Siksi salasanat eivät enää toimi.
Salasanat olivat ennen paras tapa kirjautua sisään. Muista salaisuus, syötä se ja saat käyttöösi. Mutta todellisuudessa ne eivät enää tarjoa tehokasta suojaa.
Haavoittuvuudet on dokumentoitu hyvin tietoturvatutkimuksissa, alan raporteissa ja lukemattomissa tietomurtotutkimuksissa. Salasanoihin turvautuminen on kuin lukitsisi ulko-oven ja jättäisi ikkunat auki.
Salasanat on helppo paljastaa
Turvallisuuden näkökulmasta salasanat ovat yksi käytetyimmistä hyökkäysvektoreista. Verizonin tietomurtoja koskevassa tutkintaraportissa heikot tai varastetut tunnistetiedot tunnistetaan yhdeksi tietomurtojen johtavaksi syyksi.
Käyttäjiä huijataan antamaan salasanansa tietojenkalasteluviestien avulla, ja he kierrättävät varastettuja tunnuksia palvelusta toiseen. Heikot salasanat löydetään automatisoiduilla työkaluilla, ja kun salasana paljastuu, hyökkääjä saa usein rajoittamattoman pääsyn salasanan takana oleviin järjestelmiin.
Kaikki tämä yhdessä tarkoittaa, että salasanat ovat yhä enemmän taakka ja riski, eivätkä turvatoimenpide.
Salasanojen nollaaminen on piilokulu
Toiminnallisesti salasanat heikentävät tehokkuutta. Gartner arvioi, että 30–50 prosenttia kaikista IT-tukipuheluista liittyy salasanoihin. Jokainen salasanan nollaus voi viedä IT-henkilöstöltä viidestä kymmeneen minuuttia. Tämän lisäksi ulos lukittuneen työntekijän tuottavuus heikkenee.
Suurissa yrityksissä tämä voi tarkoittaa tuhansia nollauksia vuosittain ja satojen menetettyjä työtunteja. Piilokustannukset ovat valtavat. Taitavat työntekijät käyttävät tuntikausia toistuvaan, vähäarvoiseen työhön, ja IT-budjetit kuluvat toimintoihin innovaatioiden sijaan.
Turhautuneet työntekijät antavat huonon kuvan organisaatiosta
Käyttäjän näkökulmasta salasanat aiheuttavat turhautumista. Työntekijöitä pyydetään noudattamaan monimutkaisia ohjeita: heidän on luotava pitkiä isoista ja pienistä kirjaimista, numeroista ja symboleista koostuvia jonoja, joita vaihdellaan 60 tai 90 päivän välein.
Turvallisuuden parantamisen sijaan tämä johtaa turvattomaan käyttäytymiseen. Ihmiset kirjoittavat säännöt muistiin. He käyttävät niitä uudelleen useissa järjestelmissä. He valitsevat ennustettavia toimintatapoja. Mitä tiukemmat säännöt, sitä huonompi vaatimustenmukaisuus. Prosessin arvo, joka hidastuu tekemättä kuitenkaan paljoa järjestelmien ja työntekijöiden turvallisuuden eteen, laskee. HR-johtajille tämä turhautuminen on osa työntekijäkokemusta, ja siitä johtuva kitka heijastuu negatiivisesti organisaatioon.
Salasanaton vahvistus tasapainottaa turvallisuuden ja vaatimustenmukaisuuden
Sääntelyvaatimukset pahentavat tilannetta. Erilaisten standardien, kuten GDPR:n, ISO 27001:n ja SOC2:n, noudattaminen edellyttää vahvoja identiteetin ja pääsynhallintakäytäntöjä. Salasanapohjaiset palautukset ja jaetut tunnistetiedot johtavat vaatimustenvastaisuuteen. Tämän seurauksena vaatimustenmukaisuudesta vastaavat henkilöt lisäävät painetta IT-osastolle prosessien korjaamiseksi, mikä johtaa tiukempiin määräyksiin, jotka turhauttavat työntekijöitä entisestään.
Tuloksena on noidankehä, joka koostuu monimutkaisemmasta toiminnasta, turhautumisesta ja todellisesta turvallisuuden paranemisesta. Salasanat epäonnistuvat, koska ne ovat heikko kohta. Ne voidaan arvata, varastaa tai unohtaa. Se on ajan ja rahan tuhlausta; luottamus IT-järjestelmiin murenee.
Organisaatiolle, joka yrittää tasapainottaa tietoturvaa, vaatimustenmukaisuutta ja käyttäjäkokemusta, ne ovat väärät työkalut tähän tehtävään. Siksi siirtyminen innovatiivisempiin henkilöllisyyden varmennustapoihin ei ole valinnaista – se on välttämätöntä.