Salasanat ovat muinaista teknologiaa

Kirjautuminen epäonnistui, tarkista käyttäjätunnuksesi ja salasanasi. Kirjautuminen epäonnistui, tarkista käyttäjätunnuksesi ja salasanasi. Kirjautuminen epäonnistui…

Jokainen meistä on kokenut tämän turhauttavan tilanteen. Teknologian kehittymisen ja globaalin digitalisoitumisen myötä, hyvin suuri osa päivittäisestä toiminnastamme tapahtuu tavoilla, jotka vaativat rekisteröitymistä ja kirjautumista johonkin tiettyyn palveluun. Useimmilla ihmisillä, tämä pätee myös työntekoon – tavallisen työpäivän aikana kirjaudutaan jatkuvasti sisään eri kohteisiin, kuten työkoneelle, sähköpostiin, yrityksen taustajärjestelmiin, jne. Päästäkseen sisään näihin kohteisiin, käyttäjältä vaaditaan tunnistautumista. Todennäköisin metodi tunnistautumiseen on edelleen tänä päivänä henkilökohtaisen käyttäjätunnuksen ja salasanan yhdistelmä.

Käyttäjätunnuksen ja salasanan yhdistelmä tunnistautumisen keinona on ollut käytössä yli 50 vuotta. Näiden vuosikymmenten aikana teknologia on kehittynyt kiihtyvällä vauhdilla, joten onkin hämmästyttävää, kuinka laajassa käytössä tämä tunnistautumisen reliikki silti edelleen on. Sen käyttöä olisi helpompaa ymmärtää, mikäli sen tarjoama käyttökokemus olisi ensiluokkainen tai turvallisuuden taso korkea – mutta kun ei ole.

Ollakseen edes jollain tasolla turvallinen tunnistautumisen metodi, yhdellä henkilöllä käytössä olevien salasanojen tulisi olla rakenteeltaan vahvoja ja samoja tunnuksia ei tulisi käyttää monissa eri kohteissa. Kun henkilökohtaisten käyttäjätunnusten ja salasanojen määrä on kasvanut kymmenistä jopa moniin satoihin, tämä muuttuu jokseenkin hankalaksi. Harva ihminen on kykeneväinen, saatikka halukas muistamaan 200 uniikkia käyttäjätunnusta ja salasanaa. Kun tarjolla on paljon käyttäjäystävällisempiä ja turvallisempia vaihtoehtoja tunnistautumiseen, eikö olisi jo aika päästää käyttäjätunnus/salasana ansaitulle eläkkeelle ja siirtyä modernimpiin metodeihin?

Salasanojen hallintaohjelmat

Salasanojen hallintaohjelmat ovat suosittu ja yleinen keino päästä eroon lukuisten tunnusten ja salasanojen muistinvaraisesta hallinnasta. Tämänkaltaiset ohjelmat siirtävät niihin tallennetut tiedot säilötiedostoon, joka salataan satunnaisella salausavaimella. Käyttäjän täytyy muistaa ainoastaan yksi master-salasana, jonka avulla hän pääsee käsiksi kaikkiin palveluun tallennettuihin salasanoihin. Jotkin salasanojen hallintaohjelmat ovat laitekohtaisia, mutta useimmat toimivat nykyään pilvessä, jolloin esimerkiksi laiterikko ei estä pääsyä tallennettuihin tietoihin.

Vaikka salasanojen hallintaohjelmat tarjoavat käyttäjilleen huomattavia etuja, on niillä myös monia haittapuolia. Useista ohjelmistoista on tarjolla ilmainen versio, mutta näihin liittyy usein rajoituksia, kuten rajattu määrä tallennettuja salasanoja. Saadakseen käyttöön kaikki ominaisuudet, on kaivettava luottokortti esiin. Maksullisenkaan ohjelman käyttäminen kaikkien salasanojen hallinnointiin ei ole aina mahdollista – esimerkiksi työnantajasi saattaa määrittää tarkasti, mitä ohjelmaa työkäyttöön liittyvien salasanojen hallinnointiin tulee käyttää.

Joudut siis edelleen muistamaan monia eri salasanoja, jotta sinun ei tarvitsisi muistaa salasanoja. Myös tietoturvaan liittyvät riskit on otettava huomioon salasanojen hallintaohjelmia käytettäessä: tietomurron sattuessa suuri määrä arkaluontoista tietoa voi päätyä kerralla vääriin käsiin.

