Salasanat ovat olleet tietoturvan tukipilari siitä lähtien, kun ihmisen kieli kehittyi. Tätä jaettua salaisuutta voidaan käyttää sekä fyysisten että digitaalisten ovien avaamiseen. Mutta kuten mitä tahansa salaisuutta, jos se paljastuu väärälle henkilölle, sitä voidaan käyttää häijyihin tekoihin.
Salasanat tarjoavat verkkorikollisille keinon päästä portinvartijan ohi. Portti on auki, jos salasana on epävarma, jaettu tai väärennetty. Salasanojen hallinta auttaa vähentämään organisaation riskejä.
Seuraavassa tarkastellaan joitakin salasanojen käyttöön liittyviä riskejä ja annetaan vinkkejä salasanojen hallintaan.
Salasanojen ongelma
Salasanat ovat pysyviä, koska käyttäjät ymmärtävät ne; verkko- ja sovelluskehittäjät ymmärtävät ne, ja ne tarjoavat perusturvallisuuden. Näistä syistä salasanat säilyvät, vaikka FIDO-järjestelmän kaltaisia aloitteita, kuten salasanaton järjestelmä, on tehty.
Turvallinen salasana on perustavanlaatuisin kirjautumistodistus, mutta salasanat eivät ole läheskään täydellinen turvatoimi. Koska salasana voi avata ovia, siitä on tullut tietoverkkohyökkäysten kohde. Vuonna 2022 julkaistussa tietomurtoja koskevassa tutkimusraportissa (Data Breach Investigations Report, DBIR ) todettiin, että valtakirjojen varastaminen on yksi neljästä tärkeimmästä tietomurtomenetelmästä.
Vuonna 2022 julkaistussa vuotuisessa identiteettitietojen paljastamista koskevassa raport issa esitettiin joitakin huikeita tilastoja salasanoista:
● Hakkerit käyttivät hyväkseen 1,7 miljardia tunnistetietoa (sähköpostiosoitteen ja salasanan tai käyttäjänimen ja salasanan yhdistelmiä) vuonna 2021.
● 70 prosenttia käyttäjistä käytti edelleen vaarannettuja salasanoja vuotta myöhemmin.
● Uudelleenkäytetty salasana numero yksi selväkielisenä (eli salaamattomana) oli "password".
● 60 prosenttia käyttäjistä käyttää salasanoja uudelleen. Googlen tutkimuksen mukaan 52 prosenttia käyttää salasanoja uudelleen useilla tileillä.
● Vain 20 prosentilla käyttäjistä on salasanahallinta
Salasanojen paljastumisesta, varastamisesta ja luvattomasta käytöstä aiheutuvat kustannukset nousevat. Vuonna 2022 Ponemon Instituten sisäpiirin uhkien kustannukset -raportissa todettiin seuraavaa:
● Valtakirjojen varkauden kustannukset kasvoivat 65 prosenttia 2,79 miljoonasta dollarista vuonna 2020 4,6 miljoonaan dollariin vuonna 2021/2022.
● Sisäpiirin uhan torjuminen kestää noin 85 päivää.
● Yli 90 päivää kestäneet tapahtumat maksoivat keskimäärin 17,19 miljoonaa dollaria.
Miten salasanat päätyvät verkkorikollisten käsiin?
Tyypillisimpiä tapoja, joilla salasanat varastetaan tai vaarannetaan, ovat muun muassa seuraavat:
Haittaohjelmatartunta
Tietojen varastamiseen tarkoitetut haittaohjelmat lähettävät kaikki käyttäjän syöttämät salasana/käyttäjätunnus/sähköpostiyhdistelmät haittaohjelmaa hallitseville verkkorikollisille.
SpyCloudin raportissa todettiin, että vuonna 2021 RedLine Stealer -haittaohjelmaa käytettiin laajalti valtakirjojen ja muiden tietojen varastamiseen Windows-käyttäjiltä. Haittaohjelma oli ostettavissa pimeältä verkkosivustolta 800 dollarilla tai haittaohjelmatilauksena 200 dollarilla kuukaudessa.
Mitä on tietomurto (data breach)? MetaCompliance
Tietomurrot tarjoavat tietoverkkorikollisille mahdollisuuden päästä käsiksi varastettuihin salasanoihin ja käyttäjätunnuksiin tai sähköpostipareihin eli kirjautumistietoihin. Esimerkiksi vuoden 2019 Collection 1-5 -tietomurto paljasti 2,2 miljardia salasanaa ja sähköpostiosoitetta.
Tietomurrot tapahtuvat yleensä tietokantaan luvattoman pääsyn, tietokannan haavoittuvaksi jättävän tietoturvavirheen, sähköpostin väärän toimituksen aiheuttaman vahingossa tapahtuvan paljastumisen tai tahallisen hakkeroinnin kautta. Tietoverkkorikollisuuden kierrossa vaarantunut tietokanta vapauttaa sitten lisää kirjautumistietoja uusien hyökkäysten toteuttamiseksi.
Phishing
Suosittu tapa varastaa salasanoja on kalastelu. Itse asiassa vuoden 2022 DBIR-tietokannassa todettiin, että tietojen kalastelu on yksi neljästä tärkeimmästä tietomurtomenetelmästä, joilla kirjautumistietoihin päästään käsiksi. Spear-phishing on erityinen ongelma järjestelmänvalvojille ja etuoikeutetuille käyttäjille, joiden kohteeksi on otettu heidän etuoikeutettujen käyttöoikeuksiensa tunnukset.
