Organisaatiollanne ei ole enää varaa jättää salasanaturvallisuutta yksittäisten tiimin jäsenten varaan. Parhaista aikeista huolimatta ihmiset sortuvat oletusarvoisesti käteviin mutta riskialttiisiin tapoihin, kuten kirjautumistietojen tallentamiseen selaimiin, laskentataulukoihin tai muistilapuille.
Vahva salasanakäytäntö asettaa selkeän ja valvottavissa olevan standardin sille, miten salasanoja luodaan, tallennetaan, jaetaan, tarkastetaan ja suojataan koko organisaatiossa. Nykyaikainen käytäntö vähentää kirjautumistietoihin liittyviä riskejä, tukee vaatimustenmukaisuutta ja tuo johdonmukaisuutta käyttöoikeuksien hallintaan järjestelmien, tiimien ja työnkulkujen välillä.
Tämä ei ole asia, joka yrityksillä on varaa sivuuttaa. Verizonin vuoden 2025 tietomurtotutkimusraportti (Data Breach Investigations Report) osoitti, että kirjautumistietojen väärinkäyttö vastasi 22 %:sta vahvistettujen tietomurtojen yleisimmistä alkuhyökkäysvektoreista. Heikon kirjautumistietojen turvallisuuden kustannukset näkyvät myös toiminnan häiriöinä, sääntelyaltistuksina, mainehaittoina ja pitkittyneinä seisokkeina, kun tiimit yrittävät palauttaa menetettyjä tai vaarantuneita käyttöoikeuksia.
Salasanakäytännön luomisen lisäksi organisaationne tarvitsee järjestelmiä ja työkaluja, jotka tekevät turvallisten tapojen omaksumisesta helppoa. Säännöt eivät yksin riitä takaamaan toiminnallista turvallisuutta, sillä kitkan esiintyessä jopa hyvätahtoiset ammattilaiset käyttävät pikanäppäimiä ja oikoreittejä. Tavoitteena on tehdä hyvästä salasana-hygieniasta helpoimman vastuksen sijainti.
Alla oleva salasanakäytännön malli voi auttaa yritystänne pysymään nykyisissä parhaissa käytännöissä ja NIST-yhteensopivissa ohjeistuksissa. Voitte mukauttaa sen sisäiseksi käytännöksi, turvallisuuskäsikirjaksi tai hallinnolliseksi kontrolliksi organisaatioille, jotka tarvitsevat yleisiä neuvoja käytännöllisempää lähestymistapaa.
Salasanakäytännön malli (esimerkki)
| Osio | Käytäntövaatimus (esimerkkikieli) | Toteutusta koskevat huomautukset |
| Laajuus | Tätä käytäntöä sovelletaan kaikkiin työntekijöihin, alihankkijoihin, toimittajiin ja kolmansiin osapuoliin, jotka käyttävät yrityksen järjestelmiä tai tietoja salasanapohjaisella tunnistautumisella. Se kattaa kaikki järjestelmät, mukaan lukien SaaS-alustat, pilvipalvelut, sisäiset työkalut, päätepisteet ja hallintaympäristöt. | Varmistakaa, etteivät mitkään järjestelmät tai käyttäjäryhmät jää laajuuden ulkopuolelle. Sisällyttäkää toimittajat ja jaetut ympäristöt. |
| Käyttäjän vastuut | Kaikkien käyttäjien on luotava, tallennettava ja hallittava salasanoja tämän käytännön mukaisesti. Käyttäjät eivät saa jakaa kirjautumistietoja, käyttää salasanoja uudelleen tai tallentaa niitä hyväksymättömiin sijainteihin. Epäillystä kirjautumistietojen vaarantumisesta on ilmoitettava välittömästi. | Sisällyttäkää perehdytykseen ja turvallisuuskoulutukseen. |
| Johdon vastuut | Esimiesten on varmistettava oikea-aikainen viestintä perehdytyksestä, tehtävien muutoksista ja poistumisprosesseista, jotta asianmukainen pääsynhallinta ja kirjautumistietojen päivitykset voidaan toteuttaa. | Yhdistäkää HR-työnkulkuihin. |
