Onko monivaiheisesta tunnistuksesta tullut turvallisuusriski?
Olemme käsitelleet useaan otteeseen sitä, mikä tekee käyttäjän tunnistuksesta aidosti turvallista ja mikä on vikana yleisesti käytetyissä tunnistusmenetelmissä. Meistä toki tämä kysymys on aina kiinnostava, mutta muiden mielestä voi vaikuttaa, että tässä taas yksi tietoturvafirma saivartelee ja halkoo hiuksia jonkun teknisen yksityiskohdan osalta, jolla ei oikeasti ole merkitystä isossa kuvassa. Kansainvälisesti uutisoidut hienostuneet tietomurtohyökkäykset, kun eivät koske minua tai meitä suomalaisia ylipäänsä – vai miten se menikään?
Viime kesä antoi kaikille tietomurtouutisointia tarkkaileville kuitenkin aivan uutta pureskeltavaa. Huomasimme nimittäin uuden trendin, että suositut monivaiheiset tunnistusratkaisut eivät tarjoakaan suojaa hyvin suunnitelluilta ja toteutetuilta hyökkäyksiltä. Lukuisat tunnetut yritykset raportoivat tietomurroista. Suomalaisen Wolt-palvelun omistava Doordash ja suuri matkapuhelinoperaattori T-Mobile kuuluvat niiden yritysten joukkoon, joiden järjestelmiin on murtauduttu hyväksikäyttämällä moniosaisen mobiilitunnistuksen heikkouksia. Tunnettu tietoturva-asiantuntija Brian Krebs onkin jo ehtinyt toteamaan, että kertakäyttöisistä tunnistus- ja vahvistuskoodeista on jo tullut riski yrityksille (https://krebsonsecurity.com/2022/08/how-1-time-passcodes-became-a-corporate-liability/). Mistä riskistä on siis kyse? Riskiä vois verrata siihen, että käytössään on pelastusliivit, jotka eivät kellu, vaan painuvat pohjaan heti kun liivien kantaja joutuu veden varaan.
Hyökkäyksille heikot tunnistusratkaisut ovat petollisen vaarallisia koska yrityksen riskienhallinta ja riskien ymmärrys on vaarallisesti vinoutunut luottamaan moniosaisen salasanattoman tunnistuksen näennäisesti korotettuun turvatasoon. Mikä sitten on vikana näissä käytetyissä tunnistusmenetelmissä? Näitä yhdistää sama tekijä ja heikkous: ne ovat kaikki taustaltaan salasanapohjaisia. Aidosti salasanattomat ratkaisut kuten FIDO2 ja muut julkisen avaimen menetelmät kuten SpearID älykortit sekä USB-avaimet, ja varmennepohjainen mobiilitunnistus SpearID Mobile, eivät välitä tunnistustietoja verkon yli, eivätkä ne anna tunnistukseen tarvittavaa yksityistä avainta kenenkään näkyviin. Yksinkertaistetusti, aidosti salasanaton ratkaisu ei tarjoa mitään varsinaista tietoa käyttäjälle tai hyökkääjälle, mitä voisi hyväksikäyttää tietämättään tai tahallaan tietomurtoa varten.
Yleisten ja suosittujen monivaiheisen tunnistuksen menetelmien heikkoudet ovat avanneet monien silmät siihen, että käyttäjien tunnistusta pitää vahvistaa aidolla salasanattomalla menetelmällä. Tunnetuista toimijoista mm. Twitter ilmoitti jo kaksi vuotta sitten, että heidän kaikki työntekijänsä käyttävät ainoastaan FIDO2-avaimia kirjautuessaan yrityksen palveluihin. Tämä trendi on nyt nousussa muissakin yrityksissä, mutta valitettavan hitaasti. Aikaa ei ole enää hukattavana vaan haasteeseen pitää vastata nyt heti. SpearID FIDO2 on valmiina vastaamaan tähän haasteeseen nyt.