Salasanapolitiikan tulee tehdä tilien kaappaamisesta vaikeampaa ilman, että turvallinen toiminta muuttuu kohtuuttoman vaikeaksi. Parhaat politiikat ovat selkeitä, käytännöllisiä ja mukautettu siihen, miten ihmiset todellisuudessa työskentelevät. Ne kannustavat pitkien, uniikkien salasanojen käyttöön, tukevat salasananhallintaohjelmia, vaativat monivaiheista tunnistautumista tarvittaessa ja poistavat vanhentuneet säännöt, jotka ohjaavat käyttäjiä ennalta-arvattavaan käyttäytymiseen.
Tässä artikkelissa käymme läpi nykyaikaisen salasanapolitiikan suositellut käytännöt ja vältettävät asiat, uudistuneen lähestymistavan parhaat käytännöt sekä käytännöllisen mallipohjan, jonka voit muokata organisaatiollesi.
Mikä on salasanapolitiikka?
Salasanapolitiikka on joukko sääntöjä, jotka määrittävät, miten salasanat luodaan, tallennetaan, käytetään, jaetaan, vaihdetaan ja suojataan. Politiikka koskee työntekijöitä, alihankkijoita, ylläpitäjiä, palvelutilejä ja joskus myös asiakkaita riippuen järjestelmien laajuudesta.
Hyvä salasanapolitiikka vastaa käytännön kysymyksiin:
- Kuinka pitkiä salasanojen tulee olla?
- Sallitaanko lauseenmuotoiset salasanat (passphrases)?
- Saako salasanan liittää leikepöydältä salasananhallintaohjelmasta?
- Milloin salasana pitää vaihtaa?
- Onko monivaiheinen tunnistautuminen pakollinen?
- Miten jaetaan yhteiskäyttöisiä tunnuksia?
- Mitä tapahtuu, jos epäillään salasanan vuotoa?
Tavoitteena ei ole monimutkaisin sääntökokoelma, vaan todellisen riskin pienentäminen.
Nykyaikaisen salasanapolitiikan suositukset
Vaadi riittävä pituus
Salasanan pituus on yksi parhaista puolustuksista arvailua ja tiedonsiirtä hyödyntäviä hyökkäyksiä vastaan. Yksi kaikille käyttäjätili- ja erityistapauksille yhteinen pituusvaatimus helpottaa sekä käyttäjien että IT-tukihenkilöiden arkea. Käytännöllinen oletus on vaatia vähintään 16 merkkiä kaikille ihmiskäyttäjä-tilille. Pidempi aina parempi, varsinkin jos käyttäjät käyttävät salasananhallintaohjelmia tai satunnaisesti luotuja passphrase-lauseita.
Salli pitkät salasanat ja lauseet
Käyttäjät tulee voida luoda salasanoja, jotka ylittävät minimin huomattavasti. Vältä matalia maksimirajoja kuten 16 tai 20 merkkiä. Yleisesti suositeltava yläraja on vähintään 64 merkkiä — monet järjestelmät tukevat tätä tai enemmän.
Pitkät passphrase-lauseet on sallittava, kunhan ne eivät perustu yleisiin sitaatteihin, laulujen sanoihin, yrityksen nimiin tai helppoihin arvausfraaseihin. Esimerkiksi useasta satunnaissanasta muodostettu lause on lähes aina parempi kuin lyhyt salasana pakotetuilla erikoismerkkikorvauksilla.
Vaadi uniikkius
Jokaisella tilillä tulee olla oma uniikki salasana. Salasanojen kierrätys on yksi suurimmista syistä siihen, että yhden palvelun tietovuoto voi johtaa muiden tilien haltuunottoon. Salasananhallintaohjelman käyttö tekee uniikeista salasanoista käytännöllisiä — käyttäjien ei tarvitse muistaa jokaista tunnusta ulkoa.