| IT- ja tietoturvavastuut | IT- ja tietoturvatiimit vastaavat tämän käytännön toimeenpanosta, salasananhallintatyökalujen hyväksymisestä, vaatimustenmukaisuuden valvonnasta ja kirjautumistietoihin liittyviin poikkeamiin reagoimisesta. | Määrittäkää selkeä sisäinen omistajuus. |
| Salasanan pituus | Salasanojen on täytettävä seuraavat vähimmäispituudet: 15 merkkiä (perustilit), 16 merkkiä (etuoikeutetut tilit) ja 20 merkkiä (jaetut tai palvelutilit, mikäli mahdollista). | Järjestelmien tulisi tukea pitkiä salasanoja (ihanteellisesti jopa 64 merkkiä). |
| Salasanan luominen | Salasanojen on oltava satunnaisesti luotuja käyttäen organisaation hyväksymää yritysten salasananhallintaa. Käyttäjän luomia salasanoja, jotka perustuvat kaavoihin, henkilötietoihin tai ennakoitaviin rakenteisiin, ei sallita. | Proton Pass for Business voi automatisoida vahvojen ja satunnaisten salasanojen luomisen. |
| Salasanan ainutlaatuisuus | Salasanojen on oltava ainutlaatuisia jokaiselle tilille, järjestelmälle ja palvelulle. Salasanojen uudelleenkäyttö työjärjestelmien, henkilökohtaisten tilien tai asiakasympäristöjen välillä on ankarasti kielletty. | Valvokaa tätä työkalujen ja koulutuksen avulla, älkääkä luottako pelkkään muistiin. |
| Salasanan vahvuuden testaus | Salasanat eivät saa olla heikkoja, uudelleenkäytettyjä tai aiemmin paljastuneita tunnetuissa tietomurroissa. | Käyttäkää mahdollisuuksien mukaan järjestelmiä, jotka tukevat vuotaneiden salasanojen tunnistusta. |
| Kielletyt käytännöt | Seuraavat asiat on kielletty: salasanan uudelleenkäyttö; henkilökohtaisten tai yritykseen liittyvien termien käyttö; ennakoitavat kaavat; salasanojen tallentaminen pelkkänä tekstinä; kirjautumistietojen jakaminen sähköpostitse, chatin välityksellä tai muistiinpanoissa. | Pitäkää tämä osio täsmällisenä välttääksenne tulkinnanvaraisuutta. |
| Monivaiheinen tunnistautuminen (MFA) | MFA on otettava käyttöön kaikissa järjestelmissä, jotka tukevat sitä, erityisesti sähköpostissa, henkilöllisyyden tarjoajissa, etäkäytössä, talousjärjestelmissä, HR-alustoilla ja hallintatileillä. | Priorisoikaa korkean riskin järjestelmät ensin. |
| Salasanojen tallennus | Kaikki kirjautumistiedot on tallennettava vain organisaation hyväksymään salasananhallintaan. Tallennus selaimiin tai paikallisiin työkaluihin ei ole sallittua, ellei se ole keskitetysti hallittua ja hyväksyttyä. | Proton Pass for Business tarjoaa salattuja holveja hallituilla käyttöoikeuksilla. |
| Kielletyt tallennustavat | Salasanoja ei saa tallentaa laskentataulukoihin, asiakirjoihin, sähköpostiluonnoksiin, tukipyyntöjärjestelmiin, jaettuihin asemiin tai henkilökohtaisiin muistiinpanoihin. | Auditoikaa nämä säännöllisesti, sillä ne ovat erittäin yleisiä. |
| Salasanojen jakaminen | Salasanoja ei saa jakaa epävirallisten kanavien kautta. Jos jakaminen on välttämätöntä, sen on tapahduttava hyväksyttyjen suojattujen järjestelmien kautta, jotka tukevat pääsynhallintaa, auditointia ja käyttöoikeuksien peruuttamista. | Proton Pass for Business mahdollistaa kirjautumistietojen turvallisen jakamisen paljastamatta itse salasanaa. |
