Vahva salasanakäytäntö on usein ensimmäinen puolustuslinja verkkohyökkäyksiä vastaan, mutta monet organisaatiot noudattavat edelleen vanhentuneita ohjeita, jotka altistavat ne merkittäville riskeille.
Verizonin 2020 Data Breach Investigations Report -raportin mukaan kadonneet tai varastetut tunnistetiedot ovat edelleen tärkein hakkerointitaktiikka, jota pahansuovat toimijat käyttävät tietomurtojen tekemiseen, ja vaarantuneet tai heikot salasanat ovat vastuussa 35 prosentista kaikista tietomurroista.
Salasanojen suojaus ei ole koskaan ollut tärkeämpää kuin nyt, kun suuri osa työvoimasta työskentelee edelleen kotoa käsin. Uhkakenttä on laajentunut, joten on tärkeää, että organisaatiot päivittävät salasanakäytäntöjään ja opettavat henkilöstöä luomaan vahvoja salasanoja ja tarjoamaan vankan suojan verkkouhkia vastaan.
Aiemmissa salasanojen turvallisuutta koskevissa ohjeissa keskityttiin yleensä ainutlaatuisuuteen, monimutkaisuuteen, salasanan vähimmäispituuteen ja salasanan säännölliseen vaihtamiseen. Viimeisimmissä ohjeissa on kuitenkin siirrytty pois tästä, sillä monet näistä salasanakäytännöistä voivat itse asiassa saada käyttäjät luomaan heikompia salasanoja vahvempien sijaan.
Kansallinen standardointi- ja teknologiainstituutti (NIST) on käsitellyt salasanakäytäntöjen merkitystä julkaisemalla NIST Special Publication 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management). Julkaisussa annetaan organisaatioille ajantasaisia neuvoja siitä, miten ne voivat parantaa todentamisprosessia ja vähentää tietoturvaloukkausten riskiä.
Myös Microsoft ja National Cyber Security Centre (NCSC) ovat päivittäneet salasanoja koskevia ohjeistuksiaan auttaakseen organisaatioita ottamaan käyttöön salasanakäytäntöjä, joilla voidaan suojautua kehittyviltä uhkilta ja tukea ihmisten luonnollisia työskentelytapoja.
Varmistaaksesi, että salasanakäytäntösi on tehokas ja täyttää NIST:n, Microsoftin ja NCSC:n suosittelemat standardit, olemme koonneet kaikki uusimmat ohjeet toimiviksi neuvoiksi, joita organisaatiosi voi käyttää salasanojen turvallisuuden parantamiseen.
Salasanakäytännön parhaat käytännöt
Lisää salasanojen pituutta ja vähennä keskittymistä salasanojen monimutkaisuuteen.
Aiemmin salasanojen turvallisuutta koskevissa neuvoissa on keskitytty voimakkaasti monimutkaisten salasanojen luomiseen, mutta tämä johtaa usein siihen, että olemassa olevia salasanoja käytetään uudelleen pienin muutoksin. National Cyber Security Councilin mukaan: "Monimutkaisuusvaatimukset aiheuttavat ylimääräistä taakkaa käyttäjille, joista monet käyttävät ennalta arvattavia malleja (kuten o-kirjaimen korvaamista nollalla tai erikoismerkkien käyttöä) täyttääkseen vaaditut monimutkaisuuskriteerit.
Hyökkääjät tuntevat nämä strategiat ja käyttävät tätä tietoa optimoidakseen hyökkäyksensä." Salasanan pituus on usein paljon tärkeämpi tekijä, sillä pidempi salasana on tilastollisesti vaikeampi murtaa. NIST ja Microsoft suosittelevat, että käyttäjän luoman salasanan vähimmäispituus on 8 merkkiä, ja arkaluonteisempien tilien turvallisuuden lisäämiseksi NIST suosittelee, että organisaatiot asettavat salasanan enimmäispituudeksi 64 merkkiä. Tämä mahdollistaa salasanojen käytön. Tunnuslause on salasana, joka koostuu lauseesta tai sanayhdistelmästä. Se auttaa käyttäjiä muistamaan pidempiä salasanoja ja vaikeuttaa hakkerien arvaamista raa'alla voimalla.
Seulaa salasanat mustia listoja vastaan
Salasanojen uudelleenkäyttö on yleinen ongelma, ja Googlen ja Harrisin tutkimuksen mukaan 52 prosenttia ihmisistä käyttää samaa salasanaa useilla tileillä. Tämä riskikäyttäytyminen on johtanut valtavaan hyökkäysten kasvuun, kun hakkerit pyrkivät hyötymään miljardeista vaarantuneista tunnuksista, joita on saatavilla pimeässä verkossa. Näiden varastettujen tunnusten avulla hakkerit voivat yrittää päästä käsiksi muihin käyttäjätileihin käyttämällä samaa vaarannettua salasanaa.
Tämän uhan torjumiseksi NIST suosittelee, että organisaatiot käyttäisivät ohjelmistoja, jotka seulovat salasanoja mustalla listalla, joka sisältää sanakirjasanoja, toistuvia tai peräkkäisiä merkkijonoja, aiemmissa tietomurroissa varastettuja salasanoja , yleisesti käytettyjä salasanoja tai muita sanoja ja malleja, jotka hakkerit voisivat arvata. Tämä seulontaprosessi auttaa käyttäjiä välttämään sellaisten salasanojen valintaa, jotka aiheuttavat turvallisuusriskin, ja se ilmoittaa, jos aiemmin turvallinen salasana paljastuu tulevaisuudessa.