Tue salasananhallintaohjelmia
Politiikassa tulee nimenomaisesti sallia ja kannustaa hyväksyttyjen salasananhallintaohjelmien käyttöä. Käyttäjien tulee voida liittää salasanoja kirjautumislomakkeille, käyttää automaattista täyttöä ja generoida satunnaisia salasanoja. Liittämisen estäminen voi tuntua turvalliselta, mutta se vähentää usein vahvojen pääsanojen käyttöä.
Tarkasta salasanat tunnettuja tietovuotoja vastaan
Salasanat tulee hylätä, jos ne löytyvät tunnetuilta tietovuotolistoilta, yleisesti käytettyjen salasanojen listoilta, tai organisaation omilta estolistoilta. Tämä on tehokkaampaa kuin pakottaa käyttäjää lisäämään iso kirjain, numero sekä erikoismerkki.
Vaadi MFA aina kun mahdollista
Monivaiheinen tunnistautuminen (MFA, Multi-factor Authentication) tulee ottaa käyttöön aina kun se on teknisesti mahdollista — erityisesti ylläpitäjille, etäkäytölle, pilvipalveluihin, sähköpostiin, salasananhallintaohjelmiin, talousjärjestelmiin ja muihin kriittisiin kohteisiin. MFA ei korvaa vahvoja salasanoja, mutta se pienentää varastettujen tunnusten aiheuttamaa riskiä.
Suosi tietojenkalastelulle vastustuskykyistä monivaiheista tunnistautumista kuten passkey-tunnuksia, laiteavaimia tai alustojen omia tunnisteita. Sovelluspohjaiset authentikaattorit ovat yleensä parempia kuin SMS. Tekstiviestipohjaista MFA:ta ei saa käyttää, jos mikään muu vaihtoehto on teknisesti mahdollinen, koska matkapuhelinnumerot voidaan siepata, vaihtaa, siirtää tai käyttää väärin tilin palautusprosesseissa.
Tämä ei ole teoreettista: Vuonna 2018 Reddit raportoi, että hyökkääjät ohittivat kaksivaiheisen tekstiviestitunnistautumisen ja pääsivät sisäisiin järjestelmiin: https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/. Vuonna 2021 Coinbase ilmoitti, että hyökkääjät varastivat kryptovaluuttaa vähintään 6 000 asiakkaalta hyödynnettyään tunnuksia ja heikkouksia Coinbase:n SMS-palautusprosessissa: https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/.
Vaihda salasana kompromissitilanteissa
Salasanat tulee vaihtaa aina, kun havaitaan tai epäillään tietomurtoa. Esimerkkejä: tietojenkalastelu, haittaohjelma laitteella, tunnisteen päätyminen tietovuotoon, epäilyttävä kirjautuminen tai vahingollinen paljastus.
Suojaa yhteiskäyttöiset tunnukset oikein
Yhteiskäyttöisiä salasanoja tulee välttää aina kun yksilölliset tunnukset ovat mahdollisia. Jos yhteiskäyttö on väistämätöntä, salasana tallennetaan hyväksyttyyn salasananhallintaohjelmaan, käyttö rajataan vain luvan saaneille, ja mahdollisuuksien mukaan käyttö lokitetaan.
Turvaa salasanan nollaamisen prosessit
Salasanan palautus on usein käyttäjätunnuksen heikoin kohta. Palautusprosessien täytyy varmistaa käyttäjän henkilöllisyys, palautuslinkit täytyy vanhentua nopeasti, tunnistetietojen olla kertakäyttöisiä ja käyttäjät tulee ilmoittaa salasanan vaihtuessa.
