turvaton kirjautumistietojen tallennus. Jopa tietoturvasta tietoisemmat tiimit voivat palata tuttuihin tapoihin: salasanoja tallennetaan selaimiin, kopioidaan muistiinpanoihin, säilytetään laskentataulukoissa tai lähetetään viestiketjuihin, mikä kaikki lisää luvattoman käytön riskiä.

Ajan myötä huono kirjautumistietojen tallennus johtaa hallinnan menettämiseen ja heikkoon käyttöoikeuksien hallintaan koko organisaatiossa. Kun kirjautumistiedot on tallennettu hajallaan oleviin paikkoihin, poistumisprosessit muuttuvat epäjohdonmukaisiksi, tarkastukset vaikeutuvat ja häiriötilanteisiin reagoiminen hidastuu, koska kukaan ei tiedä tarkalleen, missä kirjautumistiedot sijaitsevat.

Näkyvyyden puute

Ilman selkeää näkyvyyttä kirjautumistietojen hallintaan monilla tiimeillä ei ole selkeää tapaa vastata peruskysymyksiin, kuten:

  • Kenellä on edelleen pääsy tälle tilille?
  • Onko tätä salasanaa käytetty uudelleen muualla?
  • Oliko 2FA käytössä?
  • Ovatko nämä kirjautumistiedot esiintyneet tietomurrossa?
  • Kuinka nopeasti voimme tunnistaa ja vaihtaa ne, jos jotain menee pieleen?

Ilman näitä vastauksia salasanaturvallisuus voi olla vain reaktiivista. Tiimit havaitsevat heikkoudet vasta tietojenkalastelun, epäilyttävän kirjautumisen tai jopa tietomurron jälkeen.

Tietojenkalastelu

Vahva tietoisuus auttaa, mutta tietojenkalastelu on edelleen yksi yleisimmistä hyökkäystavoista. Salasanoja voidaan edelleen syöttää haitallisille sivustoille, varsinkin kun hyökkääjät käyttävät vakuuttavia kirjautumissivuja tai kiireellisyyteen perustuvia taktiikoita. Siksi pelkät salasanat eivät riitä. Lisäturvakerrokset, kuten 2FA, pääsyavaimet ja turvalliset kirjautumistietojen työnkulut, ovat välttämättömiä.

Puutteet salasana- ja käyttöoikeuskäytännöissä

Monet pienet tiimit luottavat epävirallisiin käytäntöihin määriteltyjen sääntöjen sijasta. Henkilöt saattavat tietää, että heidän tulisi käyttää vahvoja salasanoja, mutta useinkaan ei ole selkeitä vaatimuksia salasanojen pituudelle, uudelleenkäytölle, kierrättämiselle tai sille, miten kirjautumistiedot tulisi tallentaa, jakaa, valvoa ja mitätöidä.

Ilman määriteltyä salasanakäytäntöä kirjautumistietojen hallinnasta tulee epäjohdonmukaista. Ajan myötä tämä johtaa aukkoihin turvallisuudessa, erityisesti tiimien kasvaessa ja työnkulkujen muuttuessa monimutkaisemmiksi.

Heikot työkalut ja hallintakeinot

Lopuksi, kirjautumistietojen hallintaan ja turvallisuuteen liittyvät hallintakeinot ovat usein epäjohdonmukaisia tai niitä ei ole lainkaan. Tämän seurauksena:

  • 2FA on käytössä joissakin järjestelmissä, mutta puuttuu toisista.
  • Salasanoja käsitellään tilapäisratkaisuilla hyväksyttyjen yritystyökalujen sijasta.
  • Heikkojen, uudelleenkäytettyjen tai vaarantuneiden kirjautumistietojen keskitetty valvonta puuttuu.

Tuloksena on tehoton tietoturvamenettely, joka vaikuttaa pinnalta katsottuna rauhoittavalta, mutta jättää tavalliset reaalimaailman uhat huomioimatta. Salasanaturvallisuus noudattaa samaa kaavaa: tietoisuutta on, mutta toimintatapa on tehoton.

Mitkä työkalut ja parhaat käytännöt auttavat estämään salasanoihin liittyviä tietomurtoja?

Yksittäinen valvontatoimi on harvoin riittävä suojaamaan salasanoihin liittyviltä tietomurroilta. Riskiä vähennetään yhdistämällä käytännön toimenpiteitä, jotka estävät heikkoja tottumuksia ja helpottavat turvallisten käytäntöjen omaksumista.

