Kirjaudumme päivittäin lukuisiin, peräti kymmeniin eri verkkopalveluihin. Useimmat meistä eivät kiinnitä kirjautumistoimenpiteeseen sen enempää huomiota. Kahvipöydässä saatamme päivitellä sitä, kuinka paljon eri salasanoja onkaan muistettavana. Kuka haluaisi tehdä kirjautumisesta enää yhtään hankalampaa? Eivät ainakaan verkkorikolliset, joiden elinkeino pohjautuu palveluihin murtautumiseen. Tässä blogiartikkelissa avaan monivaiheisen tunnistautumisen merkitystä sekä yksittäisen henkilön että organisaation näkökulmista.
Perinteinen käyttäjätunnus ja salasana ovat jäänne ajalta, jolloin kaikki oli yksinkertaisempaa. Salasana on helpoin ja yksinkertaisin toimenpide, jolla voidaan rajoittaa palvelun käyttöä. Tunnistusmenetelmänä salasana ei ole kovin tehokas, sillä verkkopalvelu ei voi varmuudella tietää, onko kirjautuja todella palvelun oikea käyttäjä.
Käyttäjätunnukset voivat olla väärissä käsissä, eikä verkkopalvelulla ole mahdollisuutta havaita tätä.
Salasana on tieto tai tunniste, joka on – tai jonka pitäisi olla – vain sen oikean käyttäjän tiedossa. Salasanat ovat kuitenkin vain niin hyviä kuin niiden käyttäjät. Ihmisinä olemme peruslähtökohdiltamme laiskoja ja muistimme on huono. Harva meistä jaksaa nähdä ylimääräistä vaivaa hyvän salasanan laatimiseen ja opetteluun. Siispä käyttämämme salasanat tuppaavat olemaan lyhyitä ja helposti muistettavia – ja helposti arvattavia ja murrettavia.
Kolme teesiä salasanoista
1. Valitse riittävän pitkä salasana tai salalause, jonka muistat ja jota ei tarvitse kirjoittaa ylös
2. Älä käytä samaa salasanaa useissa palveluissa
3. Käytä salasanan lisäksi monivaiheista tunnistusta, mikäli sellainen on tarjolla
Turvallisempia kirjautumiskeinoja
Lisäturvaa kirjautumiseen voidaan tuoda monivaiheisella tunnistautumisella (multi-factor authentication, MFA). Käyttäjätunnuksen ja salasanan ohella kirjautumiseen vaaditaan lisävarmistus, joka voi olla matkapuhelimesta luettava koodi tai sähköpostiin lähetettävän linkin klikkaaminen. Asiattoman käytön ja tietomurron riski pienenee huomattavasti, kun palveluun ei pääse sisään pelkästään salasanan arvaamalla.
Verkkopankkien ja muiden rahan liikutteluun keskittyvien palveluiden tietoturvaan on aina panostettu. Syyt ovat ilmeisiä. Pankit ovatkin kirjautumisteknologian ja etenkin sen kansantajuistamisen edelläkävijöitä. Aikanaan verkkopankeissa käytettiin kertakäyttöisiä tunnuslukutaulukoita ja myöhemmin uudelleenkäytettäviä tunnuslukukortteja. Joissain pankeissa oli käytössä erillinen digitaalinen avaimenperä, joka loi kirjautumiseen tarvittavan tunnuskoodin matemaattisella kaavalla.
Tunnuslukutaulukon ja kirjautumislaitteen voidaan olettaa todennäköisesti olevan oikean käyttäjän hallussa. Vähintäänkin oikean omistajan pitäisi tietää, jos taulukko on kadonnut tai päätynyt vääriin käsiin, jolloin se voidaan mitätöidä.
Matkapuhelimen kautta toimiva monivaiheinen tunnistautuminen on näiden kirjautumisvälineiden henkinen perillinen. Myös sen oletuksena on, että kännykkä on oikean käyttäjän hallussa ja sen kadotessa voidaan ryhtyä toimenpiteisiin. Kirjautumisessa kysytään koodia, joka lähetetään matkapuhelimeen tekstiviestillä tai koodi luodaan matemaattisella kaavalla erillisessä tunnuslukusovelluksessa.
Toinen yleinen toimintamalli on sähköpostin käyttö tunnistautumiseen. Kirjautuminen vahvistetaan sähköpostiin lähetettävää linkkiä klikkaamalla. Tämän toimintamallin oletuksena on, että pääsy sähköpostiin on vain käyttäjällä itsellään.