Nykyaikaisen salasanapolitiikan vältettävät asiat
Älä pakota salasanan tiheää vaihtoa ilman syytä
Pakollinen salasanan vaihto esimerkiksi 30, 60 tai 90 päivän välein johtaa usein heikompiin salasanoihin. Käyttäjät tekevät pieniä, ennalta-arvattavia muutoksia, kuten lisäävät numeron tai vaihtavat vuodenajan. NIST:n digitaalisen identiteetin ohjeistus (Digital Identity Guidelines) jätti pois toistuvat määräaikaiset salasanavaihdot ja suosittelee vaihtoa vain kompromissin yhteydessä. Katso kohta 3.1.1.2: https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver. Vaatikaa vaihto kompromissin, roolimuutosten, tunnusten palautusten tai vaatimusten täyttymättömyyden yhteydessä.
Älä luota pelkkiin monimutkaisuussääntöihin
Säännöt kuten ”on sisällettävä iso kirjain, pieni kirjain, numero ja erikoismerkki” eivät yksin takaa vahvuutta. Password1! täyttää monimutkaisuussäännöt mutta on silti heikko. Priorisoi pituus, uniikkius, satunnaisuus ja tietovuotojen tarkistus.
Älä estä kopioi ja liitä -toimintoa
Salasananliitoksen estäminen vaikeuttaa salasananhallintaohjelmien käyttöä ja ohjaa käyttäjiä kohti lyhyempiä, näppäiltäväksi helposti muistettavia salasanoja. Salli salasanan liittäminen ja automaattinen täyttö, ellei tätä kohtaan ole erityistä dokumentoitua turvallisuussyytä.
Älä käytä salasanavihjeitä
Salasanavihje paljastaa usein liikaa. Jos käyttäjä muistaa salasanansa vihjeestä, hyökkääjä voi arvata sen yhtä helposti. Käytä turvallisia palautusprosesseja vihjeiden sijaan.
Älä tallenna salasanoja selväkielisenä
Järjestelmissä ei koskaan saa tallentaa salasanoja selväkielisenä eikä käännettävästi salattuna. Salasanat suolataan ja hajautetaan nykyaikaisella, hitaalla algoritmilla kuten Argon2id, bcrypt, scrypt tai PBKDF2 riippuen järjestelmästä ja mahdollisista säädösvaatimuksista.
Nopeat yleiskäyttöiset hajautusalgoritmit kuten MD5, SHA-1, SHA-256 tai SHA-512 eivät sovi yksinään salasanojen hajautukseen — ne on suunniteltu nopeiksi, mikä helpottaa offline-arvaushyökkäyksiä vuodetuista tietokannoista. Lue lisää aiheesta artikkelissamme salasanojen hajautuksen evoluutiosta.
Älä jaa salasanoja chatissa tai sähköpostissa
Salasanoja ei saa lähettää sähköpostilla, chatissa, tukipyyntöinä, dokumenteissa tai kuvakaappauksina. Käytä salasananhallintaohjelmaa suojattuun jakamiseen ja pääsynhallintaan.
Älä käytä henkilökohtaisia tietoja tai helppoja kaavoja
Salasanat eivät saa sisältää nimiä, syntymäpäiviä, yrityksen nimiä, näppäimistökuvioita, toistuvia merkkejä tai yleistyneitä korvausmerkkejä (kuten @ → a, 0 → o). Hyökkääjät testaavat näitä kaavoja ensin.
Parhaat käytännöt organisaatioille
Aseta selkeät vähimmäisvaatimukset
Käytä yksinkertaisia vaatimuksia:
- Yksi minimipituusvaatimus, esimerkiksi 16 merkkiä kaikille käyttäjille
- Salli vähintään 64 merkkiä
- Salli välilyönnit ja yleiset symbolit
- Salli passphraset ja salasananhallintaohjelmat
- Hylkää vuotaneet ja yleisesti käytetyt salasanat
Käsittele erityistilit tarkemmin
Ylläpitäjä-, palvelu- ja tuotantotilit kaipaavat tiukempaa suojaa. Vahvemmat salasanat, MFA, rajatut käyttöoikeudet, seuranta ja välitön vaihtaminen pääsyn muuttuessa.