Vahvat, yksilölliset salasanat

Heikkoja salasanoja valitaan harvoin siksi, että ihmiset pitäisivät niitä ihanteellisina. Niitä käytetään, koska ne on helppo muistaa ja nopea kirjoittaa useisiin eri järjestelmiin.

Pitkien, satunnaisten ja yksilöllisten salasanojen käyttö jokaisella tilillä auttaa vähentämään salasanoihin liittyvien tietomurtojen riskiä ja vaikutuksia.

Maksuttomat työkalut, kuten salasanageneraattorit ja salasanan vahvuuden testaajat, voivat auttaa luomaan vahvoja salasanoja ja tunnistamaan heikkoja kirjautumistietoja. Vahvuus yksinään ei kuitenkaan riitä, jos salasanoja käytetään uudelleen eri palveluissa.

Kaksivaiheinen tunnistautuminen (2FA)

2FA on edelleen yksi tehokkaimmista tavoista estää varastettujen salasanojen aiheuttama tilien vaarantuminen, erityisesti tietojenkalastelu- ja kirjautumistietojen täyttämistilanteissa, koska se lisää toisen suojakerroksen siltä varalta, että salasana vuotaa, arvataan tai sitä käytetään uudelleen.

Parhaat salasanaturvallisuusohjelmat edellyttävät 2FA:n käyttöä aina kun mahdollista, erityisesti sähköpostin, ylläpitäjätilien, taloustyökalujen, henkilöllisyysjärjestelmien ja etäkäytön osalta.

Salasananhallinta

Proton Pass for Businessin kaltainen yritysten salasananhallinta puuttuu salasanoihin liittyvien tietomurtojen perussyihin: ihmisten tarpeeseen luoda, muistaa ja kirjoittaa manuaalisesti salasanoja liian moneen järjestelmään.

Muistin varassa toimimisen sijaan tiimit voivat luoda vahvoja, yksilöllisiä salasanoja jokaiselle tilille, tallentaa ne salattuihin holveihin ja käyttää automaattitäyttöä tarvittaessa, mikä poistaa suurimman syyn heikkojen salasanojen luomiseen tai kirjautumistietojen uudelleenkäyttöön.

Yritysten salasananhallinta tarjoaa myös paremman pääsynhallinnan, mikä on yrityksille toiminnallinen välttämättömyys. Tiimit tarvitsevat aina turvallista salasanan jakamista; ero on siinä, tapahtuuko se hallituissa ja turvallisissa työnkuluissa vai chatin, sähköpostin, laskentataulukoiden ja kopioidun pelkän tekstin välityksellä. Kun pääsyä hallitaan turvallisen järjestelmän kautta, se voidaan myöntää ja mitätöidä luotettavammin.

Vahvat ja valvottavissa olevat salasanakäytännöt

Tiimit tarvitsevat selkeät, dokumentoidut standardit, joita sovelletaan ja valvotaan johdonmukaisesti, mukaan lukien:

  • Salasanan vähimmäispituus
  • Yksilölliset salasanat jokaiselle tilille, ei uudelleenkäyttöä eri järjestelmien välillä
  • Hyväksytyt tallennustavat
  • Turvalliset jakamissäännöt
  • Tapahtumapohjaiset nollauskäytännöt
  • Selkeät MFA-vaatimukset

Vahva salasanakäytäntö, jota tuetaan tehokkailla ja käyttäjäystävällisillä työkaluilla, auttaa muuttamaan salasanaturvallisuuden henkilökohtaisesta mieltymyksestä organisaatiostandardiksi, jota jokainen voi noudattaa vaivatta. Salasananhallinnan avulla näitä käytäntöjä voidaan valvoa käytännössä ja soveltaa johdonmukaisesti eri tiimeissä.

Vaarantuneiden salasanojen valvonta

Parhaiden kirjautumistietojen turvakäytäntöjen noudattaminen on vain lähtökohta. Tiimit tarvitsevat myös kyvyn tietää, onko kirjautumistietoja paljastunut tietomurrossa tai milloin heikot ja uudelleenkäytetyt salasanat aiheuttavat estettävissä olevaa riskiä koko organisaatiossa.

Valvonta tarjoaa näkyvyyttä varhaisessa vaiheessa. Sen sijaan, että reagoisivat vasta epäilyttävän toiminnan tai tilin vaarantumisen jälkeen, tiimit voivat nopeasti tunnistaa haavoittuvat kirjautumistiedot ja vaihtaa ne ennen kuin hyökkääjillä on mahdollisuus luvattomaan pääsyyn.

