Maailmanlaajuinen salasanan vaihtopäivä: Kehotus toimintaan

Maailmanlaajuinen salasanasi vaihtamispäivä: kehotus toimintaan

Christie Raen kirjoittama • 30 tammikuu 2026

Helmikuun 1. päivä on maailmanlaajuinen salasanan vaihtopäivä. Vuonna 2012 perustettu päivä lisää tietoisuutta hyvistä salasanojen hallintakäytännöistä toimii vuosittainen muistutus verkkoturvallisuuden parantamisesta ja kyberuhilta suojautumisesta. Yrityksille vahvan salasanahygienian varmistaminen työntekijöiden keskuudessa on paras käytäntö – ja elintärkeä.

Kyberuhkat kehittyvät, ja tekoälyyn perustuvat hienostuneet uhat, kuten syväväärennökset ja tekoälyn avulla tehdyt tietojenkalasteluhyökkäykset, ovat lisääntymässä. Toimitusketjuhyökkäykset laukaisevat edelleen korkean profiilin tapauksia. Työntekijöiden virheet ovat kuitenkin edelleen tietomurtojen johtava syy: vuonna 2025 tehty tutkimus Mimecast havaitsi, että 95 % tietomurroista johtuu inhimillisestä virheestä.

Tässä kireässä kyberympäristössä kyberturvallisuuden perusvaatimusten, kuten hyvän salasanahygienian, huomioiminen voi lieventää riskitasoa. Se voi myös toimia vahvana perustana tietoturvatietoisuuden kulttuurin rakentamiselle.

Hyvän salasananhallinnan merkitys

Salasanat ovat avaimet digitaaliseen etuovellemme. Hyvän salasanojen hallinnan valvonta on olennainen osa mitä tahansa liiketoiminnan riskienhallintastrategiaa. Heikot ja helposti arvattavat salasanat lisäävät onnistuneiden tietomurtojen riskiä, jolloin hakkerit pääsevät käsiksi yksityisiin sähköposteihin, verkkoihin ja arkaluonteisiin yritys- ja asiakastietoihin.

Tietomurrot ovat yleisin kyberturvallisuuspoikkeamien tyyppi. Meidän Tietoturvan tilaraportti 2025 havaitsi, että lähes joka kolmas (31 %) organisaatiosta koki tietomurron viimeisten 12 kuukauden aikana, jota seurasivat tietojenkalastelu ja vising (30 %) sekä haittaohjelmatartunnat (29 %). Nämä murrot aiheuttavat myös maine- ja taloudellisia riskejä. IBM Tietomurron kustannukset 2025 Raportin mukaan tietomurron keskimääräinen maailmanlaajuinen kustannus yritykselle oli 4.4 miljoonaa dollaria, mikä on 9 prosentin lasku vuodesta 2024.

Myös mainehaitta voi vaikuttaa merkittävästi. Vercara-tutkimus havaitsi, että enemmistö (66 %) yhdysvaltalaisista asiakkaista ei luottaisi tietomurron uhriksi joutuneeseen yritykseen tietojensa kanssa, ja 44 % pitäisi kyberongelmia yrityksen turvatoimien puutteena.

Lisäksi hyvä salasanaturvallisuus voi auttaa parantamaan tietosuojasäännösten, kuten EU:n yleisen tietosuoja-asetuksen, noudattamista. (GDPR), tietosuojastandardit, kuten ISO 27701 ja tietoturvastandardit, kuten ISO 27001.

Salasanan hallinnan haasteet

Ideaalimaailmassa jokainen työntekijä käyttäisi yksilöllistä salasanaa jokaisella kirjautumisella. Käytännössä useiden eri salasanojen muistaminen ei ole käytännöllistä ja voi johtaa salasanaväsymyksiin. Salasanakäytännön noudattamisen valvonta voi myös olla hankalaa. Hyvä lähtökohta on asettaa järjestelmäsäännöt salasanan pituudelle ja vaatia salasanojen päivittämistä tietyn ajan kuluttua.