Toteuta roolipohjainen pääsynhallinta ja vähin oikeus -periaate
Vahvat salasanat eivät korvaa liiallisia käyttöoikeuksia. Käyttäjillä tulee olla pääsy vain niihin järjestelmiin ja tietoihin, jotka ovat heidän rooliinsa kuuluvia.
Seuraa epäilyttävää toimintaa
Tunnista poikkeavat kirjautumismallit, mahdottomalta vaikuttavat matkustusliikkeet, toistuvat epäonnistuneet kirjautumisyritykset, kirjautumiset uusista maista tai epätavanomaiseen aikaan. Salasanapolitiikkaa tukee tehokkaimmin hyvä seuranta ja tapahtumiin reagoiminen.
Kouluta käyttäjiä realistisista uhista
Koulutuksen pitäisi painottaa salasanojen kierrätyksen vaaroja, tietojenkalastelua, vääriä kirjautumissivuja, MFA-väsymystä, turvallista jakamista ja epäillyn kompromissin ilmoittamista. Älä syyllistä käyttäjiä – tee turvallisesta toiminnasta mahdollisimman helppoa.
Pidä politiikka riittävän lyhyenä ja ymmärrettävänä
Salasanapolitiikan tulee olla selkeä. Jos ohje on liian pitkä, epäselvä tai ankara, ihmiset kiertävät sitä. Paras politiikka on sellainen, jota voidaan varmasti noudattaa ja valvoa.
Kopioitava salasanapolitiikan mallipohja
Käytä alla olevaa pohjaa lähtöpisteenä. Muokkaa hakasuluissa olevat kohdat organisaatiollesi, järjestelmille, riskitasollesi sekä mahdollisille lainsäädäntövauatimuksille sopiviksi.
Salasanapolitiikka
Versio: [1.0]
Omistaja: [Tietoturva / IT-osasto]
Voimaantulopäivä: [VVVV-KK-PP]
Tarkistusväli: [12 kuukauden välein]
1. Tarkoitus
Tämä politiikka määrittää, kuinka [Organisaation nimi] luo, käyttää, tallentaa, jakaa ja vaihtaa salasanoja. Tavoitteena on vähentää luvattoman pääsyn, tunnistetietojen väärinkäytön, tilien haltuunoton ja tietojen menetyksen riskiä.
2. Soveltamisala
Tämä politiikka koskee kaikkia työntekijöitä, alihankkijoita, tilapäishenkilöstöä, palveluntarjoajia sekä muita henkilöitä, joilla on pääsy [Organisaation nimi] järjestelmiin, sovelluksiin, verkkoihin, pilvipalveluihin tai tietoihin.
Politiikka kattaa normaali-, ylläpitäjä-, palvelu-, yhteistilit ja kaikki järjestelmät, joissa salasanoja käytetään tunnistautumiseen.
3. Salasanojen luontivaatimukset
Kaikkien salasanojen tulee täyttää seuraavat vaatimukset:
- Ihmiskäyttäjätilien salasanojen tulee olla vähintään 16 merkkiä pitkiä.
- Salasanojen pitää olla uniikkeja eikä niitä saa käyttää uudelleen työ- tai henkilökohtaisissa tileissä.
- Salasana ei saa sisältää nimiä, käyttäjänimiä, yrityksen nimiä, syntymäpäiviä, näppäimistökuvioita, toistuvia merkkejä tai muuta helposti arvattavaa tietoa.
- Salasana ei saa perustua yleisiin fraaseihin, sitaatteihin, laulunsanoihin tai ennalta-arvattaviin korvausmerkkeihin.
- Salasana ei saa esiintyä tunnetuissa tietovuotolistoissa tai yleisesti käytettyjen salasanojen listoilla.
- Salasana voi sisältää välilyöntejä, symboleita, numeroita, isoja ja pieniä kirjaimia.
