Turvallisuuden parantaminen Password Depotin avulla

Todennustietojen tehokas hallinta

Tarvittavien käyttöoikeustietojen (salasanojen, käyttäjätunnusten, PIN-koodien) määrä kasvaa jatkuvasti. Muistilaput, taulukot tai selaimen tallennus ovat arjessa yleisiä, mutta alttiita virheille ja lisäävät salasanojen uudelleenkäyttöä. Siksi asiantuntijaviranomaiset, kuten BSI ja Ison-Britannian NCSC, suosittelevat salasanojen hallintaohjelman käyttöä: se luo vahvoja salasanoja, varoittaa heikoista tai vaarantuneista salasanoista ja helpottaa yksiselitteistä kohdistamista. Lähde: BSI, Lähde: NCSC

Käytännön vinkki

Käyttäkää jokaiselle palvelulle omaa vahvaa salasanaa ja ottakaa käyttöön – aina kun mahdollista – monivaiheinen tunnistautuminen (MFA).

Maksimaalinen turvallisuus säilytykseen ja käyttöön

Password Depot tallentaa salasanat sekä muut luottamukselliset tiedot (esim. lisenssiavaimet, henkilöllisyys- ja maksutiedot) salattuina. Käytössä on AES-256 – menetelmä, joka on standardoitu standardissa FIPS 197; NSA sisällyttää AES-256:n nykyiseen CNSA 2.0 -pakettiin. FIPS 197, NSA CNSA 2.0

Pääsalasana on tietokantasi avain. Sitä ei tallenneta selväkielisenä, vaan kirjautumisessa käytetään kryptografista johdannaisarvoa. Nykyaikaiset ohjeistukset edellyttävät muun muassa muistinkovia salasanan hajautusmenetelmiä ja suolaa sekä verifier-puolen nopeusrajoitusta. NIST SP 800-63B-4nist-pubs-nistpubs-specialpublications-nist-sp-800-63b-4-pdf

Monimutkaisuussäännöt

(pakolliset erikoismerkit jne.) katsotaan haitallisiksi. Suositeltavia ovat pitkätlange Tunnuslauseet ja vertailu blocklists (yleiset/vaarantuneet salasanat) -listoihin. Salasana vaihdetaan vain, jos on syytä epäillä vaarantumista – ei kiintein väliajoin. NIST SP 800–63B–4, NCSC: Three random words

Luo vahvoja salasanoja – aidosti satunnaisesti, asianmukaisesti tarkistettuina

Password Depot käyttää vahvojen salasanojen luomiseen kryptografisesti turvallisia satunnaisarvoja. Entropiaa voidaan saada muun muassa ennakoimattomista käyttäjävuorovaikutuksista (esim. hiiren liikkeistä) ja järjestelmälähteistä, jotta satunnaislukugeneraattori alustetaan laadukkaasti. Lisäksi generaattori tarkistaa laadun (mukaan lukien vertailu sanakirja- ja vuotolistoihin), jotta heikot tai jo tunnetut salasanat voidaan estää – nykyisten, vaarantuneisiin arvoihin tehtävää vertailua koskevien ohjeiden mukaisesti. NIST SP 800–63B–4

Suositus

Käytä automaattisesti luotuja, pitkiä salasanoja (esim. ≥ 20 merkkiä) tai – silloin kun käytettävyys on kriittistä – pitkiä tunnuslauseita (esim. kolmesta neljään satunnaista sanaa). NCSC-taustatieto

Lopullinen tietojen poistaminen – mikä todella pätee nykyään

Password Depot tarjoaa menetelmiä luottamuksellisten tiedostojen turvalliseen poistamiseen, mukaan lukien usein siteerattu DoD 5220.22-M-ylikirjoitus (useita kierroksia). Historiallisesti merkittävä – mutta: nykyaikaisille tallennusvälineille (erityisesti SSD-levyille) keskeinen viite on nykyään NIST SP 800–88 Rev.1. Siinä erotellaan Clear, Purge (esim. Cryptographic Erase, ATA Secure Erase) ja Destroy sekä käsittelee laitekohtaisia menetelmiä. NIST SP 800‑88 Rev.1

Käytännössä tämä tarkoittaa: HDD-levyt voidaan monissa tilanteissa puhdistaa turvallisesti dokumentoidulla ylikirjoittamisella (Clear/Purge); SSD-levyillä ovat Sanitize/Secure Erase tai Cryptographic Erase ensisijaiset menetelmät. NIST luettelee nämä vaihtoehdot nimenomaisesti (mukaan lukien TCG-/ATA‑komennot). Lisätietoja standardissa NIST SP 800‑88 Rev.1

Selkokielellä

DoD 5220.22‑M on pikemminkin historiallinen viite; Yhdysvaltain sääntelyssä NISPOM-direktiivi (DoD 5220.22‑M) on sittemmin korvattu säädöksellä 32 CFR Part 117 (NISPOM Rule). Tietojen poistokäytäntöjen mittapuuna toimii nykyään NIST 800‑88. DCSA:n tietoa NISPOM Rule -säännöstä, NIST SP 800‑88 Rev.1

Turvallinen tallennus ja tiedonhallinta Password Depotin avulla

Password Depot tarjoaa organisaatioille maksimaalista joustavuutta: Password Depot Client ja Password Depot Enterprise Server määritätte tallennuspaikan itse – esimerkiksi täysin On‑Premises (ei tiedonsiirtoa EU:n ulkopuolisiin maihin) tai valitsemaanne EU‑hosting-ympäristöön.

Oikeudellinen konteksti (EU↔US-tietovirrat): EU-tuomioistuin kumosi vuonna 2020 Privacy Shield (Schrems II), minkä jälkeen lisätoimenpiteet kolmansiin maihin suuntautuvia tiedonsiirtoja varten ovat olleet tarpeen. Vuonna 2023 EU-komissio antoi uuden EU‑US Data Privacy Framework (DPF), jonka EU:n tuomioistuin vahvisti vuonna 2025 – oikeusvarmuutta on jonkin verran, mutta oikeudelliset keskustelut jatkuvat edelleen. Tallennuspaikat suvereenisti valitsevat organisaatiot (esim. On‑Prem tai EU‑hosting) minimoivat riippuvuuksia. EuGH C–311/18, EU:n täytäntöönpanopäätös 2023/1795, Vahvistus 2025

Lopuksi

Tietoturva ei ole kertaluonteinen projekti, vaan prosessi. Password Depot auttaa teitä luomaan tunnistetiedot vahvoiksi, säilyttämään ne turvallisesti, käyttämään niitä hallitusti ja – tarvittaessa – lopullisesti poistamaan pysyvästi. Yhdessä selkeiden käytäntöjen kanssa (MFA, tunnuslauseet, vaarantuneiden salasanojen säännöllinen tarkistaminen, NIST-yhteensopivat poistoprosessit) saavutat vahvan ja käytännönläheisen suojaustason.

Heti toteutettavissa

• Valitse Master-Passphrase riittävän pitkäksi (esim. ≥ 15 merkkiä tai kolme–neljä satunnaista sanaa).
• Käytä salasanageneraattoria; älä käytä salasanoja uudelleen; ota MFA käyttöön.
• Salli ”Paste” kirjautumiskentissä ja hyödynnä password managerin automaattista täyttöä (käytännön mukautus).
• Käytä poistamiseen NIST 800-88 -yhteensopivia menetelmiä kunkin tallennusmedian (HDD/SSD) mukaan ja dokumentoi ne.
• Määritä tallennuspaikka strategisesti (On-Prem/EU-hosting) – minimoi tietovirrat.