Parhaat käytännöt yritysten salasanojen hallintaan

Organisaatiot voivat varmistaa, että työntekijät noudattavat salasanasuojauksen parhaita käytäntöjä useilla parhailla käytännöillä:

Salasanan pituus ja monimutkaisuus

Harkitse vaatimusten asettamista, että salasanat ovat 12–20 merkin pituisia, ja niissä on useita pieniä ja isoja kirjaimia, erikoismerkkejä ja numeroita vahvuuden lisäämiseksi. Tutkimus tekijältä Carnegie Mellon Universityn CyLab Security and Privacy Institute havaitsi, että vähimmäisvahvuuden ja 12 merkin vähimmäispituuden vaatiminen loi hyvän tasapainon turvallisuuden ja käytettävyyden välillä.

Päivitä käytännöt

Vaikka Global Change Your Password Day on oikea-aikainen muistutus salasanojen päivittämisestä, sen ei pitäisi olla ainoa kerta, kun salasanoja vaihdetaan. Tietoturvaohjelmistoyritys McAfee suosittelee, että salasanat vaihdetaan kolmen kuukauden välein.

Salasanan uudelleenkäyttö

Työntekijöille voi olla houkuttelevaa käyttää samaa salasanaa useille tileille työympäristössään. Tämä kuitenkin lisää tilin haltuunoton riskiä. Jos uhkatekijällä on pääsy yhdelle tilille tällä salasanalla, heillä on käytännössä pääsy niihin kaikkiin. Työntekijöiden koulutus ja koulutus voivat auttaa vähentämään tätä riskiä estämällä salasanan uudelleenkäytöstä.

Salasanan hallintatyökalut

Olivatpa nämä työkalut itsenäisiä tai selaimiin sisältyviä, ne on suunniteltu kuromaan umpeen kuilua turvallisuuden ja käytettävyyden välillä tallentamalla ja muistamalla turvallisesti vahvoja, yksilöllisiä salasanoja jokaiselle sivustolle ja sovellukselle. On kuitenkin tärkeää huomata, että jos hakkeri saa pääsyn salasananhallintatyökaluun, hän voi vaarantaa kaikki siihen tallennetut salasanat.

Monivaiheisen todennuksen käyttöönotto

Monitekstinen todentaminen (MFA) edellyttää, että käyttäjä toimittaa kaksi (tai useampaa) vahvistustapaa päästäkseen tilille. MFA voi esimerkiksi vaatia käyttäjää kirjautumaan sisään käyttäjätunnuksellaan ja salasanallaan ja antamaan sitten kertaluonteisen salasanan (OTP), joka lähetetään puhelimeen tekstiviestinä. Käyttäjän on annettava sekä salasanansa että kertakäyttöinen salasanansa päästäkseen tilille, mikä lisää ylimääräistä suojaustasoa.

MFA-tyyppejä on useita:

OTP:t ja aikaperusteiset OTP:t

OTP:t ovat vahva MFA-muoto, ja ne voidaan lähettää todennussovellusten, salasananhallintaohjelmien tai tekstiviestien (SMS) kautta. Kun salasana on käytetty, se ei ole enää voimassa uudelleen. Aikaperusteiset kertakäyttöiset salasanat (TOTP) lisäävät ylimääräistä suojaustasoa, koska ne ovat voimassa vain rajoitetun ajan.

OTP:iden ja TOTP:iden käyttäminen todennussovelluksen tai salasananhallinnan kanssa on turvallisempaa kuin niiden vastaanottaminen tekstiviestillä. Tekstiviestit ovat herkkiä SIM-hakkerointiin, sieppaushyökkäyksiin ja sosiaaliseen manipulointiin.

Sähköposti MFA

Sähköposti MFA tarkoittaa, että käyttäjän toinen todennustapa toimitetaan hänen sähköpostiosoitteeseensa. Vaikka tämä MFA-muoto on helppo ja helppokäyttöinen käyttäjille, se aiheuttaa samanlaisia riskejä SMS OTP:ille, jos hakkeri pääsee käyttämään sähköpostitiliä, johon koodi toimitetaan.

