Haluatko jakaa salaisuuden? Ei kiitos, minulla on jotain paljon parempaa!
Vanhoissa vakoilu- sotaelokuvissa salainen tunnuslause toimi pääsylupana suojattuun paikkaan. Tunnuslauseen piti pysyä luottamuksellisena koska sen lausuminen oikein varmisti, että henkilö oli oikealla asialla. Spoiler alert: tämä ei ole sitä paljon puhuttua Zero-Trust mallia.
Toisaalta emmehän me muutenkaan enää pidä vanhojen leffojen tunnuslausemenetelmää hyvänä esimerkkinä muuhun kuin siihen miten paljon kehittyneempiä meidän nykyiset toimintamallimme ovatkaan. Tosia-asia on kuitenkin valitettavasti se, että meidän kaikista yleisimmin käyttämät tunnistusmenetelmät eivät ole juurikaan parempia, kuin näiden vanhat esimuotonsa. Mistä on kyse?
Ongelman ydin ei ole se, kuinka hyvä tunnuslause on, tai kuinka hieno menetelmä meillä on tunnuslauseiden vaihtamiseen, uudistamiseen tai jakeluun. Vika ei ole välineissä tai ihmisissä vaan siinä, että koko jaetun salaisuuden malli on menneisyyden jäänne, jonka aika alkaa lopultakin olemaan ohi.
Moderni jaetun salaisuuden tunnistusratkaisu näyttäytyy mobiili-MFA sovelluksena tai vaihtuvaa salasanaa käyttävänä tekstiviestinä, paperilappuna tai fyysisenä salasana-tokenina. Kaikki kovin hienoja ja uusia välineitä toki, mutta jokaisessa niissä on jossain syvällä pieni kello tai laskuri, joka tikittää uusia tunnuslauseita jaetusta siemenluvusta, joka on näiden tunnuslauseiden yhteinen äiti. Zero-Trust -malli kavahtaa tätä koska koko menetelmän turvallisuus perustuu siihen, että kaikkiin päätelaitteisiin, sekä palvelimiin on pakko luottaa, jos tunnistusta haluaa suorittaa.
Miltä sitten ei-jaetun salaisuuden tunnistusratkaisu näyttäytyy tänä päivänä? Se löytää muotonsa FIDO-tunnistusvälineistä ja perinteisistä julkisen avaimen PKI-menetelmistä, jotka on tuotu nykyhetkeen siirtämällä yksityisen avaimen suojaava turvasiru älypuhelimen turvapiirille, mitä käytetään kätevän mobiilisovelluksen kautta. Sekä FIDO ja PKI perustuvat yksityisen ja julkisen avainparin hyödyntämiseen siten, että tunnistuksessa kumpikin osapuoli vaihtavat keskenään ainoastaan julkisia tietoja, joiden aitous, eheys ja luottamuksellisuus todennetaan kryptograafisesti omassa luotetussa ympäristössään. Tunnistus päätelaitteen ja palvelimen välillä on aina molemminpuolista eikä kolmas osapuoli pääse tähän väliin tai pysty varastamaan avainta, jota ei alkujaankaan ole vaihdettu osapuolten välillä.
Meille Spearilla on keskeisen tärkeää tarjota sellaisia tunnistusratkaisuja, jotka vastaavat nykyisiin ja tulevaisuuden tarpeisiin ja haasteisiin, eikä menneen maailman menetelmiin. Olemme esillä Cybersecurity Nordic konferenssissa Helsingin Messukeskuksessa 12–13 toukokuuta missä kerromme ja esitellemme ratkaisujamme siihen, miten Zero-Trust -malli oikeasti toimii vahvassa tunnistuksessa.