Pääsynhallinta ja tarkastelu

Suojattu pääsy ei riipu ainoastaan kirjautumistietojen vahvuudesta. Se riippuu myös siitä, kenellä on pääsy, mitä tilejä jaetaan, pysyykö pääsy asianmukaisena ja onko entisillä työntekijöillä tai urakoitsijoilla edelleen hallussaan kirjautumistietoja, joita he eivät enää tarvitse.

Siksi tehokas pääsynhallinta parantaa tietoturvaa kahdella tavalla: vahvistamalla kirjautumistietoja ja luomalla selkeät prosessit sille, miten pääsy myönnetään, tarkistetaan ja mitätöidään ajan myötä.

Jatkuva tietoturvatietoisuus ja -koulutus

Työntekijöiden on ymmärrettävä, kuinka tunnistaa tietojenkalasteluyritykset, miksi salasanojen uudelleenkäyttö aiheuttaa riskejä, missä kirjautumistietoja saa ja ei saa säilyttää, mitkä työkalut on hyväksytty käyttöön ja miten epäilyttävästä toiminnasta ilmoitetaan nopeasti.

Keskeistä on käsitellä koulutusta ja tietoisuutta osana normaalia toimintaa, ei pelkkänä rastina ruutuun -tehtävänä. Salasanaturvallisuus on vahvempaa, kun turvalliset tavat sisällytetään jokapäiväisiin työnkulkuihin ja niitä vahvistetaan johdonmukaisesti ajan mittaan.

Pääsyavaimet ja biometrinen tunnistautuminen

Vaihtoehtoiset menetelmät, kuten pääsyavaimet ja biometrinen tunnistautuminen, ovat yhä tärkeämpi osa nykyaikaista tunnistautumisstrategiaa.

  • Pääsyavaimet perustuvat laitekohtaiseen tunnistautumiseen jaettujen salaisuuksien sijaan, mikä poistaa salasanojen keskeisiä heikkouksia, kuten tietojenkalastelu- ja uudelleenkäyttöriskejä.
  • Biometrinen tunnistautuminen voi myös parantaa käytettävyyttä erityisesti laitteilla, mutta sitä käytetään yleensä paikallisesti tunnistautumissalaisuuden tai laitteen lukituksen avaamiseen sen sijaan, että se itsessään lähetettäisiin ensisijaisena salaisuutena. Tämä tekee niistä hyödyllisiä, mutta ne eivät suoraan korvaa kaikkia salasanan- ja pääsynhallinnan tarpeita. Myös NIST:n ohjeistuksessa tehdään tämä ero, kun käsitellään aktivointisalaisuuksia ja todentajia.

Useimmille tiimeille kysymys ei nykyään kuulu, käytetäänkö salasanoja, pääsyavaimia vai biometriikkaa. Käytännössä vastaus on kerroksellinen lähestymistapa: 2FA-tunnistautumista tulisi käyttää aina kun mahdollista, pääsyavaimet tulisi ottaa käyttöön niitä tukevissa palveluissa, ja turvallinen salasananhallinta on edelleen kriittistä, sillä salasanoja käytetään yhä laajasti monissa järjestelmissä eivätkä ne todennäköisesti katoa lähiaikoina.

Miten tehokas salasananhallinta parantaa tietoturvaa ja vaatimustenmukaisuutta?

Salasanojen turvallisuus nähdään yleensä tietomurtojen ehkäisynä, mutta se on vain osa kokonaiskuvaa. Tehokas salasananhallinta vahvistaa myös hallintoa, parantaa tarkastusvalmiutta ja tekee päivittäisestä toiminnasta tehokkaampaa varmistamalla, että pääsyä voidaan tarkastella, päivittää ja se voidaan mitätöidä tarvittaessa.

Vahvempi päivittäinen tietoturva

Tietoturvaedut ovat välittömiä. Yksilölliset salasanat rajoittavat sivuttaisliikkumista uudelleenkäytön yhteydessä, salatut holvit estävät vahingossa tapahtuvan paljastumisen ja helppo, suojattu jakaminen poistaa tarpeen lähettää salaisuuksia turvattomia kanavia pitkin. Valvonta auttaa tunnistamaan paljastuneet kirjautumistiedot varhaisessa vaiheessa, kun taas MFA vähentää todennäköisyyttä sille, että varastettu salasana johtaa tilin haltuunottoon.