Monet internet-selaimet ja mm. Applen käyttöjärjestelmät tarjoavat sisäänrakennettuna ominaisuutena salasanojen ja lomaketietojen manageria, mutta näiden ongelmaksi nousee usein niiden rajattu käyttöalue – tallennetut tiedot eivät ole saatavilla muilla alustoilla tai selaimilla. Laajemmista, kaikkialla toimivista salasanojen hallintaohjelmista suosituimpia ovat mm. LastPass, KeePass, 1Password ja Dashlane

Kaksivaiheinen tunnistus

Toinen yleinen vaihtoehto pelkän perinteisen käyttäjätunnuksen ja salasanan tilalle on käyttää kaksivaiheista tunnistautumista (Multi Factor Authentication). Kaksivaiheisessa tunnistautumisessa käyttäjältä vaaditaan käyttäjätunnuksen ja salasanan lisäksi erillinen tunnistautumiseen käytettävä menetelmä, kuten tunnuslukutaulukko tai kertakäyttöinen koodi, joka voidaan lähettää käyttäjälle erillisen sovelluksen tai tekstiviestin avulla. Tämä eliminoi väärinkäytön mahdollisuuden pelkän käyttäjätunnuksen ja salasanan avulla ja lisää täten huomattavasti tunnistautumisen turvallisuutta.

Kaksivaiheisen tunnistautumisen heikkous on sen käyttäjäkokemuksessa – tunnistautuminen vie enemmän aikaa ja käyttäjän on kannettava mukanaan tunnistautumiseen käytettävää välinettä. Mikäli väline hukkuu tai on hetkellisesti poissa käytöstä esimerkiksi puhelimen akun loppuessa, tunnistautuminen ja sisäänkirjautuminen ei onnistu.

AD-Autentikointi

Kolmas vaihtoehtoinen metodi lukuisten käyttäjätunnusten ja salasanojen korvaamiseen on OAuth 2.0 -standardia käyttävä AD-Autentikointi (Active Directory Authentication). Yksinkertaisesti selitettynä, se on palvelu, joka varastoi organisaation henkilöiden tunnistautumistiedot ja käyttöoikeudet yhteiseen tietokantaan.

AD-Autentikointia käytettäessä, käyttäjä ei kommunikoi suoraan tietyn palvelun kanssa tunnistautuessaan ja kirjautuessaan sisään, vaan kommunikointi tapahtuu luotettavan kolmannen osapuolen, eli Key Distribution Centerin (KDC) kautta. KDC käyttää pitkäaikaisten ja kertakäyttöisten tunnistautumisavainten yhdistelmää varmistaakseen molempien osapuolien (Käyttäjä ja Palvelu) identiteetin ennen yhteyden luomista heidän välilleen. AD-Autentikoinnin etuna on korkean tietoturvan lisäksi parantunut käyttäjäkokemus SSO:n (Single Sign-On), eli kertakirjautumisen avulla. SSO hyödyntää autentikointia niin, että käyttäjän tarvitsee kirjautua palveluun vain kerran, jonka jälkeen hänelle suodaan pääsy useisiin eri kohteisiin, johon hänelle on määritetty käyttöoikeudet.

Bluugon Tracking Cloud® -alusta sisältää valmiina Microsoftin suosittua Azure AD -autentikointipalvelua tukevat rajapinnat, joiden avulla Tracking Cloudiin kirjautuminen tapahtuu nopeasti ja turvallisesti yrityksen jo käytössä olevan järjestelmän kautta, ilman tarvetta taas yhden salasanan muistamiseen.

Web Authentication

Aiemmin tänä vuonna, World Wide Web Consortium (W3C) hyväksyi virallisesti WebAuthn -tunnistautumisstandardin, jonka tavoitteena on korvata perinteinen käyttäjätunnus/salasana -kombinaatio verkkoympäristöissä. WebAuthn (lyhenne sanoista Web Authentication) on rajapinta, joka mahdollistaa verkkosivujen kommunikoinnin tunnistautumiseen käytettävien laitteiden kanssa. WebAuthn:in hyödyntämiä tunnistautumismetodeja ovat esimerkiksi USB-porttiin liitettävät FIDO-avaimet ja biometriikkaa hyödyntävät teknologiat, kuten sormenjälkitunnistus. Useimmat selaimet, mukaan lukien Chrome, Firefox, Edge ja Safari tukevat jo WebAuthn -rajapintaa ja loput tulevat seuraamaan perässä nopeasti.

