Kyllästyttääkö ohjeistaa organisaatiota salasanoista yhä uudelleen?

Kyllä, varmasti kyllästyttää, mutta silti vahvat salasanat ovat silti tietoturvan ja -suojan kulmakiviä. Vaikka IT-vastaavalle on itsestään selvää salasanojen merkitys, on harhaa kuvitella, että käyttäjät toimisivat ohjeiden mukaisesti. Tuskin kukaan on voinut välttyä lukemasta, kuinka esimerkiksi password, salasana, 12345 tai qwerty ovat käytetyimpien salasanojen joukossa. Tästä huolimatta moni meistä hyödyntää helposti muistettavia tai samoja salasanoja useissa käyttämissään palveluissa. Toisin sanoen salasanoja, jotka on helppo murtaa.

Hyökkääjä hakee helpoimman reitin

Harvalla on kahta puhelinta käytössään. Tämä tarkoittaa sitä, että puhelimen työ- ja yksityisympäristö on yhteinen ympäristö, mikäli puhelimen työympäristöä ei ole eriytetty keskitetysti hallituksi. Viime mainittua on tehty vain harvoissa organisaatioissa toistaiseksi. Käyttäjä voi kuitenkin ajatella, että yksityiskäytössä olevat sovellukset ovat ikään kuin oma ympäristönsä ja niihin voi hyvin käyttää samaa yksinkertaista salasanaa. Näin hän avaa reitin hyökkääjälle paitsi omiin henkilökohtaisiin tietoihinsa, myös mahdollisesti työympäristöön.

Samoin työkäytössä olevilla tietokoneilla käytetään usein erilaisia sovelluksia yksityiseen tarpeeseen. Käyttäjä tilaa verkkokaupasta itselleen jotakin työn lomassa ja käyttää kirjautumiseen samaa salasanaa kuin jossakin työsovelluksessa. Ehkä hän kokee, että kyseinen työsovellus on vähäpätöinen tai että tuskin kukaan hyökkääjä on kiinnostunut hänen laitteestaan tai työpaikastaan. Tai hän ajattelee kiireessä, että joku salasana on keksittävä ja kaipa sitä tuttua salasanaa tämän yhden kerran voi käyttää.

Kuka jaksaa muistaa monimutkaisia salasanoja?

Onneksi tähänkin on olemassa hyvin yksinkertaisia ja helppokäyttöisiä järjestelmiä. Riittää, että muistaa yhden vahvan salasanan ja salasanajärjestelmä luo ja muistaa käyttäjän puolesta vahvat salasanat kaikkiin sovelluksiin. Jos ei halua muistaa yhtäkään salasanaa, voi käyttää kirjautuessa esimerkiksi Windows Hellon sormenjälki- tai kasvotunnistautumista.

Minimoi ja automatisoi oikeuskäytännöt

Yllättävän monessa yrityksessä käyttäjille annetaan myös laajoja ja pysyviä admin-oikeuksia, jotta he voivat ladata itselleen tarvitsemiaan sovelluksia. Siinäpä vasta herkullinen kohde hyökkääjälle, sillä admin-oikeuksilla pääsee pitkälle. Admin-oikeuksissa kannattaa kuitenkin kitsastella aivan erityisesti, vaikka se kitinää aiheuttaisi organisaatiossa. Tärkeää on myös pitää yllä tietoja kaikista oikeuksista ja siitä, että oikeuksien antamiseen, muuttamiseen ja poistamiseen liittyvät prosessit ovat aukottomia. Tätä varten voidaan rakentaa vaikka automatisoituja työnkulkuja Power Platformin työkaluilla.

Monivaiheinen tunnistautuminen vahvistaa turvaa

Valitettavasti vahvakin salasana saattaa olla murrettavissa ja aina tulee olemaan käyttäjiä, jotka eivät noudata salasanoja koskevia ohjeita. Tämän takia käytetään yhä useammin ns. monivaiheista tunnistautumista (MFA eli Multi Factor Authentication). Kirjautuessa koneelle tunnistaudutaan erikseen esimerkiksi mobiililaitteeseen tulevalla vaihtuvalla koodilla. Kun asetukset (ns. Conditional Access) on tehty oikein, ei monivaiheista tunnistautumista tarvita joka kerta. Asetuksilla voidaan määritellä esimerkiksi tietty sijainti (kuten yrityksen sisäverkko) tai laite turvalliseksi. Jos MFA:n käyttöönottoa ei tehdä oikein, kokevat käyttäjät helposti sen hankalaksi ja hyvästä tietoturvasta joudutaan pahimmassa tapauksessa luopumaan käyttäjäpalautteen takia.

Jutellaanko lisää tietoturvan koventamisesta yksinkertaisin keinoin? Ota yhteyttä sales@prog-it.net tai puhelimitse 010 8327202.