| Jaetut tilit | Jaetuilla tileillä tai palvelutileillä on oltava nimetty omistaja, rajoitettu käyttöoikeus, suojattu tallennus ja säännöllinen tarkistus. Kirjautumistiedot on vaihdettava henkilöstömuutosten yhteydessä tai jos epäillään niiden altistumista. | Suosi henkilökohtaisia tilejä mahdollisuuksien mukaan. |
| Koulutus ja tietoisuus | Kaikkien käyttäjien on suoritettava salasanojen ja kirjautumistietojen tietoturvakoulutus perehdytyksen yhteydessä ja säännöllisesti sen jälkeen. Koulutuksen on sisällettävä salasanojen hallinta, MFA-käyttö, tietojenkalastelutietoisuus ja poikkeamista ilmoittaminen. | Pidä koulutus käytännönläheisenä ja ajan tasalla. |
| Poikkeamiin reagoiminen | Kaikista epäillyistä tai vahvistetuista kirjautumistietojen altistumisista on ilmoitettava välittömästi. Altistuneet kirjautumistiedot on palautettava, istunnot mitätöitävä ja käyttöoikeudet tarkistettava. Poikkeamat on dokumentoitava. | Reagointinopeus on tärkeämpää kuin täydellisyys. |
| Raportointivaatimukset | Käyttäjien on ilmoitettava epäillystä kirjautumistietojen paljastumisesta nimetyn raportointikanavan kautta. Hyvässä uskossa tehdystä ilmoituksesta ei seuraa kurinpitotoimia. | Kannustaa varhaiseen ilmoittamiseen. |
| Valvonta ja lokitiedot | Tunnistautumistoiminnasta on kerättävä lokia mahdollisuuksien mukaan, mukaan lukien kirjautumisyritykset, kirjautumistietojen muutokset ja etuoikeutetut käyttöoikeudet. Lokit on tarkistettava säännöllisesti poikkeamien varalta. | Keskity ensin korkean riskin järjestelmiin. |
| Käytöstä poistaminen ja käyttöoikeuksien mitätöinti | Tehtävän vaihtuessa tai työsuhteen päättyessä käyttöoikeudet on poistettava välittömästi. Jaetut kirjautumistiedot on tarkistettava ja vaihdettava tarvittaessa. | Välttämätöntä, sillä tämä on yksi yleisimmistä organisaatioiden epäonnistumiskohdista. |
| Yhteensopivuus ja vaatimustenmukaisuus | Tämä käytäntö tukee organisaation vaatimustenmukaisuutta tunnettujen viitekehysten, kuten NIST- ja ISO 27001 -käyttöoikeuksien hallintavaatimusten, kanssa. | Hyödyllinen auditoinneissa ja hallinnoinnissa. |
| Täytäntöönpano | Tämän käytännön noudattamatta jättäminen voi johtaa uudelleenkoulutukseen, käyttöoikeusrajoituksiin tai kurinpitotoimiin vakavuudesta riippuen. | Käytä johdonmukaisesti. |
| Tarkistussykli | Tämä käytäntö on tarkistettava vähintään vuosittain tai jos järjestelmissä, riskeissä tai sääntelyvaatimuksissa tapahtuu merkittäviä muutoksia. | Nimeä omistaja päivityksiä varten. |
Mikä on salasanakäytäntö? Määritelmä, tarkoitus ja tavoitteet
Salasanakäytäntö on virallinen sääntökokoelma, joka määrittelee, miten kirjautumistiedot luodaan, miten niitä hallitaan, miten ne tallennetaan ja miten ne suojataan organisaation järjestelmissä.
Salasanakäytännön käsite kuulostaa yksinkertaiselta, mutta sen vaikutus on laaja. Se on paljon muutakin kuin vain yrityksen salasananhallinnan käytön vaatimista yrityksen kirjautumistietoja varten. Nykyaikaisissa organisaatioissa salasanakäytännöt toimivat identiteetin suojauksen perustana.
Ilman johdonmukaista käytäntöä siitä, miten kirjautumistietoja käsitellään eri järjestelmissä, salasanakäytännöt pirstoutuvat ja organisaatiot menettävät vähitellen näkyvyyden siihen, miten käyttöoikeuksia todellisuudessa hallitaan.
