Siirry pääsivulle

Tulevaisuuden tunnistautuminen: eroon salasanoista

Salasanaton kirjautuminen – vastaus perinteisten kirjautumismenetelmien puutteisiin
 

Salasanojen määrän kasvaminen on tuttu ongelma monelle. Tämä vaatii käyttäjiltä hyvää muistia ja järjestelmällisyyttä salasanojen säilyttämisessä. Mitä enemmän salasanoja tarvitaan, sitä suurempi houkutus käyttäjällä on hyödyntää samoja salasanoja eri palveluissa tai käyttää helpompia ja samalla heikompia salasanoja. Samalla tietoturvariskit kasvavat. Salasanattomuus on noussut esiin ratkaisuna salasanatulvasta selviämiseen ja vastauksena perinteisten salasanapohjaisten tunnistautumismenetelmien tietoturvapuutteisiin.

Salasanattomalla kirjautumisella (passwordless authentication) tarkoitetaan nimensä mukaisesti menetelmiä, joilla käyttäjä voidaan tunnistaa luotettavasti ilman, että hän tarvitsee tunnistautumiseen salasanaa. Salasanattomuudella voidaan paitsi vahvistaa tietoturvaa myös parantaa käyttäjäkokemusta. Kirjautuminen on nopeampaa ja helpompaa, kun sen voi hoitaa esimerkiksi kasvojentunnistuksella.


Salasanattomuus on tärkeä askel kohti tietoturvallista tulevaisuutta
 

Tietojenkalastelu eli phishing on edelleen yleisesti rikollisten käytössä oleva menetelmä, joka aiheuttaa merkittäviä riskejä yksityishenkilöille ja organisaatioille. Kalasteluviestien avulla käyttäjä voidaan harhauttaa luovuttamaan käyttäjätunnuksensa ja salasanansa. Salasanaton kirjautuminen on immuuni perinteisille kalasteluhyökkäyksille, koska käyttäjällä ei yksinkertaisesti ole salasanaa, mitä luovuttaa hyökkääjälle. Hyökkäyssivustot eivät tällä hetkellä saa luotua kasvojentunnistustapahtumaa uhrin laitteessa; hyökkäys epäonnistuu, vaikka käyttäjä olisikin jo ehtinyt klikata vahingollista linkkiä.

Toinen valitettavan usein toistuva tietoturvauhka on tietovuoto, jossa vääriin käsiin päätyneet käyttäjätunnukset ja salasanat saatetaan julkaista julkisesti tai myydä pimeillä markkinoilla. Tämän lisäksi kirjautumistietoja käytetään usein murtamaan käyttäjän muita tilejä, jotka eivät suoraan olleet kyseisen vuodon kohteena.

Salasanaton arkkitehtuuri auttaa suojaamaan käyttäjiä tietomurroilta ja hakkeroinnilta. Kun salasanoja ei ole olemassa, ei niitä voida varastaa tai vuotaa kolmansille osapuolille. Salasanattoman kirjautumisen käyttöönotto on siten tärkeä askel kohti tietoturvallisempaa digitaalista ympäristöä.

Yksilötasolla salasanattomien teknologioiden käyttöönotto on yksinkertaista – esimerkiksi vaihtamalla puhelimen lukituksen PIN-koodista kasvojentunnistukseen. Palveluntarjoajille salasanattoman tunnistautumisen liittäminen palveluun vaatii hieman enemmän, mutta sen toteuttaminen onnistuu kokeneemmalta web-kehittäjältä ohjeistuksen tai asiantuntevan kumppanin avulla.


Vähennä tietoturvariskejä salasanattomalla teknologialla
 

Salasanattoman kirjautumisen neljä yleisintä menetelmää tarjoavat mahdollisuuden vähentää riskejä, jotka liittyvät tietojenkalasteluun ja heikkoihin salasanoihin, ja samalla parantavat käyttäjäkokemusta.