- Passphraset ovat sallittuja, jos ne ovat tarpeeksi pitkiä, uniikkeja eivätkä perustu ennakoitaviin tai julkisiin fraaseihin.
4. Salasananhallintaohjelmat
[Organisaation nimi] edellyttää tai vahvasti suosittelee hyväksytyn salasananhallintaohjelman käyttöä salasanojen luomiseen, tallentamiseen ja jakamiseen.
Käyttäjät saavat käyttää salasanojen generointia, automaattista täyttöä ja kopioi-liitä -toimintoa hyväksytystä salasananhallintaohjelmasta. Salasanoja ei saa tallentaa selaimiin, taulukoihin, tekstidokumentteihin, muistiinpanosovelluksiin, sähköpostiin, pikaviesteihin, kuvakaappauksiin tai muihin hyväksymättömiin työkaluihin.
5. Monivaiheinen tunnistautuminen
Monivaiheinen tunnistautuminen on otettava käyttöön aina kun se on teknisesti mahdollista, mukaan lukien mutta ei rajoittuen:
- Sähköpostitilit
- Etäkäyttöjärjestelmät
- Salasananhallintaohjelmien tilit
- Pilvipalvelut
- Ylläpitotilit
- Talous-, HR- ja muut korkean riskin järjestelmät
- Kaikki järjestelmät, jotka on luokiteltu [luottamuksellisiksi / kriittisiksi]
Käyttäjien tulee aina käyttää tietojenkalastelulle vastustuskykyistä MFA:ta, kuten passkey-tunnisteita, laiteavaimia tai alustan authentikaattoreita, jos saatavilla. Authenticator-sovellukset ovat suotavampia kuin SMS. SMS-pohjainen MFA on kielletty, jos mitään vahvempaa vaihtoehtoa on teknisesti saatavilla ja sallitaan vain jos vahvempia vaihtoehtoja ei ole.
6. Salasanojen vaihto
Salasanat on vaihdettava välittömästi jos:
- Salasana on tiedossa tai epäillään joutuneen vääriin käsiin.
- Käyttäjä syötti salasanan epäiltyyn tietojenkalastelusivuun.
- Salasana jaettiin luvattoman henkilön kanssa.
- Käyttäjän laitteilta on löydetty haittaohjelma tai tunnukseton pääsy.
- Salasana löytyy tietovuodosta.
- Ylläpitokäyttäjän rooli tai työsuhde muuttuu.
- IT- tai tietoturvahenkilöstö määrää salasanan vaihdon.
Rutiininomainen salasanan vanhentuminen ei ole pakollista, ellei laki, sopimus, asetus tai järjestelmä sitä vaadi. Salasanaa ei saa vaihtaa tekemällä pieniä, ennalta-arvattavia muutoksia aiempaan salasanaan.
7. Salasanojen jakaminen
Salasanaa ei saa jakaa sähköpostilla, chatissa, tukipyyntöinä, dokumenteissa, kuvakaappauksina, puhelimitse tai suullisesti.
Yhteistunnukset ovat sallittuja vain, kun yksilölliset tilit eivät ole teknisesti mahdollisia tai kun [IT / tietoturva] on erikseen hyväksynyt. Hyväksytyt yhteistunnukset säilytetään ja jaetaan hyväksytyn salasananhallintaohjelman kautta, vain oikeutetuille käyttäjille.
8. Ylläpitotilit
Ylläpitotilien on käytettävä uniikkeja salasanoja, joita ei käytetä missään tavallisessa käyttäjätilissä. Ylläpitotilien on käytettävä MFA:ta aina kun se on teknisesti mahdollista, ja niitä tarkistetaan säännöllisin väliajoin.
Ylläpitosalasanat pitää vaihtaa, kun ylläpitäjä poistuu organisaatiosta, vaihtaa roolia, ei enää tarvitse pääsyä, tai jos epäillään kompromissia.