Vahvan salasanakäytännön tarkoitus
Hyvin määritelty salasanakäytäntö paikkaa tietoturva-aukkoja asettamalla selkeät odotukset sille, miten kirjautumistietoja tulee käsitellä organisaatiossanne. Se luo johdonmukaiset standardit salasanojen luomiselle, tallennukselle, jakamiselle ja elinkaaren hallinnalle.
Salasanakäytännöillä on myös tärkeä rooli hallinnossa ja vaatimustenmukaisuudessa. Tietoturvaviitekehykset, kuten NIST Digital Identity Guidelines(uusi ikkuna) ja standardit, kuten ISO 27001(uusi ikkuna), korostavat vahvojen tunnistautumiskäytäntöjen merkitystä osana nykyaikaista käyttöoikeuksien hallintaa.
Organisaatioilta, jotka käsittelevät arkaluonteisia tietoja, erityisesti henkilötietoja, taloudellisia tietoja tai yrityssalaisuuksia, odotetaan yhä useammin näyttöä siitä, että näiden järjestelmien käyttöoikeuksia hallitaan dokumentoiduilla tietoturvakontrolleilla.
Salasanakäytännön avulla organisaatiosi määrittelee vähimmäisvaatimukset niiden salasanojen luomiselle, tallentamiselle, jakamiselle ja hallinnoinnille, joita käytetään yrityksen järjestelmiin, palveluihin, laitteisiin, sovelluksiin ja tietoihin pääsemiseksi.
Mitä salasanakäytännön tulisi tehdä?
Salasanakäytäntöasiakirjan tarkoituksena on:
- Vähentää salasanoihin liittyviä tietoturvapoikkeamia
- Estää salasanojen uudelleenkäyttö ja turvattomat tallennustavat
- Vaatia turvallisia salasanojen luonti- ja hallintatapoja
- Tukea turvallista käyttöä työntekijöiden, toimittajien ja järjestelmien välillä
- Vahvistaa auditointivalmiutta ja pääsynhallintaa
- Määritellä toimintatavat altistuneiden kirjautumistietojen varalta
Yhdessä nämä tavoitteet auttavat varmistamaan, että salasanaturvallisuutta pidetään toiminnallisena standardina epävirallisen odotuksen sijaan.
Salasanakäytäntö: laajuus, tehtävät ja vastuut
Vahvan salasanakäytännön tulisi ilmaista kaksi asiaa selkeästi. Ensinnäkin sen on määriteltävä selvästi, ketkä käyttäjät ja mitkä järjestelmät ja tiedot kuuluvat käytännön piiriin.
Toiseksi sen tulisi selventää, kuka vastaa näiden standardien noudattamisesta, toteuttamisesta ja ylläpidosta organisaatiossanne.
Määrittele salasanakäytännön laajuus
Nykyaikaisissa organisaatioissa käyttöoikeudet eivät rajoitu pelkästään sisäisissä verkoissa oleviin kokoaikaisiin työntekijöihin. Alihankkijat, myyjät ja palveluntarjoajat saattavat kaikki tarvita pääsyn yrityksen järjestelmiin, joten käytännön tulisi ulottua kaikkiin, jotka ovat vuorovaikutuksessa yrityksen järjestelmien tai tietojen kanssa salasanapohjaisen tunnistautumisen kautta.
Sen tulisi koskea myös koko teknologiaympäristöä, mukaan lukien:
- Pilvialustat
- SaaS-työkalut
- Sisäiset järjestelmät
- Kehitysympäristöt
- Ylläpitokonsolit
- Jaetut toiminnalliset tilit
Tämä on tärkeää, koska hyökkääjät tekevät harvoin eroa ensisijaisten ja toissijaisten järjestelmien välillä etsiessään sisäänpääsyreittejä.
Määritelkää tehtävät ja vastuut salasanakäytännössänne
Ilman selkeää omistajuutta salasanojen hallinta pirstoutuu. Työntekijät olettavat, että IT-osasto hoitaa tietoturvan automaattisesti, kun taas IT-osasto olettaa käyttäjien noudattavan parhaita käytäntöjä itsenäisesti. Tehokas kirjautumistietojen suojaus vaatii koordinointia koko organisaatiossanne.