  1. Avainlaitteet – monipuolinen autentikointiratkaisu eri palveluihin: Tunnistautumiseen käytettävät avainlaitteet ovat pieniä, USB-porttiin liitettäviä laitteita, joilla käyttäjä voidaan autentikoida moniin eri verkkopalveluihin sekä käyttäjän omaan tietokoneeseen. Teknisesti tällaiset laitteet näkyvät tietokoneen käyttöjärjestelmälle USB-liitännäisenä näppäimistönä, joka kirjoittaa salasanoja käyttäjän niitä näkemättä. Avainlaitteita voi käyttää korvaamaan perinteisiä salasanoja myös verkkopalveluissa, ja niiden käyttöä tukevat muun muassa Amazon, Google, Microsoft ja Facebook. Laitetta käytetään tunnistamaan yhtiöiden omat työntekijät ja myös heidän tuotteidensa käyttäjiä.

  2. FIDO – salasanattoman tulevaisuuden puolestapuhuja: FIDO (Fast Identity Online) on järjestö, jonka missiona on ajaa salasanattomien teknologioiden käyttöönottoa. FIDO tarjoaa tuen useille eri laitetyypeille, esimerkiksi älykorteille, NFC-laitteille sekä edellä mainituille avainlaitteille. .

    Tärkein FIDO:n projekteista on FIDO2, jota edistetään yhdessä webstandardijärjestö W3C:n kanssa. Projektissa tarjoaa kahta eri ratkaisua salasanattomuuteen: WebAuthn ja CTAP2. WebAuthn on verkkoautentikointistandardi, joka mahdollistaa käyttäjän tunnistautumisen verkossa. CTAP2 puolestaan on protokolla asiakasohjelmistojen tunnistautumiseen. Nämä kaksi ratkaisua yhdessä muodostavat autentikointiprotokollan, jota voidaan käyttää verkkopalveluiden tunnistautumiseen. Kun verkkopalvelu ottaa FIDO2:n käyttöönsä, palvelun käyttäjät voivat tunnistautua käyttämällä omaa avainlaitettaan tai älypuhelimensa biometrista tunnistetta.

  3. Biometriset tunnisteet: Biometrinen tunnistus, joka tunnetaan myös nimellä biotunnistus, viittaa henkilöllisyyden tunnistamiseen jonkin yksilöllisen fyysisen ominaisuuden avulla. Tavallisimpia biotunnisteita ovat sormenjäljet (sormenjälkitunnistus), kasvot (kasvojentunnistus), silmän verkkokalvo ja ääni. Biometristen tunnisteiden käyttö salasanojen sijaan on yleistynyt käyttömukavuuden takia. Biometrinen tunnistus tarjoaa niin organisaatiolle kuin yksilöllekin luotettavan tavan varmistaa henkilöllisyys, sillä fyysisiä ominaisuuksia on vaikeampi väärentää tai varastaa.

  4. Pseudo-salasanattomat tunnistusmenetelmät: Pseudo-salasanattomia menetelmiä käytetään laajalti muun muassa verkkopankkien, sähköpostien ja muiden verkkopalveluiden tunnistautumisessa. Autentikaatiosovellukset ja sähköpostiin lähetettävät kertakäyttölinkit, joita kutsutaan myös taikalinkeiksi (magic links), ovat hyviä esimerkkejä.

    Perinteisimmillään autentikaatiosovellus tarjoaa käyttäjälle kertakäyttösalasanan tai PIN-koodin sisäänkirjautumisen yhteydessä. Tämä mahdollistaa paremman tietoturvan, koska salasana tai PIN-koodi ei ole pysyvästi tallennettuna käyttäjän laitteelle. Myös taikalinkit ovat kertakäyttöisiä, mutta ne perustuvat käyttäjän sähköpostitilin turvallisuuteen ja oikeellisuuteen. Taikalinkin lähettäjä luottaa siihen, että linkki menee oikealle vastaanottajalle ja että vastaanottajan sähköpostitiliä ei ole murrettu.

    Vaikka pseudo-salasanattomat menetelmät ovat parempia kuin perinteinen käyttäjätunnus-salasana-pari, tulisi niitä käyttää silti varauksella ja vain osana monivaiheista tunnistautumisprosessia.


Suosittelemme pohtimaan salasanattomuuden toteuttamista tietoturvan tehostamiseksi ja käyttäjäkokemuksen parantamiseksi. Deloitten laaja asiantuntijaverkosto auttaa tarvittaessa integroimaan salasanattoman kirjautumisen olemassa oleviin järjestelmiin ja palveluihin. Autamme niin neuvonannon, teknisten toteutusten kuin myös jatkuvien palveluiden muodossa.