Kolmannen osapuolen myyjät ovat hakkerien kohteena salasanahyökkäyksissä. Esimerkiksi vuonna 2021 tapahtuneessa Colonial Pipeline -lunnasohjelmahyökkäyksessä entisen työntekijän varastama salasana yhdistettiin hyökkäykseen, jonka seurauksena puolet Yhdysvaltojen polttoainetoimituksista suljettiin väliaikaisesti.
Tahaton altistuminen ja sisäpiirin uhat
Työntekijät haluavat jakaa salasanoja kollegoiden kanssa ja käyttää niitä uudelleen. Tuoreen tutkimuksen mukaan lähes 42 prosenttia työntekijöistä jakaa salasanoja työtovereiden kanssa. Samassa tutkimuksessa todettiin, että yhdellä neljästä työntekijästä oli edelleen pääsy vanhoihin tileihin, vaikka hän oli lähtenyt yrityksestä.
Salasanojen tahaton paljastuminen tai luvaton käyttö on merkittävä tekijä tietoverkkohyökkäyksissä ja tietomurroissa, ja vuonna 2022 julkaistun DBIR-tietokannan mukaan 82 prosentissa hyökkäyksistä on osallisena ihminen.
Viisi nopeaa vinkkiä salasanojen hallintaan
Seuraavassa on viisi vinkkiä salasanojen hallintaan ja riskien vähentämiseen:
Salasanakäytäntöjen määrittäminen ja käyttöönotto
Salasanakäytännöt ovat ensimmäinen askel salasanojen käytön riskien vähentämisessä. Salasanakäytännöt sisältävät kaiken, mikä liittyy salasanojen hallintaan ja salasanojen suojaamiseen. Käytännön tulisi sisältää esimerkiksi salasanojen turvallinen säilytys ja se, kuinka usein salasana on vaihdettava.
Salasanoja koskevissa käytännöissä olisi myös ilmoitettava selkeästi, miten työntekijöiden olisi luotava ja hallinnoitava salasanoja. Politiikat olisi jaettava työntekijöille, ja niiden hallinnointi olisi automatisoitava koko niiden elinkaaren ajan, jotta varmistetaan, että ne hyväksytään ja ymmärretään koko yrityksessä.
Käytä salasanahallintaa
Lastpassin kaltaiset salasanahallintaohjelmat ja salasanageneraattorit vähentävät salasanojen väsymistä ja voivat siten auttaa poistamaan salasanojen uudelleenkäyttöä ja jakamista. Jos käytät salasanahallintaohjelmaa, sinun on teknisesti ottaen muistettava vain yksi tunniste - pääsalasana, jolla kirjaudut salasanahallintaohjelmaan.
Kun olet kirjautunut salasanahallintaan pääsalasanallasi, salasanahallinta hoitaa loput - tallentaa, luo, synkronoi ja päivittää salasanat. Pääsalasanaasi käytetään salasanaholviin tallennettujen salasanojen salaamiseen.
Salasanojen hallintaa käytetään yrityksissä kuitenkin edelleen liian vähän. Salasanahallintaohjelmia on paljon, mutta pilvipohjaiset palvelut voivat olla helpompia ottaa käyttöön ja hallinnoida. Etsi salasanahallintajärjestelmä, joka toimii myös eri käyttöjärjestelmissä ja suojaa muita tietotyyppejä, myös salasanoja.
Toisen tekijän käyttäminen (2FA/MFA)
Toisen tekijän, kuten mobiiliautentikointikoodin, käyttäminen on hyödyllinen tapa lisätä sovelluksen käyttöön toinen turvallisuustaso. Sinun ei kuitenkaan pitäisi luottaa siihen, että 2FA tarjoaa 100-prosenttisen riskittömän pääsynvalvonnan.
Tietoverkkorikolliset kehittävät jo keinoja toisen tekijän todennuksen kiertämiseksi. Jos voit, ota käyttöön 2FA, mutta tue tätä toimenpidettä seuraavilla kahdella vinkillä salasanojen riskin vähentämiseksi:
Kouluta työntekijät salasanahygieniasta
Salasanakäytäntöjen olisi vastattava tietoturva-alan standardeja salasanojen luomisesta, käytöstä ja hallinnasta. Tämän politiikan täytäntöönpano edellyttää kuitenkin, että työntekijät ymmärtävät, miksi turvalliset salasanat ovat olennaisen tärkeitä.
Tietoturvatietoisuuden koulutusohjelmat sisältävät yleensä moduuleja vahvojen salasanojen luomisesta ja salasanojen suojaamisesta.
Phishing-simulaatioiden käyttö salasanavarkauksien vähentämiseksi
Phishing on yksi tärkeimmistä keinoista varastaa salasanoja ja muita tunnistetietoja. Kouluttamalla työntekijöitä siitä, miten phishing toimii ja miltä phishing-viestin paljastavat merkit näyttävät, yritys voi estää tietojen varastamisen phishingin avulla.
Phishing-simulaatioalustat tarjoavat keskitetyn ja konfiguroitavan tavan lähettää simuloituja phishing-viestejä henkilöstölle. Kehittyneen simuloidun phishing-alustan avulla voit myös räätälöidä simuloidut phishing-viestit vastaamaan yrityksesi eri rooleja.
Organisaatiot käyttävät salasanoja todennäköisesti vielä jonkin aikaa, mikä lisää tietoverkkohyökkäyksen riskiä. Soveltamalla tässä esitettyjä viittä vinkkiä voit kuitenkin vähentää työntekijöiden salasanojen käytön riskiä. Nämä vinkit auttavat ehkäisemään tietomurtoja ja lunnasohjelmatartuntoja ja auttavat yritystäsi noudattamaan tietosuojamääräyksiä.