Parempi toiminnan hallinta

Tehokas kirjautumistietojen hallinta parantaa hallintaa perehdytyksen, työsuhteen päättymisen, roolimuutosten, urakoitsijoiden pääsyn ja vaaratilanteisiin reagoimisen aikana. Kun tiimit tietävät, missä kirjautumistiedot on tallennettu, kenellä on pääsy niihin ja miten ne voidaan vaihtaa nopeasti, he voivat reagoida nopeammin ja täsmällisemmin, kun jokin menee pieleen.

Parempi tuki vaatimustenmukaisuudelle

Useimmat viitekehykset ja asiakkaiden tietoturvatarkastukset edellyttävät muutakin kuin vain vahvojen salasanojen käyttöä. Ne vaativat näyttöä siitä, että:

  • Kirjautumistietoja hallitaan turvallisesti
  • Pääsyä tarkastellaan johdonmukaisesti
  • Jakaminen on suojattua ja valvottua
  • Pääsy voidaan mitätöidä
  • Riskialttiiseen toimintaan voidaan puuttua

Yrityskäyttöön tarkoitettu salasananhallinta auttaa luomaan toistettavia valvontatoimia, joita tarkastajat ja asiakkaat edellyttävät, vahvistaen organisaation vaatimustenmukaisuutta.

Miten Proton Pass for Business auttaa vähentämään salasanoihin liittyviä tietomurtoriskejä?

Salasanoihin liittyvät tietomurrot tapahtuvat yleensä silloin, kun tiimien on hallittava liian monia kirjautumistietoja ilman turvallista, keskitettyä järjestelmää. Tämä johtaa tuttuihin ongelmiin: salasanojen uudelleenkäyttöön, turvattomaan tallennukseen, epäviralliseen jakamiseen, rajalliseen jäljitettävyyteen ja epäjohdonmukaiseen pääsynvalvontaan.

Proton Pass for Business vähentää tätä riskiä tarjoamalla tiimeille turvallisen tavan luoda, tallentaa ja hallita kirjautumistietoja. Sen sijaan, että tiimit tukeutuisivat selaimiin, laskentataulukoihin, muistiinpanoihin tai viestiketjuihin, ne voivat luoda vahvoja, yksilöllisiä salasanoja, tallentaa ne salattuihin holveihin ja jakaa pääsyn turvallisten ja valvottavien työnkulkujen avulla.

Vahvemmat salasanat johdonmukaisessa käytössä

Yksi välittömistä hyödyistä on salasanojen uudelleenkäytön väheneminen. Kun yksilöllisiä kirjautumistietoja on helppo luoda ja hakea, tiimit turvautuvat paljon epätodennäköisemmin toistuviin tai vain hieman muokattuihin salasanoihin eri tileillä.

Parempi näkyvyys ja pääsynhallinta

Proton Pass for Business keskittää kirjautumistiedot hallittuun ympäristöön, jolloin pääsyn tarkastaminen ja valvonta on helpompaa. Tiimit saavat näkyvyyden siihen, kenellä on pääsy, mitä kirjautumistietoja on jaettu ja mitä on päivitettävä tai mitätöitävä tehtävän muutoksen tai epäillyn tietoturvaloukkauksen jälkeen.

Turvallisempaa jakamista yhteistyötiimeille

Pienten tiimien on usein voitava luovuttaa pääsy nopeasti, erityisesti toiminnoissa, toimittajien välillä ja jaetuissa työkaluissa. Kun tämä jakaminen tapahtuu turvattomien kanavien kautta, riskit kuitenkin kasvavat. Turvallisten ja valvottujen jakamisen työnkulkujen avulla yritykset voivat vähentää tätä altistumista ja samalla helpottaa pääsyn muutosten hallintaa ja valvontaa.

Vahvempi tuki käytäntöjen valvonnalle

Salasanakäytäntö on paljon helpompi toteuttaa, kun työkalut valvovat vaadittua toimintatapaa. Proton Pass for Business auttaa tiimejä viemään salasanojen vahvuutta, jakamista, 2FA-käyttöönottoa ja kirjautumistietojen tarkistamista koskevat säännöt käytäntöön sen sijaan, että luotettaisiin muistiin tai epävirallisiin tapoihin.

Tämä on yksi yrityskäyttöön tarkoitetun salasananhallinnan hyödyistä. Se ei voi poistaa kaikkia tunnistautumisriskejä, mutta se puuttuu suoraan moniin syihin, jotka johtavat salasanoihin liittyviin tietomurtoihin.