Seuraavassa tarkastellaan vaatimatonta salasanaa ja joitakin tapoja parantaa salasanojen turvallisuutta.
Rakastat tai vihaat niitä, salasanalla on merkittävä rooli jokapäiväisessä työelämässä. Salasanasta on tullut yleisin tapa kirjautua yrityssovelluksiin, ja useimmat verkkotilit ovat salasanapohjaisia. Vaikka käytössä onmonitekijätodennus (MFA) ja biometrinen tunnistus, salasana on edelleen ensimmäinen tekijä.
Syy salasanan suosioon on se, että se on helppo käyttää ja kehittäjien on helppo toteuttaa. Valitettavasti salasanalla on kuitenkin monia akilleen kantapäitä, ja verkkorikolliset käyttävät salasanan haavoittuvuutta hyväkseen.
Mitä on salasanaturvallisuus?
Salasanojen turvallisuus on olennainen osa työpaikan turvallisuutta. Salasanoja käytetään kuitenkin säännöllisesti hyväksi, väärinkäytetään ja käytetään väärin. Joitakin hätkähdyttäviä tilastoja osoittaa, miten huonoksi salasanojen turvallisuustilanne on muuttunut viime vuosina:
Kuinka monta salasanaa varastetaan?
- Verkkorikolliset käyttivät vuonna 2021 hyväkseen 1,7 miljardia kirjautumistietoa (salasanat mukaan lukien).(Spycloud Survey)
Kuinka turvattomia salasanat ovat?
- Useimmin käytetty salaamaton salasana oli "salasana"(Spycloudin kysely).
- 45 prosenttia käyttäjistä ei vaihda salasanojaan tietomurron jälkeen.(LastPassin tutkimus)
Miten salasanoja käytetään väärin?
- 60 prosenttia käyttäjistä käyttää salasanoja uudelleen.(Spycloud-tutkimus)
- 84 % käyttää samaa salasanaa useilla tileillä.(Bitwardenin tutkimus)
Salasanojen turvallisuuden merkitys
Salasanat ovat alttiita phishing-hyökkäyksille: Hypr 2022 -tutkimuksen mukaan 89 prosenttia yrityksistä koki phishing-hyökkäyksen vuonna 2021. Phishingin tehokkuutta koskevassa tutkimuksessa on havaittu, että 32 prosenttia työntekijöistä klikkaa phishing-linkkiä. Inhimilliset virheet, joihin kuuluu salasanojen jakaminen ja heikkojen salasanojen käyttö, ovat "IBM Threat Intelligence" -tutkimuksen mukaan 95 prosentin kyberhyökkäysten taustalla.
Salasanojen suojauksen parantaminen on olennainen keino, jolla organisaatio voi parantaa tietoturva-asennettaan. Keskity siis turvallisiin salasanakäytäntöihin, jotta voit nopeasti parantaa organisaatiosi riskitasoa.
Seuraavassa on kymmenen parasta käytäntöä salasanojen suojauksen parantamiseksi ja verkkohyökkäysten todennäköisyyden vähentämiseksi.
Kymmenen parasta vinkkiä salasanojen pitämiseen vahvoina ja turvallisina
Älä jaa niitä!
Työntekijät jakavat salasanoja. Yubicon ja Ponemonin tekemän tutkimuksen mukaan 49 prosenttia tietoturva-alan työntekijöistä ja 51 prosenttia työntekijöistä jakaa salasanoja työtovereiden kanssa yritystilien käyttämiseksi.
Salasanojen jakaminen tarkoittaa, että salasanat ovat organisaatiosi valvonnan ulottumattomissa. Valvonta on kriittinen tekijä turvallisuuden ylläpitämisessä. Varmista, että tietoturvakäytännöissäsi ja -käytännöissäsi näkyy, että työntekijä ei saa jakaa salasanoja. On tärkeää, että koulutat kaikki työntekijät siitä, miten tärkeää on olla jakamatta salasanoja.
Älä käytä samaa salasanaa eri tileille.
Työntekijöillä voi olla monia salasanoja muistettavana; kuten edellä mainittiin, 60 prosenttia työntekijöistä myöntää käyttävänsä salasanoja useilla tileillä. Estää työntekijöitä käyttämästä samaa salasanaa antamalla heille mekanismeja tämän estämiseksi. Tällaisia mekanismeja voivat olla esimerkiksi SSO (Single Sign On), joka kattaa kaikki toisiinsa liittyvät tilit, ja salasanahallinta.