9. Palvelutilit ja ohjelmistoratkaisuissa käytettävät salaisuudet
Palvelutilien salasanat, API-avaimet, tokenit ja ohjelmistojen salaisuudet tallennetaan hyväksyttyyn salaisuudenhallintajärjestelmään tai hyväksyttyyn salasananhallintaohjelmaan.
Palvelutilin tunnuksia ei saa kovakoodata lähdekoodiin, konfiguraatiotiedostoihin, kuvatiedostoihin, dokumentaatioon tai skripteihin, ellei niitä suojata hyväksytyllä salaisuudenhallintaprosessilla.
10. Salasanan palautus ja tilin palautus
Salasanan palautusprosessissa on varmistettava käyttäjän henkilöllisyys ennen kuin käyttöoikeus palautetaan. Palautuslinkkien ja väliaikaisten salasanojen on oltava kertakäyttöisiä, nopeasti vanhentuvia ja toimitettava hyväksyttyjen kanavien kautta.
Käyttäjille tulee ilmoittaa, kun heidän salasanansa on vaihdettu tai palautettu. Väliaikaiset salasanat on vaihdettava ensimmäisen kirjautumisen yhteydessä.
11. Tekniset kontrollit
Järjestelmien, jotka tallentavat tai käsittelevät salasanoja, tulee:
- Ei koskaan tallentaa salasanoja selväkielisinä.
- Hajauttaa salasanat hyväksytyllä suolatulla algoritmilla: PBKDF2, scrypt, bcrypt, tai Argon2.
- Ei saa käyttää MD5, SHA-1, SHA-256, SHA-512 tai muita nopeita yleiskäyttöisiä algoritmeja salasanojen hajautukseen yksinään.
- Suojata kirjautumispisteet nopeusrajoituksin tai vastaavin keinoin.
- Hylätä yleisesti käytetyt, heikot ja tietovuodoista löytyvät salasanat.
- Sallia käyttäjille salasanojen liittäminen salasananhallintaohjelmista.
- Tukea järkevää salasanan pituutta, vähintään 64 merkkiä aina kuin teknisesti mahdollista.
- Lokittaa turvallisuuteen liittyvät kirjautumistapahtumat.
12. Epäillyn kompromissin ilmoittaminen
Käyttäjien tulee ilmoittaa välittömästi epäillystä salasanan kompromissista, tietojenkalastelusta, epäilyttävistä kirjautumisista, vahvistuspyynnöistä, joita ei itse käynnistänyt, tai salasanan vahingollisesta paljastuksesta [Tietoturva / IT-yhteystiedot].
13. Poikkeukset
Tähän politiikkaan liittyvät poikkeukset on dokumentoitava, riskinarvioitava, aikarajoitettava ja hyväksytettävä [Tietoturva / IT-johto]. Korvaavat kontrollit tulee ottaa käyttöön mahdollisuuksien mukaan.
14. Valvonta
Tämän politiikan laiminlyönti voi johtaa käyttöoikeuksien poistoon, pakolliseen tietoturvakoulutukseen, kurinpidollisiin toimiin tai muihin toimenpiteisiin [Organisaation nimi] politiikkojen ja sovellettavan lain mukaisesti.
15. Tarkistus
Tämä politiikka tarkistetaan vähintään vuosittain tai järjestelmiin, uhkakuviin, lainsäädäntöön tai liiketoimintaan liittyvien olennaisten muutosten jälkeen.
Lopuksi
Vahvan salasanapolitiikan tarkoitus ei ole tehdä salasanoista tuskallisia. Tarkoituksena on kitkeä huonoja tapoja, tukea salasananhallintaohjelmia, käyttää monivaiheista tunnistautumista ja reagoida nopeasti, kun tunnistetiedot paljastuvat. Pidä politiikka käytännöllisenä, valvottavana ja keskity todellisiin uhkiin, kuten tietojenkalasteluun, tunnusten tavalliseen kierrätykseen sekä tilien kompromissiin.