Jotkin palvelut ovat luopuneet pelkästä käyttäjätunnus+salasana kirjautumisesta kokonaan ja tarjoavat ainoastaan sähköpostilinkin kautta tapahtuvaa kirjautumista. Tällöin kirjautumisen tietoturva ulkoistetaan sähköpostipalvelun tarjoajalle.
Vaan entä jos sähköpostiin on murtauduttu? Tietomurtoa ei ole mahdollista huomata samalla tavalla kuin matkapuhelimen tai tunnuslukukortin katoamista. Käyttäjätunnuksen ja salasanan rinnalla sähköpostin kautta toimiva lisätunnistuskin on kuitenkin reilusti pelkkää salasanaa turvallisempi.
Ota monivaiheinen kirjautuminen käyttöön ja tee se heti!
Monivaiheista tunnistautumista kannattaa hyödyntää joka paikassa missä se on mahdollista.
Ensimmäisenä monivaiheinen tunnistautuminen kannattaa ottaa käyttöön sähköpostipalvelussa, sillä sähköpostin kautta voi nollata muiden palveluiden salasanat. Tee tämä samantien!
Useimmat sosiaalisen median palvelut tarjoavat mahdollisuuden monivaiheiseen tunnistautumiseen ja se kannattaa kytkeä käyttöön seuraavaksi näissä palveluissa.
Selvitä tämän jälkeen muiden käyttämiesi verkkopalveluiden mahdollisuudet monivaiheiseen tunnistautumiseen ja kytke toiminto päälle, jos se on tarjolla. Toiminto löytyy useimmista palveluista, joissa säilytetään tai siirretään rahanarvoista tietoa tai tavaraa. Tällaisia palveluita ovat esim. verkkokaupat (kuten Amazon, eBay, Zalando), jotka usein tarjoavat mahdollisuuden käyttäjän luottokorttitietojen tallentamiseen ja tätä kautta helppoon tilaamiseen.
Kotimaisissa verkkokaupoissa monivaiheinen tunnistautuminen on jostain syystä vielä harvinaisuus. Jopa vahvaa tunnistusta tarjotaan yleisemmin.
Monivaiheista tunnistautumista ei pidä sotkea vahvaan tunnistukseen, joka tapahtuu useimmiten pankkitunnuksilla tai mobiilivarmenteella. Vahvaa tunnistusta käytetään, kun halutaan saada tietoon käyttäjän henkilöllisyys.
Entä meidän oma saitti?
Jos tarjoat itse verkkopalvelua asiakkaillesi, mieti, onko sen kirjautumisen tietoturva riittävä vai olisiko palveluun syytä rakentaa monivaiheinen tunnistautuminen. Mitä voi pahimmillaan tapahtua, jos käyttäjiesi tileille murtaudutaan? Onko palvelussa saatavilla arkaluontoisia tietoja, joita murtautuja voi käyttää esim. identiteettivarkauksiin tai kiristämiseen? Kuinka vakava paikka on, jos tiedot sotketaan tai tuhotaan? Aiheutuuko tietomurrosta juridinen tai liiketoiminnallinen riski yritykselle tai merkittävää mainehaittaa?
Monivaiheisen tunnistautumisen rakentaminen saattaa kuulostaa työläältä, mutta ei välttämättä ole sitä.
Ihmettelen, että monivaiheista tunnistautumista ei tarjota yleisemmin, kun tekniset valmiudet ja käytännöt ovat kerran olemassa, ja käyttäjätkin alkavat jo osata sen käytön.
Käyttäjän näkökulmasta monivaiheisen tunnistautumisen tarjoaminen osoittaa, että verkkopalvelu ottaa tietoturvan vakavasti ja asiaa on mietitty. Tietoturvaominaisuuksien käyttö tuo mielenrauhaa ja korostuu tilanteissa, joissa uutisoidaan salasanojen päätymisestä vääriin käsiin. Jokainen meistä haluaa ajatella, että ainakin minun tietoni ovat turvassa.
Kumpaan itse mieluummin syötät henkilökohtaiset arvokkaat tietosi? Perinteiseen verkkopalveluun vai palveluun, jonka käyttökokemus ja menetelmät henkivät asiaan paneutumista ja tietoturvan vakavaa huomioon ottamista?