Käytä salasanahallintaa
MetaCompliance toteaa kirjoituksessaan "Miksi tarvitset salasanahallinnan", että keskivertoihmisen on muistettava 70-80 salasanaa. Jopa niillä, joilla on uskomaton muisti, olisi vaikeuksia muistaa niin monta salasanaa.
Yrityksesi voi antaa henkilöstölle salasanahallintaohjelman, joka auttaa poistamaan tämän taakan työntekijöiltä. Salasanahallinta on digitaalinen holvi, joka tallentaa, suojaa ja esittää salasanan, kun käyttäjä kirjautuu sisään, jotta hänen ei tarvitse muistaa salasanaa.
Älä kirjoita salasanoja pöydällesi!
Yksi huono salasanatapa on kirjoittaa salasanat paperille: ne ovat potentiaalinen riski, erityisesti työympäristössä, sillä kuka tahansa ohikulkeva henkilö voi kopioida salasanan ja käyttää sitä kirjautuakseen kyseisen työntekijän tileille. Myös se, että työntekijä käyttää samaa salasanaa useilla tileillä, voi johtaa useiden tilien altistumiseen.
Älä koskaan anna salasanoja pyydettäessä
Varmista, että työntekijät ymmärtävät, miten sosiaalinen manipulointi toimii. Korosta tietoturvatietoisuuskoulutuksen avulla, miten huijarit huijaavat heitä antamaan henkilökohtaisia tietoja, kuten salasanoja.
Tee salasanoista vaikeasti arvattavia
Suosituin salasana on 123456. Tämä tekee tietoverkkorikollisen työn helpoksi. Salasanojen turvallisuutta auttaa vaikeasti arvattavien salasanojen käytön pakottaminen. Luo lisäksi salasanakäytäntö, joka kannustaa käyttämään monimutkaisempia salasanoja. Yhdysvaltalainen standardointielin NIST tarjoaa säännöllisesti päivityksiä vankimmista salasanakäytännöistä.
Vaihda salasanat, jos olet epävarma
Tietoturvakäytännöillä olisi varmistettava, että työntekijät vaihtavat salasanoja, jos he uskovat, että heitä on kalasteltu. Pakolliset salasanojen päivitykset X viikon tai kuukauden välein voivat kuitenkin usein johtaa huonoon salasanahygieniaan. Jos ihmiset pakotetaan vaihtamaan salasanoja, he käyttävät yleensä vähemmän vahvoja päivitettyjä salasanoja - ehkä lisäämällä numeron loppuun: "password" muuttuu "password12".
Tee salasanan palautuskysymyksistä vaikeampia
Salasanojen palauttaminen on usein verkkorikollisten kohteena; salasanojen palauttamiseen käytetyt menetelmät edellyttävät, että käyttäjät antavat esimerkiksi äidin tyttönimen kaltaisia tietoja. Ongelmana on, että internetfoorumeilla ja sosiaalisen median alustoilla liikkuvat huijarit löytävät helposti tämäntyyppiset tiedot.
Varmista, että salasanojen palautusjärjestelmäsi on vankka ja että siihen liittyy turvamekanismeja, joilla estetään salasanojen hyväksikäyttö. Tutustu OWASP:n ehdotuksiin vankasta salasanojen palautusjärjestelmästä.
Älä hukkaa salasanoja turvattomien yhteyksien takia.
Salasana voidaan varastaa, jos henkilö käyttää tilille kirjautumiseen epävarmaa internetyhteyttä. Tätä yleistä menetelmää käytetään tietojen, kuten salasanojen, varastamiseen, kun ihmiset käyttävät julkisia internetyhteyksiä. Jos työntekijäsi työskentelevät etätyössä ja saattavat käyttää julkista internetiä, varmista, että työntekijäsi käyttävät vain suojattua sivustoa, eli HTTPS:ää tai VPN:ää.
Kouluta käyttäjiä sanakirjahyökkäysten vaaroista
Kannusta käyttäjiä olemaan käyttämättä yleisiä sanoja salasanaa luodessaan. Valitettavasti ihmisillä on taipumus käyttää tunnettuja sanoja salasanoina: tätä käytetään hyväksi sanakirjahyökkäyksissä, joissa haittaohjelmilla yritetään murtautua tilille käyttämällä yleisiä salasanoja ja sanoja.
Kouluta käyttäjiä tietoturvakoulutuksen avulla muun muassa tällaisista taktiikoista, joita käytetään salasanojen hakkerointiin.
