Identtiset salasanat: toistuvan salasanan käytön riskit

Yksi hakkeroitu käyttäjätunnus – kaikki tunnukset vaarassa.

IT-järjestelmänvalvojat kantavat päävastuun järjestelmien ja tietojen suojaamisesta. Erityisen hankala riski ovat identtiset tai uudelleen käytetyt salasanat. Niiden avulla käyttäjät avaavat – usein tahattomasti – hyökkääjille oven credential stuffing -hyökkäyksiin, tilien kaappauksiin ja sivuttaisiin liikkeisiin verkossa. Tutkimukset osoittavat, että varastettujen tunnistetietojen käyttö on yksi yleisimmistä turvallisuusrikkomusten alkuperäisistä syistä (katso lähteet alla).

Laaja-alaisen kompromittoinnin riski

Jos tili vaarantuu, hyökkääjät testaavat automaattisesti samat tunnistetiedot muissa palveluissa (Credential‑Stuffing). Yksi ainoa vuoto voi siten aiheuttaa ketjureaktion – sähköpostista yhteistyötyökaluihin ja pilvipalveluihin. Tuloksena: tietojen varastaminen, identiteettivarkaudet ja luvaton pääsy yrityksen resursseihin.

Erityisen kriittisiä ovat ”perusverkkosovellushyökkäykset”, joissa vallitsevat varastetut tai uudelleen käytetyt tunnistetiedot – selvä viittaus siihen, että salasanan uudelleenkäyttö on käytännössä suoraan hyödynnettävissä (katso lähteet).

Ransomware ja tilien kaappaukset

Kun hyökkääjät ovat saaneet käsiinsä voimassa olevat tunnistetiedot, he voivat laajentaa oikeuksiaan, liikkua verkossa sivusuunnassa ja levittää haittaohjelmia – jopa ransomware-ohjelmia. Viralliset suositukset korostavatkin: poista salasanan uudelleenkäyttö ja ota käyttöön phishing-kestävä MFA (esim. FIDO2/Passkeys) siellä, missä se on teknisesti mahdollista (CISA, NIST).

Toimenpiteet salasanaturvallisuuden parantamiseksi

Ohjeet (käytäntö)

Ei ennaltaehkäiseviä, säännöllisiä salasananvaihtoja – pakota vain, jos epäillään tai todetaan, että salasana on vaarantunut (NIST, NCSC).
Yksi salasana per tili/palvelu – kiellä ehdottomasti salasanan uudelleenkäyttö (NIST, NCSC).
Lisää vähimmäispituutta (esim. ≥ 14 merkkiä) ja vältä tarpeettomia monimutkaisuusvaatimuksia; panosta sen sijaan pituuteen, ainutlaatuisuuteen ja ”yleisten salasanojen” estämiseen (NIST).
Tarkista salasanat vaarantuneiden luetteloiden varalta (NIST SP 800‑63B) – katso alla oleva käytännön ohje Password Depotista.
MFA pakollinen, mieluiten phishing-kestävä (FIDO2/Passkeys), ainakin järjestelmänvalvojan, etä- ja pilvipalvelujen käyttöoikeuksille (CISA).

Tekniset tarkastukset

Aktivoi nopeuden rajoitus ja valvonta kirjautumisissa; tunnista ja estä epäilyttävät mallit (esim. useat kirjautumisyritykset hajautetuista verkoista) (NIST).
Salli ”liitä”/lisää, jotta salasananhallintaohjelmia voidaan käyttää turvallisesti – älä estä kopiointia/liittämistä salasanakentässä (NIST).

Riskipohjaiset MFA-haasteet ja johdonmukainen MFA-rekisteröityminen (CISA).

Passkeys käyttöönotetaan mahdollisuuksien mukaan; korvaa salasanan syöttö tulevaisuudessa.
Tunnista vaarantuneet salasanat: Tarkista Password Depotissa valitsemalla Extras → Security Check → Check for Pwned Passwords ja muuta kyseiset merkinnät välittömästi.

Käytäntö Password Depotissa:

Avaa Työkalut → Turvallisuustarkistus → Tarkista Pwned-salasanat, jotta voit tarkistaa tallennetut salasanat vaarantuneiden luetteloiden varalta.
Suorita tämä tarkistus säännöllisesti – erityisesti julkisten tietovuotojen tai phishing-tapauksien jälkeen.

Korvaa merkityt salasanat välittömästi pitkillä, ainutlaatuisilla salasanalauseilla ja ota käyttöön MFA/Passkeys-toiminto, jos mahdollista.

Tietoisuus ja toiminta

Kouluta käyttäjiä säännöllisesti tunnistetietojen täyttämisestä, phishingistä ja salasanojen uudelleenkäytöstä (NCSC/CISA).

Suosittele ja tarjoa salasananhallintaohjelmistoja; tavoitteena on pitkä, satunnainen ja ainutlaatuinen salasana jokaiselle palvelulle.
Määritä tapahtumat (tietovuodot, phishing, haittaohjelmat) välittömän salasananvaihdon ja tunnuksen uusimisen syyksi (NIST/CISA).

Selvä teksti: Uudelleenkäyttö on todellinen vihollinen. Pakolliset, säännölliset vaihdot ilman syytä heikentävät salasanojen laatua – eivätkä ratkaise ongelmaa. Panosta pituuteen, ainutlaatuisuuteen, MFA/salasanoihin ja tarkistukseen vaarantuneiden luetteloiden varalta (esim. suoraan Password Depotissa).

Johtopäätös: Salasanojen toistuva käyttö on merkittävä turvallisuusriski ja edistää tilien kaappauksia ja jopa ransomware-hyökkäyksiä. Järjestelmänvalvojien on otettava käyttöön selkeät, ajantasaiset ohjeet ja varmistettava niiden tekninen toteutettavuus – mukaan lukien säännöllinen tarkistus vaarantuneiden salasanojen varalta Password Depotilla –, jotta identiteetit ja järjestelmät voidaan suojata kestävästi.

Lähteet (valikoima)

NIST SP 800‑63B: Digital Identity Guidelines – Memorized Secrets (mm. ei pakollisia vaihtoja; vertailu vaarantuneisiin luetteloihin; sallitaan liittäminen)

CISA „Secure Our World“: Use Strong Passwords (suositus salasananhallintaohjelmista ja yksilöllisistä salasanoista)

NCSC (UK): Problems with forcing regular password expiry & Credential‑Stuffing Advisory

Verizon DBIR: Raporttisivu ja tiivistelmä (päivitetty vuosittain)

Have I Been Pwned: Pwned Passwords (julkinen tietolähde vaarantuneille salasanoille)