WebAuthn tekee verkossa tunnistautumisesta huomattavasti käyttäjäystävällisempää – tunnistautuminen vie vain muutaman sekunnin ja käyttäjän ei enää tarvitse muistaa lukuisia eri käyttäjätunnuksia ja salasanoja. Myös tietoturvan taso on aivan eri luokkaa, kuin perinteistä käyttäjätunnus/salasana -kombinaatiota käytettäessä: WebAuthn toimii asymmetrisellä Public/Private Key -teknologialla, jolloin käyttäjä ei missään vaiheessa luovuta tunnistautumistietojaan suoraan käyttämälleen palvelulle. Tämä lisää suuresti tunnistautumisen turvallisuutta tietovuotoja ja phisingiä (tietojen kalastelua) vastaan, joiden määrä on ollut viime vuosina suuressa nousussa.

Bluugon Tracking Cloud® -alusta tukee WebAuthn rajapintaa, tehden palveluun kirjautumisesta nopeaa, helppoa ja turvallista sormenjälkitunnistuksen avulla. Edut korostuvat varsinkin, kun Tracking Cloudia käytetään mobiililaitteilla. Kentällä työskentelevien henkilöiden ei tarvitse tuhlata aikaansa käyttäjätunnusten ja salasanojen syöttämiseen, joka voi olla todella turhauttavaa etenkin älypuhelinten pienillä kosketusnäytöillä. Tähän liittyvät haasteet johtavat usein siihen, että kirjautumiseen käytettävät tunnukset tallennetaan laitteen muistiin, joka tekee väärinkäytöstä todella helppoa esimerkiksi laitteen hävitessä. WebAuthn sormenjälkitunnistuksella kirjautuminen onnistuu turvallisesti muutamassa sekunnissa ja väärinkäyttö on todella vaikeaa.

FaceID kasvojentunnistus

Uusin Tracking Cloudin tukemista tunnistusteknologioista on Applen kehittämä FaceID kasvojentunnistus, jonka käyttöä Applen Safari-selain nyt tukee WebAuthn -autentikoinnissa (Safarin versiosta 14 lähtien). Se mahdollistaa tunnistautumisen ja Tracking Cloudiin kirjautumisen yksinkertaisesti vilkaisemalla laitteen etukameraan, ilman tarvetta käyttäjätunnuksille, salasanoille tai perinteisille kaksivaiheisen tunnistuksen metodeille.

“Face ID -tekniikan takana on joitakin kaikkien aikojen edistyksellisimpiä laitteistoja ja ohjelmistoja. TrueDepth-kamera tallentaa kasvotiedot täsmällisesti projisoimalla ja analysoimalla yli 30 000 näkymätöntä pistettä. Se luo kasvoista syvyyskartan ja tallentaa niistä myös infrapunakuvan. A11-, A12 Bionic-, A12X Bionic- ja A13 Bionic -sirujen Neural Engine, joka on suojattu Secure Enclavessa, muuttaa tämän syvyyskartan ja infrapunakuvan matemaattiseksi kuvaksi ja vertaa mallinnusta rekisteröityihin kasvotietoihin.”

(Apple, 2020.)

FaceID:llä tunnistautumisen edut ovat pitkälti samoja kuin esimerkiksi sormenjälkitunnistuksessa ja korostuvat etenkin kenttätyöskentelyssä sekä mobiililaitteita käytettäessä. Tunnistautuminen on todella nopeaa sekä turvallista ja teknologian väärinkäyttö on lähes mahdotonta esimerkiksi tilanteessa, jossa laite katoaa.

Haluatko kuulla lisää?

Katso alla olevasta videosta, kuinka nopeaa ja helppoa Tracking Cloudiin kirjautuminen on WebAuthn -sormenjälkitunnistuksen avulla. Mikäli haluat kuulla lisää ratkaisuistamme, jätä yhteystietosi tai soita meille – kerromme mielellämme lisää.

Tämä blogi on julkaistu alunperin 16.05.2019. Päivitetty 18.01.2021.