Salasanakäytännöt 2026: nykyaikaiset suositukset yrityksille
Unohda 90 päivän vaihtopakko ja monimutkaiset säännöt. Nykysuositukset: pitkä salasana (16+ merkkiä) tai salasanalause, salasananhallintaohjelma ja MFA. Salasanaa vaihdetaan vain jos se on vuotanut. Tärkeintä: jokaiseen palveluun eri salasana + MFA päällä.
Vanhat vs nykyiset suositukset
| Vanha käytäntö | Nykysuositus (NIST) |
|---|---|
| Vaihda 90 päivän välein | Vaihda vain jos vuotanut |
| Vähintään 8 merkkiä | Vähintään 16 merkkiä |
| Pakollinen iso/pieni/numero/erikois | Pituus tärkeämpi kuin monimutkaisuus |
| Muista ulkoa | Käytä salasananhallintaa |
| Salasana yksin riittää | MFA pakollinen kriittisiin palveluihin |
Miksi vanhat käytännöt eivät toimi?
- 90 päivän vaihto: Johtaa heikkoihin salasanoihin (Salasana1!, Salasana2!...)
- Monimutkaisuusvaatimukset: P@ssw0rd! täyttää säännöt mutta on heikko
- Ulkoa muistaminen: Ihminen ei muista 50 eri vahvaa salasanaa
Nykyaikaiset salasanakäytännöt
1. Käytä salasananhallintaohjelmaa
Salasananhallinta (Bitwarden, 1Password, LastPass) luo ja tallentaa vahvat salasanat. Sinun tarvitsee muistaa vain yksi master-salasana.
- Bitwarden: Ilmainen perusversio, avoimen lähdekoodin
- 1Password: Käyttäjäystävällinen, hyvä tiimikäyttöön
- LastPass: Tunnettu, mutta tietoturvaongelmia historiassa
2. Pitkä salasana > monimutkainen salasana
"koirakäveleepuistossa" on vahvempi kuin "K0!r@123" – ja helpompi muistaa.
| Salasana | Murtamisaika (brute force) |
|---|---|
| K0!r@123 (8 merkkiä) | Minuutteja |
| koirakavelee (12 merkkiä) | Kuukausia |
| koirakäveleepuistossa (20 merkkiä) | Satoja vuosia |
3. Joka palveluun eri salasana
Kun yksi palvelu murtautuu (ja murtautuu), hyökkääjät kokeilevat samaa salasanaa kaikkialla. Eri salasana joka paikkaan estää tämän.
4. MFA kaikkiin kriittisiin palveluihin
Vaikka salasana vuotaisi, MFA estää kirjautumisen. Prioriteetti:
- Sähköposti (pääsy kaikkeen muuhun)
- Pankki ja taloushallinto
- Pilvipalvelut (M365, Google Workspace)
- Salasananhallinta
- Sosiaalinen media ja muut
5. Tarkista vuodot säännöllisesti
haveibeenpwned.com kertoo onko sähköpostisi tai salasanasi vuotanut. Tarkista vähintään vuosittain.
Salasanapolitiikka yritykselle
Suositeltava salasanapolitiikka pk-yritykselle:
- ☐ Salasananhallinta pakollinen kaikille
- ☐ Vähintään 16 merkin salasanat (hallinta generoi)
- ☐ MFA pakollinen sähköpostiin ja pilvipalveluihin
- ☐ Jaetut salasanat hallinnan kautta, ei sähköpostilla
- ☐ Poistuvan työntekijän tunnukset poistoon heti
- ☐ Vuototarkistus vuosittain
Yleiset virheet
- Sama salasana kaikkialla: Yksi vuoto avaa kaikki ovet.
- Salasanat Excelissä: Ei salattua, helppo varastaa.
- Salasanat sähköpostissa: Sähköposti murtautuu ensimmäisenä.
- Liian lyhyet salasanat: 8 merkkiä murtuu minuuteissa.
- Ei MFA:ta: Salasana yksin ei riitä tärkeisiin palveluihin.
Usein kysytyt kysymykset
Onko salasananhallinta turvallinen?
Kyllä, luotettavat hallintaohjelmat käyttävät vahvaa salausta. Riski on pienempi kuin heikkojen/uudelleenkäytettyjen salasanojen riski. Master-salasanan pitää olla vahva ja MFA päällä.
Pitääkö salasanoja vaihtaa säännöllisesti?
Ei, ellei ole syytä epäillä vuotoa. Säännöllinen vaihto johtaa heikompiin salasanoihin. Vaihda kun: palvelu ilmoittaa tietomurrosta, epäilet väärinkäyttöä, tai salasana on vuotanut.
Entä passkeyt?
Passkeyt (FIDO2/WebAuthn) ovat tulossa korvaamaan salasanat. Jos palvelu tukee passkeytä, käytä sitä. Toistaiseksi salasanat + MFA on standardi.
Lue myös
- MFA käyttöön yrityksessä
- Tietoturvan peruspaketti 90 päivässä
- Tietoturvakoulutus henkilöstölle
- Tietoturva palveluna →
Haluatko apua salasanakäytäntöjen päivittämiseen?
Autamme ottamaan käyttöön salasanahallinnan ja MFA:n koko yritykselle.
Pyydä arvio