Neljä näkökulmaan salasanattomuuteen: miksi monivaiheisesta tunnistuksesta on tullut kaikista kriittisin turvallisuuskysymys?
Salasanoista pitää päästä eroon. Tämä on ollut hyvin tiedossa jo pian kaksikymmentä vuotta. Hyvin suuri osa yrityksistä on ottanut käyttöön erilaisia ratkaisuja monivaiheiseen tunnistukseen, joiden avulla on päästy luopumaan käyttäjien salasanoista. Vai onko salanoista sittenkään oikeasti luovuttu? Vastaus on valitettavasti kielteinen: salasanojen käyttöä on ainoastaan siirretty käyttäjältä järjestelmille, mutta niiden käytöstä ei varsinaisesti olla luovuttu lähes lainkaan. Hetken hyvä tunne paremmasta tietoturvasta on pian muuttumassa entistä suuremmaksi ongelmaksi ja riskiksi kaikenkokoisille yrityksille, kun huomataan, että monivaiheinen tunnistus ei suojaakaan järjestelmiä tai palveluja sen paremmin kuin vanhatkaan menetelmät, vaan päin vastoin. Mistä on kyse?
Haluan antaa neljä näkökulmaa salasanattomuuteen, joiden avulla päästään ymmärtämään – ilman foliohattua – mistä ongelmasta ja riskistä puhutaan.
1. Ensimmäinen näkökulma on loppukäyttäjän salasanaton käyttäjäkokemus. Tässä on saavutettu paljon hyvää: salasanottomaan tunnistukseen ja kirjautumiseen on hyviä, helppoja ja monipuolisia ratkaisuja ja palveluja. Tuki salasanottomaan kirjautumiseen kasvaa koko ajan ja pian kaikkiin järjestelmiin ja palveluihin voidaan kirjautua ilman salasanoja. Käyttäjällä on yleensä mobiilisovellus missä on MFA – Multi-Factor Authentication tunnistussovellus, tai SMS-ratkaisu, jolla vahvistetaan kirjautumispyyntö.
2. Toinen näkökulma on tunnistusjärjestelmän toiminnallisuus. Pois lukien FIDO-mukaiset WebAuthn ja PKI-pohjaiset tunnistusmenetelmät, kaikki monivaiheisen tunnistuksen järjestelmät käyttävät salasanapohjaisia menetelmiä, missä suojattavia tunnistustietoja käsitellään, välitetään ja tallennetaan selkokielisessä muodossa. Käyttäjän ei tarvitse käyttää enää salasanoja koska tunnistusjärjestelmä hallinnoi, käsittelee ja välittää salasanat käyttäjän puolesta. Täällä salasanat eivät ole kadonneet mihinkään, niiden käsittely on vain siirretty pois loppukäyttäjältä.
3. Kolmas näkökulma on hyökkääjän toimintamalli. Kun hyökkääjä katsoo analyyttisesti mistä suunnasta hyökkäys yrityksen tietojärjestelmiin voisi helpoimmin onnistua, yritysverkon suojamuuri ja tunnistusjärjestelmän suojaus vaikuttavat ylitsepääsemättömän haastavilta kohteilta. Hyökkääjä kuitenkin tietää, että kun hän kerran pääsee yritysverkkoon sisälle, on siellä sitten enää vastassa vain helppoja salasanasuojattuja kohteita. Huomio kiinnittyy siten loppukäyttäjiin: koska käyttäjän salasanat on delegoitu järjestelmälle, on käyttäjä itsessään “avain” järjestelmiin ja niiden takana oleviin salasanoihin. Hyökkääjälle tärkein kohde onkin yksittäinen ihminen, loppukäyttäjä, eikä sofistikoitunut yritysturvallisuusjärjestelmä.
4. Neljäs näkökulma on yrityksen turvallisuusriskien hallinta ja siihen vaikuttavat kaksi tekijää. Ensimmäinen tekijä on riskienhallinnan mahdollinen vaarallinen vinoutuma, kun organisaatiossa luotetaan uuden monivaiheisen ja näennäisesti salasanattoman tunnistusmenetelmän antavan riittävän suojan tietomurroilta. Kohonnut luottamus saa aikaan suurempaa riskienottokykyä, mutta virheellinen luottamus on kohtalokasta, kun hyökkääjä onnistuu murtautumaan ja saa käsiinsä entistä arvokkaampia resursseja. Toinen tekijä on se, että kun loppukäyttäjästä tehdään tunnistusjärjestelmän “avain”, siirretään koko yritysturvallisuus sen pehmeimmän lenkin varaan, eli ihmiseen. Ihminen ei ole turvallisuuden heikko lenkki, vaan pehmeä lenkki: se ei murru yhdestä tunnetusta heikkoudesta, mutta se antaa periksi kovan paineen alla. Tällä hetkellä suosituin tapa murtaa monivaiheinen tunnistus on niin sanottu “väsytyshyökkäys” missä käyttäjille lähetään sadoittain laittomia tunnistuspyyntöjä siinä toivossa, että joku väsyy viesteihin ja vastaa tunnistuspyyntöön (https://www.csoonline.com/article/3674156/multi-factor-authentication-fatigue-attacks-are-on-the-rise-how-to-defend-against-them.html). Hyökkääjälle yksi vastaus riittää koska sitten hänellä on avain yrityksen salasanoilla heikosti suojattuun ympäristöön.
Aito salasanattomuus tarkoittaa sitä, että käyttäjätunnistus perustuu aidosti suojattuun menetelmään, missä ei luovuteta, välitetä tai tallenneta tunnistustietoa verkon yli ja missä tunnistusjärjestelmät eivät sisäisesti valtuuta käyttäjän pääsytietoja salasanapohjaisesti. Ainoastaan FIDO2 ja muut julkisen avaimen varmenneteknologiat kuten SpearID FIDO2, SpearID-kortit ja SpearID Mobile ovat aidosti salasanattomia ratkaisuja. Mitä muita näkökulmia tämä kirjoitus nostaa mieleen? Ota yhteyttä meidän asiantuntijoihimme niin jutellaan, miten aito salasanattomuus toteutetaan teidän yrityksessänne!