Biometrinen MFA

Biometrinen moniperusteinen autentikointi käyttää kasvojentunnistusta, sormenjälkitarkistusta tai iiriksen tarkistusta käyttäjän henkilöllisyyden vahvistamiseen ja voi olla vahva todennusmuoto. Sitä käytetään yleisesti matkapuhelimissa, koska käyttäjä voi määrittää biometriset tiedot henkilökohtaisen tunnusnumeron (PIN) sijaan puhelimen lukituksen avaamiseen ja jopa käyttää niitä turvallisten sovellusten, kuten todentajan ja henkilökohtaisten pankkisovellusten, käyttämiseen.

Vaikka biometrinen MFA on yksi vankimmista todennusmuodoista, käyttäjät voivat silti olla alttiita, jos heidän biometriset tietonsa varastetaan. Toisin kuin salasanoja, näitä tietoja ei voi nollata tai muuttaa.

Työntekijöiden koulutus ja käytäntöjen täytäntöönpano

Yksi parannetun salasanasuojauksen suurimmista esteistä on inhimillisen virheen riski. Työntekijöiden koulutus on ratkaisevan tärkeää sen varmistamiseksi, että kaikki organisaation jäsenet tietävät huonoon salasananhallintaan liittyvät riskit ja heidän kyberturvallisuusvastuunsa. Olennaista on kuitenkin tarjota myös ratkaisuja, joiden avulla henkilökunta voi keskittyä työhönsä ja välttää salasanan väsymistä.

Kyberturvallisuuskoulutus

Investointi työntekijöiden kybertietoisuuskoulutukseen voi auttaa pitämään yrityksen turvassa ja varmistamaan, että henkilökunta pystyy havaitsemaan ja raportoimaan muut riskit, kuten tietojenkalasteluyritykset. Monien omistettujen koulutusalustojen avulla organisaatiot voivat järjestää kursseja koko liiketoiminnassa, seurata vaaditun koulutuksen suorittaneita ja lähettää automaattisesti sähköpostimuistutuksia jälkeenjääneille.

Salasanapolitiikka

Kehitä parhaiden käytäntöjen mukainen salasanakäytäntö ja kerro siitä koko yritykselle. Tämä voidaan tehdä kyberturvallisuuskoulutuksen ohella, jotta kaikki yrityksen työntekijät ymmärtävät politiikan taustalla olevaa päätöksentekoa ja parantavat työntekijöiden noudattamista.

Käytännöt voivat määrittää salasanan vähimmäispituuden, monimutkaisuuden, sallitut merkkityypit ja muut elementit. Kuten mainittiin, IT-tiimi voi myös määrittää työntekijöiden laitteet vaatimaan päivityksiä tietyn ajan, kuten 90 päivän, jälkeen.

Miten ISO 27001 ja muut viitekehykset voivat auttaa

Tietoturvakehykset, kuten ISO 27001, ja määräykset, kuten GDPR, edellyttävät yrityksiä ryhtymään toimiin salasanasuojauksen suhteen.

Esimerkiksi GDPR edellyttää yrityksiä käsittelemään henkilötietoja turvallisesti "asianmukaisin teknisin ja organisatorisin keinoin". ISO 27001: 2022 Liite A Ohjaus 5.17 edellyttää, että todennustiedot pidetään suojattuna. Ohjausohjeissa todetaan myös, että käyttäjien tulee valita vaikeasti arvattavat, vahvat salasanat alan standardien mukaisesti:

Salasanat eivät saa perustua helposti saatavissa oleviin henkilötietoihin, kuten nimiin tai syntymäpäiviin.
Salasanat eivät saa perustua tietoihin, jotka voidaan helposti arvata.
Salasanat eivät saa sisältää yleisiä sanoja tai sanasarjoja.
Käytä aakkosnumeerisia ja erikoismerkkejä salasanassasi.
Salasanoilla tulee olla vähimmäispituusvaatimus.

Viisi askelta salasanakäytännön parantamiseen

1) Tarkista nykyinen salasanakäytäntö

Tarkista organisaation nykyinen salasanakäytäntö. Tarvitseeko sitä päivittää tai parantaa? Jos nykyistä salasanakäytäntöä ei ole käytössä, kehitä sellainen alan standardien mukaisesti.

