Monet yritykset ja yksityiskäyttäjät kohtaavat saman kysymyksen: kuinka salasanoja ja muita arkaluontoisia tietoja voidaan suojata luotettavasti ja silti käyttää kätevästi – mukaan lukien tarkastuskestävä poistaminen tarpeettomista tiedoista ja ilman tarpeettomia riskejä pilvipalveluiden suhteen?

Seuraavassa esittelemme, kuinka Password Depot mahdollistaa korkean turvallisuustason – salasananhallinnasta vahvaan salaukseen ja turvalliseen salasanan luomiseen sekä lopulliseen tietojen poistoon ja luotettaviin tallennuspaikkoihin.

Tunnistautumistietojen tehokas hallinta

Tarvittavien tunnistetietojen (salasanat, käyttäjätunnukset, PIN-koodit) määrä kasvaa jatkuvasti. Muistiinpanot, taulukot tai selaimen muistissa tallentaminen ovat yleisiä tapoja, mutta ne ovat virhealttiita ja edistävät salasanojen uudelleenkäyttöä. Siksi viranomaiset, kuten BSI ja brittiläinen NCSC, suosittelevat salasananhallintaohjelman käyttöä: se luo vahvoja salasanoja, varoittaa heikoista tai vaarantuneista salasanoista ja helpottaa niiden selkeää luokittelua. Lähde: BSI, Lähde: NCSC

Käytännön vinkki: Käytä jokaiselle palvelulle omaa, vahvaa salasanaa ja ota käyttöön – mikäli mahdollista – monivaiheinen todennus (MFA).

Maksimaalinen turvallisuus tallennuksessa ja käytössä

Password Depot tallentaa salasanat ja muut luottamukselliset tiedot (esim. lisenssiavaimet, henkilöllisyys- ja maksutiedot) salattuina. Käytössä on AES‑256 – FIPS 197 -standardin mukainen menetelmä; NSA käyttää AES‑256:ta nykyisessä CNSA 2.0-ohjelmistopaketissaan. FIPS 197, NSA CNSA 2.0

Pääsalasana on avain tietokantaasi. Sitä ei tallenneta selväkielisenä, vaan kirjautumisen yhteydessä käytetään kryptografista johdannaista arvoa. Nykyaikaiset ohjeet edellyttävät muun muassa muistissa pysyviä salasanan hajautusmenetelmiä ja suolaa sekä verifioijan puolella tapahtuvaa nopeuden rajoittamista. NIST SP 800‑63B‑4

Tärkeää: Monimutkaisuusvaatimukset (erikoismerkkien käyttöpakko jne.) ovat haitallisia. Suositellaan pitkiä salasanoja ja vertailua blocklist-luetteloihin (yleiset/paljastuneet salasanat). Salasana vaihdetaan vain, jos sen paljastuminen epäillään – ei säännöllisin väliajoin. NIST SP 800‑63B‑4, NCSC: Kolme satunnaista sanaa

Vahvojen salasanojen luominen – aidosti satunnaisia, aidosti testattuja

Password Depot käyttää vahvojen salasanojen luomiseen kryptografisesti turvallisia satunnaislukuja. Entropiaa voidaan saada mm. ennakoimattomista käyttäjän toimista (esim. hiiren liikkeet) ja järjestelmälähteistä, jotta satunnaislukugeneraattori voidaan alustaa korkealaatuisesti. Lisäksi generaattori tarkistaa laadun (mukaan lukien sanakirja- ja vuotolistojen vertailu) estääkseen heikot tai jo tunnetut salasanat – nykyisten ohjeiden mukaisesti, jotka koskevat vertailua vaarantuneisiin arvoihin. NIST SP 800‑63B‑4

Suositus: Käytä automaattisesti luotuja pitkiä salasanoja (esim. ≥ 20 merkkiä) tai – jos käytettävyys on kriittinen tekijä – pitkiä salasanoja (esim. kolme tai neljä satunnaista sanaa). NCSC-taustatiedot

Lopullinen tietojen poisto – mitä nykyään todella sovelletaan

Password Depot tarjoaa menetelmiä luottamuksellisten tiedostojen turvalliseen poistamiseen, mukaan lukien usein mainittu DoD 5220.22‑M-ylikirjoitus (useita kierroksia). Historiallisesti merkittävä – mutta: nykypäivän moderneille tallennusvälineille (erityisesti SSD-levyille) merkittävänä viitteenä on NIST SP 800‑88 Rev.1. Siinä erotetaan toisistaan Clear, Purge (esim. Cryptographic Erase, ATA Secure Erase) ja Destroy ja käsitellään laitteistokohtaisia menetelmiä. NIST SP 800‑88 Rev.1

Käytännössä tämä tarkoittaa, että HDD-levyt voidaan puhdistaa turvallisesti monissa tilanteissa dokumentoidulla ylikirjoituksella (Clear/Purge), kun taas SSD-levyjen osalta suositeltavia menetelmiä ovat Sanitize/Secure Erase tai Cryptographic Erase. NIST mainitsee nämä vaihtoehdot nimenomaisesti (mukaan lukien TCG/ATA-komennot). Yksityiskohdat NIST SP 800‑88 Rev.1

Selväkielinen teksti: DoD 5220.22-M on pikemminkin historiallinen viite; Yhdysvaltain sääntelymaailmassa NISPOM-ohje (DoD 5220.22-M) on sittemmin korvattu 32 CFR Part 117 (NISPOM Rule) -säännöksellä. Nykyisin tietojen poistokäytännön mittapuu on NIST 800-88. DCSA NISPOM-säännöstä, NIST SP 800‑88 Rev.1

Turvallinen tallennus ja tietojen hallinta Password Depotilla

Password Depot tarjoaa organisaatioille maksimaalisen joustavuuden: Password Depot Client ja Password Depot Enterprise Server -ohjelmien avulla voit itse määrittää tallennuspaikan – esimerkiksi täysin paikallisesti (ei siirtoa kolmansiin maihin) tai valitsemassasi EU-hosting-palvelussa.

Oikeudellinen konteksti (EU↔Yhdysvaltojen välinen tietojen siirto): EU:n tuomioistuin kumosi vuonna 2020 Privacy Shield (Schrems II) -sopimuksen, minkä jälkeen kolmansiin maihin suuntautuville siirroille on tarvittu lisätoimenpiteitä. Vuonna 2023 EU:n komissio hyväksyi uuden EU:n ja Yhdysvaltojen välisen tietosuojakehyksen (DPF), jonka EU:n tuomioistuin vahvisti vuonna 2025 – tietty oikeudellinen varmuus on olemassa, mutta oikeudelliset keskustelut jatkuvat. Valitsemalla tallennuspaikat itsenäisesti (esim. paikallinen tai EU-hosting) voidaan riippuvuudet minimoida. EuGH C‑311/18, EU‑Durchführungsbeschluss 2023/1795, vahvistus 2025

Lopulliset huomiot

Turvallisuus ei ole kertaluonteinen projekti, vaan prosessi. Password Depot auttaa sinua luomaan vahvoja tunnistetietoja, tallentamaan ne turvallisesti, käyttämään niitä hallitusti ja tarvittaessa poistamaan ne lopullisesti. Yhdistämällä selkeät ohjeet (MFA, salasanalauseet, säännöllinen vaarantuneiden salasanojen tarkistus, NIST-yhteensopivat poistoprosessit) avulla saavutat vankan, käytännönläheisen suojan tason.