Poistaa säännölliset salasanan nollaukset
Monet organisaatiot vaativat työntekijöitään vaihtamaan salasanansa säännöllisin väliajoin, usein 30, 60 tai 90 päivän välein. Viimeaikaiset tutkimukset ovat kuitenkin osoittaneet, että tämä lähestymistapa salasanojen turvallisuuteen on usein kielteinen ja voi itse asiassa huonontaa turvallisuutta. Käyttäjillä on yleensä useita salasanoja, jotka heidän on muistettava, joten kun heidän on pakko uusia salasanansa määräajoin, he turvautuvat ennalta arvattaviin käyttäytymismalleihin, kuten valitsevat uuden salasanan, joka on vain pieni muunnelma vanhasta.
He voivat päivittää sitä muuttamalla yksittäisen merkin tai lisäämällä kirjainta muistuttavan symbolin (esimerkiksi ! I:n sijasta). Jos hyökkääjä tuntee jo käyttäjän nykyisen salasanan, päivitetyn version murtaminen ei ole kovin vaikeaa. NIST suosittelee tämän vaatimuksen poistamista, jotta salasanojen tietoturvasta saataisiin käyttäjäystävällisempi, ja Microsoft neuvoo: "Jos salasanaa ei koskaan varasteta, sen voimassaoloaikaa ei tarvitse vanhentua. Ja jos sinulla on todisteita siitä, että salasana on varastettu, toimisit oletettavasti välittömästi sen sijaan, että odottaisit vanhentumista ongelman korjaamiseksi."
Salli salasanan kopiointi ja liittäminen
NIST on tarkistanut aiempaa ohjeistustaan ja suosittelee nyt "kopioi ja liitä" -toimintoa salasanaa kirjoitettaessa. Tämä auttaa edistämään salasanahallintaohjelmien käyttöä, mikä epäilemättä lisää turvallisuutta, koska käyttäjät voivat luoda pidempiä salasanoja, joita on vaikeampi murtaa.
Rajoita salasanayrityksiä
Brute-force-hyökkäyksen avulla hakkerit voivat yrittää murtautua tilille kirjautumalla järjestelmällisesti sisään ja kokeilemalla kaikkia mahdollisia kirjain-, numero- ja symboliyhdistelmiä, kunnes he keksivät oikean salasanayhdistelmän. Yksi parhaista tavoista puolustautua tämäntyyppisiä hyökkäyksiä vastaan on rajoittaa salasanayritysten määrää, joita yksittäinen IP-osoite voi tehdä tietyn ajan kuluessa.
Älä käytä salasanavihjeitä
Organisaatiot käyttävät usein salasanavihjeitä auttaakseen käyttäjiään muistamaan monimutkaisia salasanoja. Kyse voi olla yksinkertaisesta kehotuksesta tai käyttäjän on vastattava henkilökohtaiseen kysymykseen, kuten "missä kaupungissa olet syntynyt?" tai "mikä on ensimmäisen koulusi nimi?". Määrätietoinen hyökkääjä voi helposti löytää vastaukset moniin näistä kysymyksistä sosiaalisessa mediassa. Tämä heikentää turvallisuutta, minkä vuoksi NIST on kehottanut organisaatioita luopumaan tästä käytännöstä, koska se saattaa lisätä tietomurron mahdollisuutta.
Käytä monitekijätodennusta
Monitekijätodennus (MFA ) on yksi tehokkaimmista tavoista tarjota lisäsuojausta salasanalla suojatulle tilille. Microsoftin mukaan tilien vaarantumisen todennäköisyys on yli 99,9 prosenttia pienempi, jos MFA on käytössä. Tuoreen GetApp-tutkimuksen mukaan kuitenkin vain 55 prosenttia vastaajista käyttää oletusarvoisesti kaksitekijätodennusta yritys- ja henkilökohtaisissa tileissään, kun se on käytettävissä.
Voidaan käyttää kolmenlaisia todennustapoja:
- Jotain mitä tiedät: Salasana, PIN-koodi, postinumero tai vastaus kysymykseen (esim. äidin tyttönimi).
- Jotain, mitä sinulla on: Token, puhelin, luottokortti, SIM-kortti tai fyysinen turva-avain.
- Jotain mitä olet: Biometriset tiedot, kuten sormenjälki, ääni tai kasvojentunnistus.
Jotkin näistä varmistusmenetelmistä ovat epäilemättä turvallisempia kuin toiset, mutta pohjimmiltaan se tarkoittaa, että vaikka joku varastaisi tai arvaisi salasanan, hän ei pääse tilille ilman toista todentavaa tekijää.
Kouluttaa henkilöstöä salasanojen parhaista käytännöistä
On paljon ristiriitaisia neuvoja siitä, mikä on turvallinen salasana, joten on tärkeää, että henkilökuntasi ymmärtää parhaat käytännöt ja tietää, mitä salasanakäytäntösi edellyttää heiltä. Tietoturvakoulutuksen tulisi opettaa henkilöstölle seuraavat asiat:
- Samojen salasanojen uudelleenkäytön riskit koti- ja työtileillä.
- Miten luoda vahvoja ja turvallisia salasanoja
- MFA:n ottaminen käyttöön
- Kuinka käyttää automaattista salasanahallintaohjelmaa salasanojen tallentamiseen turvallisesti?