Työntekijät ja alihankkijat huolehtivat salasanojen turvallisuudesta päivittäisessä toiminnassaan, mutta esihenkilöt valvovat käyttöoikeuksien hallintaa perehdytyksen, tehtävämuutosten ja lopputilitysten aikana. IT- ja tietoturvatiimit vastaavat teknisten valvontatoimien toteuttamisesta ja vaatimustenmukaisuuden seurannasta. Järjestelmien omistajat varmistavat myös, että standardeja noudatetaan heidän hallitsemissaan sovelluksissa ja ympäristöissä.
Salasanakäytännön ohjeet salasanan vähimmäispituudesta ja entropiavaatimuksista
Salasanan pituus on yksi tärkeimmistä tekijöistä määritettäessä kirjautumistietojen vahvuutta. Pidemmät salasanat kasvattavat huomattavasti mahdollisten yhdistelmien määrää, joita hyökkääjän on testattava murtovaltushyökkäyksen aikana.
Itse asiassa NIST suosittelee(uusi ikkuna) painottamaan salasanan pituutta tiukkojen koostumussääntöjen sijaan. Sen sijaan, että käyttäjiä pakotettaisiin käyttämään tiettyjä symbolien, numeroiden ja suuraakkosten yhdistelmiä, nykyaikaisissa käytännöissä keskitytään varmistamaan, että salasanat ovat riittävän pitkiä ja että ne tarkistetaan tunnettujen paljastuneiden kirjautumistietojen varalta.
Tämän mukaisesti organisaatioiden tulisi myös varmistaa, että niiden järjestelmät tukevat pidempiä ja monimutkaisempia salasanoja aina, kun se on teknisesti mahdollista. Näin toimimalla tietoturvatiimit voivat ottaa käyttöön vahvempia kirjautumistietostandardeja ajan myötä, mikä varmistaa, että organisaationne on valmis vastaamaan tulevaisuuden muuttuviin tietoturvavaatimuksiin.
Vahvan salasanan tulisi täyttää tai ylittää nämä keskeiset vaatimukset:
- Riittävä pituus murtovaltusyritysten ja automaattisten murtamisyritysten vastustamiseksi
- Yksilöllinen jokaiselle tilille tai palvelulle, mikä estää kirjautumistietojen uusiokäytön eri järjestelmissä
- Vaikeasti arvattava; vältä henkilökohtaisia tietoja, yritysviittauksia tai ennakoitavia malleja
- Satunnainen tai erittäin vaikeasti ennakoitava; mieluiten hyväksytyn salasananhallinnan luoma
- Ei ole aiemmin paljastunut tunnetuissa tietomurroissa eikä esiinny yleisissä salasanalistoissa
Huomioikaa, että nimiin, syntymäpäiviin, yritystermeihin tai yksinkertaisiin näppäimistökuvioihin perustuvat salasanat voidaan usein murtaa nopeasti automaattisilla murtotyökaluilla pituudesta riippumatta. Tutustukaa yksityiskohtaiseen oppaaseemme vahvoista salasanavaatimuksista, jotka on suunnattu niin yksityishenkilöille kuin yrityksille.
Salasanan satunnaisuus ja monimutkaisuus
Nykyaikaiset tietoturvaviitekehykset suosittelevat salasanojen luomista satunnaisesti sen sijaan, että käyttäjiä pyydettäisiin keksimään ne itse. Hyväksyttyjen salasananhallintatyökalujen luomat satunnaiset salasanat tarjoavat huomattavasti vahvemman suojan, koska niissä vältetään ennakoitavat mallit ja ne voidaan luoda pituuksilla, joita on mahdoton muistaa.
Voitte käyttää esimerkiksi Proton Pass -sovellukseen sisäänrakennettua suojattua salasanageneraattoria ja suojattuja kirjautumistietojen hallintakäytäntöjä. Yhdessä nämä työkalut auttavat luomaan vahvoja, ennakoimattomia salasanoja samalla kun ne ratkaisevat yleisiä salasanojen tallennukseen, jakamiseen ja elinkaaren hallintaan liittyviä haasteita.