2) Kommunikoi koko yrityksessä

Varmista, että kaikki työntekijät ovat tietoisia uusista tai päivitetyistä salasanakäytännöistä. Määrittele käytäntö ja miksi se on tärkeä, ja harkitse työntekijöiden kouluttamista samanaikaisesti. Organisaatioiden tulisi myös ottaa yhteyttä koulutuspäälliköihin, jotta he voivat suositella käytäntöä muille.

3) Ota käyttöön salasananhallintatyökalut

Valitse hyväksytyt salasananhallintatyökalut. Hallintatyökalun käyttö keventää useiden eri tilien kirjautumistietojen muistamista, mikä parantaa työntekijöiden omaksumisen todennäköisyyttä.

4) Käytä MFA:ta

Ota MFA käyttöön lisätapana käyttäjien todentamiseen ja tietojenkalastelun riskin vähentämiseen.

5) Invest in Employee Education

Kouluta työntekijöitä noudattamaan uutta tai päivitettyä salasanakäytäntöä ja kouluta heitä käyttämään salasananhallinta- ja MFA-työkaluja. Tämä voi parantaa sisäänostoa ja auttaa henkilökuntaa ymmärtämään hyvän salasanan hallinnan tärkeyden.

On aika ryhtyä toimiin

Yhä monimutkaisempien kyberuhkien edessä yritysten on tärkeämpää kuin koskaan tarkastella kyberturvallisuustilannettaan. Maailmanlaajuinen salasananvaihtopäivä toimii toimintakehotuksena yritysjohtajille. Tunnistamalla ennakoivasti haavoittuvuuksia, ottamalla käyttöön kyberturvallisuuden parhaita käytäntöjä ja kouluttamalla työntekijöitä heidän tietoturvavastuistaan johtajat voivat puuttua ja lieventää kyberuhkien aiheuttamia riskejä.

Oletko valmis ryhtymään toimiin parantaaksesi salasananhallintakäytäntöjä ja lisätäksesi organisaatiosi selviytymiskykyä? Lue, kuinka IO:n keskitetty tietoturvallisuuden hallintajärjestelmäratkaisu (ISMS) voi auttaa organisaatiotasi parantamaan tietoturvan tilaa ja yhdenmukaistamaan salasanakäytännöt tehokkaiden tietoturvakehysten kanssa.

Christie Rae

Christie on sisältömarkkinoinnin asiantuntija ISMS.onlinessa. Yli seitsemän vuoden kokemuksella hän pyrkii kirjoittamaan informatiivista, mukaansatempaavaa sisältöä ja on työskennellyt useilla eri aloilla, mukaan lukien kyberturvallisuus, ohjelmistot palveluna, tekniikka ja lääketeollisuus.

Lue lisää Christie Raelta

tietoverkkoturvallisuus 10 helmikuu 2026

Suurimmat tekoälyn hallinnon haasteet vuonna 2026

Tämän vuoden Turvallisemman internetin päivän teema, älyteknologia, turvalliset valinnat – tekoälyn turvallisen ja vastuullisen käytön tarkastelu korostaa vastuullisen...

Christie Rae

tietoverkkoturvallisuus 29 joulukuu 2025

tietoturvan tilaa koskeva raportti 11 keskeistä tilastoa ja trendiä oikeusalalla banneri

Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä oikeusalalla

Vuoden 2025 tietoturvallisuuden tilaa koskeva raportti paljasti monimutkaiset kyberhaasteet ja -mahdollisuudet, joita turvallisuusjohtajat ovat kohdanneet viimeisten 12 vuoden aikana ...

Christie Rae

tietoverkkoturvallisuus 17 joulukuu 2025

Tietoturvan tilaraportti 11 keskeistä tilastoa ja trendiä valmistus- ja yleishyödyllisten palvelujen alalla banneri

Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä valmistus- ja yleishyödyketeollisuudelle

Tämän vuoden tietoturvaraportti paljasti lukuisat haasteet ja mahdollisuudet, joita tietoturvajohtajat ovat kohdanneet viimeisten 12 kuukauden aikana...

Christie Rae