Salasanakäytäntöön voidaan sisällyttää seuraavat vähimmäisvaatimukset heikkojen tai uusiokäytettyjen salasanojen välttämiseksi:
- Tavallisten käyttäjätilien salasanojen on oltava vähintään 15 merkkiä pitkiä.
- Etuoikeutettujen tai ylläpitäjätilien salasanojen on oltava vähintään 16 merkkiä pitkiä.
- Jaettujen tai palvelutilien kirjautumistietojen tulisi olla vähintään 20 merkkiä pitkiä, jos se on teknisesti mahdollista.
- Järjestelmien tulisi tukea vähintään 64 merkin pituisia salasanoja mahdollisuuksien mukaan.
- Pitkiä salalauseita voidaan käyttää silloin, kun se on tuettu ja tarkoituksenmukaista.
- Salasanojen on täytettävä organisaation hyväksymät vahvuus- ja tarkistusvaatimukset ennen käyttöä.
Yksilöllisten salasanojen käyttö järjestelmä- tai palvelukohtaisesti
Salasanojen uusiokäyttö on yksi yleisimmistä kirjautumistietoihin perustuvien tietoturvapoikkeamien syistä. Kun samaa salasanaa käytetään useissa palveluissa, yksittäinen murto voi paljastaa pääsyn useisiin järjestelmiin kerralla.
Hyökkääjät hyödyntävät tätä käyttäytymistä säännöllisesti tekniikalla, jota kutsutaan kirjautumistietojen täyttämiseksi; tällöin yhdestä palvelusta varastettuja käyttäjätunnuksia ja salasanoja testataan automaattisesti muilla alustoilla.
Tästä syystä yksilöllisyys on ehdoton vaatimus. Jokaisella tilillä, palvelulla ja järjestelmällä on oltava oma salasanansa, jota ei koskaan käytetä muualla.
Kymmenien tai satojen yksilöllisten salasanojen hallinta olisi epärealistista ilman suojattujen salasananhallintatyökalujen tukea. Yritysten salasananhallintatyökalut tekevät tästä vaatimuksesta käytännöllisen luomalla vahvoja salasanoja automaattisesti ja tallentamalla ne turvallisesti, jolloin työntekijät voivat ylläpitää yksilöllisiä kirjautumistietoja tukeutumatta muistiinsa.
Monivaiheisen tunnistautumisen (MFA) vaatimukset
Monivaiheinen tunnistautuminen (MFA) on yksi tehokkaimmista tavoista vähentää luvattoman käytön riskiä erityisesti ympäristöissä, joissa kirjautumistiedot voivat paljastua tietojenkalastelun, haittaohjelmien(uusi ikkuna) tai ulkoisten tietomurtojen kautta.
MFA toimii vaatimalla käyttäjiä vahvistamaan henkilöllisyytensä vähintään kahdella toisistaan riippumattomalla tekijällä ennen tilille pääsyä. Näitä ovat:
- Jotain, minkä käyttäjä tietää (salasana)
- Jotain, mitä hänellä on (kuten suoja-avain, tunnistautumissovellus tai mobiililaite)
- Jotain, mitä hän on (biometrinen tunnistautuminen, kuten sormenjälki tai kasvojentunnistus).
Koska hyökkääjillä on harvoin pääsy kaikkiin näihin tekijöihin samanaikaisesti, MFA vähentää merkittävästi todennäköisyyttä sille, että pelkkiä varastettuja kirjautumistietoja voitaisiin käyttää tilin vaarantamiseen.
NIST:n ja CISA:n kaltaisten organisaatioiden ohjeet kannustavat voimakkaasti(uusi ikkuna) monivaiheisen tunnistautumisen käyttöön aina, kun käytetään salasanaperusteista pääsyä, erityisesti järjestelmissä, jotka sisältävät arkaluonteista tietoa tai tarjoavat ylläpito-oikeuksia.
MFA:n sisällyttäminen salasanakäytäntöön
Organisaationne voi edelleen vahvistaa MFA:n käyttöönottoa käyttämällä työkaluja, jotka tekevät kaksivaiheisesta tunnistautumisesta helpompaa julkaista ja hallita eri tileillä. Esimerkiksi Proton Pass voi tallentaa ja täyttää automaattisesti aikaperusteisia kertakäyttöisiä salasanoja (TOTP) tallennettujen kirjautumistietojen ohella, mikä yksinkertaistaa kirjautumisprosesseja ja pitää tunnistautumistiedot salattuina.
Organisaatioille, jotka haluavat erottaa tunnistautumistekijät toisistaan, Proton tarjoaa myös erillisen Proton Authenticator -sovelluksen, joka luo turvallisia kuusinumeroisia vahvistuskoodeja ja voi synkronoida ne laitteiden välillä päästä päähän -salausta käyttäen. Tunnistautumissovellus toimii ilman verkkoyhteyttä ja on avointa lähdekoodia, mikä antaa organisaatioille mahdollisuuden toteuttaa MFA:n yritystileillä säilyttäen samalla läpinäkyvyyden ja vahvan yksityisyyden suojan.
Turvalliset salasanojen jakamiskäytännöt
Vaikka monet tietoturvaohjeet neuvovat välttämään salasanojen jakamista kokonaan, todellisessa yritysympäristössä se on silti tarpeen. Palvelutilit, toimittajien pääsy ja hätätilanteet saattavat ajoittain edellyttää, että useilla valtuutetuilla käyttäjillä on pääsy samoihin kirjautumistietoihin.
Kun jakaminen tapahtuu epävirallisesti, kuten sähköpostin, chatin tai suullisen viestinnän välityksellä, kirjautumistiedot altistuvat ja niiden hallinta vaikeutuu. Kun tiedot on jaettu tällaisten kanavien kautta, ei tyypillisesti ole luotettavaa tapaa seurata, kenellä on pääsy niihin, tai mitätöidä oikeuksia myöhemmin.
Salasanakäytäntöjen tulisi sen vuoksi määrittää, miten ja milloin jakaminen on sallittua. Useimmissa organisaatioissa sen tulisi tapahtua vain hyväksyttyjen kirjautumistietojen hallintatyökalujen kautta, jotka tarjoavat kulunvalvonnan, auditoinnin ja mahdollisuuden mitätöidä pääsyn tarvittaessa.
Poistumis- ja pääsyn mitätöintimenettelyt
Kun työntekijät vaihtavat tehtäviä, lähtevät organisaatiosta tai toimittajasuhteet päättyvät, pääsy on tarkistettava ja sitä on mukautettava viipymättä. Kirjautumistietojen mitätöimättä jättäminen ajoissa on yksi yleisimmistä luvattoman pääsyn lähteistä.
Vahvan salasanakäytännön tulisi integroitua perehdytys- ja poistumisprosesseihin, jolloin varmistetaan, että käyttöoikeudet päivitetään välittömästi vastaamaan tehtävänmuutoksia tai lähtöjä, mukaan lukien tilien poistaminen käytöstä, jaettujen kirjautumistietojen kierrättäminen ja tarpeettoman järjestelmäpääsyn mitätöiminen.
Jos useilla henkilöillä on ollut pääsy jaettuun palvelutiliin, salasana tulisi vaihtaa heti henkilöstömuutosten tapahtuessa, jotta entiset työntekijät tai alihankkijat eivät säilyttäisi pääsyä sen jälkeen, kun heidän tilinsä on poistettu käytöstä.
Kurokaa umpeen salasanakäytännön ja inhimillisten tapojen välinen kuilu Bridgen avulla
Salasanakäytännöt ovat tehokkaita vain, jos ihmiset noudattavat niitä.
Useimmissa organisaatioissa epäonnistumiset eivät johdu käytäntöjen puuttumisesta, vaan siitä, ettei käytäntöjä ole upotettu jokapäiväisiin työnkulkuihin. Työntekijät käyttävät oikopolkuja, kun prosessit ovat epäselviä, työkalut ovat riittämättömiä tai odotuksia ei vahvisteta. Kun vahva salasanakäytäntö toteutetaan asianmukaisesti (ja yhdessä yrityksille suunnatun salasananhallinnan kanssa), se korvaa epäviralliset tavat johdonmukaisella valvonnalla, vähentää kirjautumistietoihin liittyviä riskejä ja tekee turvallisesta pääsynhallinnasta osan päivittäistä toimintaa pelkän jälkiviisauden sijaan.
