Salasanasi vanhenee 5 päivän päästä, viimeisen kerran
Kuinka monta kertaa olet saanut ”salasanasi vanhenee viestin” ja joka kerta mukana tulee ohje, joka jo lukiessa uuvuttaa. Esimerkiksi, että salasana on voimassa 90 päivää, ja sen tulee olla kaksi merkkiä pidempi kuin edellisen ja salasanan tulee sisältää vähintään viisi erikoismerkkiä, jotka eivät saa olla samoja, isoja ja pieniä kirjaimia ja nekään eivät saa olla samoja ja sitten vielä ainakin 5 numeroa ja tietenkään se ei saa muistuttaa edellistä salasanaa, tai siinä pitää olla vaikkapa eri merkkejä 60 % kuin edellisessä. Tämän sijaan – miltä kuulostaisi, jos salasanasi eivät enää vanhenisi tai ne voitaisiin poistaa kokonaan? Toki saaden samalla niiden tilalle muutoinkin paremman ja turvallisemman tavan toimia?
Olemme viime vuosina saaneet lukea kirjoituksia ja uutisia siitä, miten salasanat ovat poistumassa. Asiaa on ennakoitu ja siihen on valmistauduttu, mutta nyt lopultakin se päivä näyttää koittavan – salasanoista päästään eroon! Kyse on laajasta ja syvältä kumpuavasta trendistä, mutta lienee selvää kun Microsoftin kaltainen jätti päättää tehdä lopun salasanoista, on muutos aidosti tapahtumassa (https://www.microsoft.com/security/blog/2022/05/05/this-world-password-day-consider-ditching-passwords-altogether/).
Microsoft on tukenut käyttäjien vahvaa tunnistusta omissa järjestelmissään jo toistakymmentä vuotta ja Windows sekä Active Directory -salasanatunnistuksen on voinut korvata varmennekortilla tai USB turva-avaimella ilman erillisiä client-sovelluksia tai sovellusintegraatioita. Meillä on vankka kokemus korttikirjautumisesta ja sen sisällyttämisestä mm. Microsoft-järjestelmiin ja vuosittain me toimitamme satojatuhansia sirukortteja juuri tähän tarkoitukseen, mutta siltikään salasanoista ei olla päästy eroon. Voidaan todeta, että salasanaton kirjautuminen on todellisuutta vasta sitten kun sen käyttöönotto & käyttö kaikissa tilanteissa on niin helppoa, ettei se edellytä käyttäjältä vaivannäköä, eikä IT-hallinnolta ylläpidettävää asennettavaa. Nämä vaatimukset täyttyvät FIDO Allianssin luomalla FIDO ja WebAuthn -tunnistuksella, joka on tuettu kaikkialla muuallakin kuin pelkästään Microsoft-alustoilla.
Salasanaton kirjautuminen voi kuitenkin olla huono ratkaisu kahdessa erityistilanteessa:
- Käytettävyyskysymys: Jos tunnistusavain ei ole mukana tai käytettävissä. Esimerkkeinä voisi olla, vaikka jos suojausavain on kateissa tai mobiilitunnistussovellus (Mobile MFA) ei pääse linjalle tai puhelimen akku on tyhjä;
- Tietoturvakysymys: Mikäli käytössä on kertakäyttöisiin salasanoihin perustuva autentikointi puhelinsovellus. Tällaisen avulla myös mahdollisesti verkkorikollinen houkuttelee käyttäjän kirjautumaan valesivustolle, jonka jälkeen käyttäjätili ja siihen linkitetyt muut verkkopalvelut ovat kaikki yhdellä kertaa varkaan käsissä.
Muitakin erityistilanteita on toki olemassa, mutta nämä kaksi ovat siinä mielessä merkittävät, että ne tuovat esiin kaksi tärkeintä syytä miksi salasanaton kirjautuminen askarruttaa yhä. Ensimmäinen syy on, että jos kaikki tunnistustilanteet viedään salasanattomiksi, riski siitä, että käyttäjä sulkee itsensä vahingossa ulos omista tileistään, on todellinen. Toinen syy on, jos kaikki salasanattoman tunnistuksen taakse tuodut sovellukset ja verkkopalvelut ovat yhden avaimen takana niin riski kasvaa, että verkkorikollisen kiinnostus sekä onnistuneen tilinkaappauksen vahingollisuus kasvavat moninkertaisiksi. Tämä lisää samalla hyökkäyksen todennäköisyyden riskiä ja pelottavuutta. Riskien osittaiseen hallintaan toki palvelun tarjoajat ovat luoneet prosessit, joilla käyttäjä kykenee palauttamaan tilit itselleen – mutta prosessin läpivienti on hidasta.
Uhka näiden kahden esitetyn käytettävyys- ja tietoturvariskin toteutumiselle on aito ja riskit tulee ratkaista. Ratkaisuvalikoima voi olla hyvin laaja, mutta jo yksi ratkaisu riittää vastaamaan tehokkaasti näihin uhkakuviin: siirtyminen FIDO-tunnistukseen usealla eri välineellä. Miten tämä tarkoittaa käytännössä:
- Jokaiselle suojattavalle käyttäjätilille asetetaan vara FIDO-avain, jolloin käytössä on aina useampi vaihtoehto. Windows-työasemalla tämä voi tarkoittaa Windows Hello-palvelua, web-palveluissa PC-työasemaan tai älypuhelimeen sisäänrakennettua FIDO-avainta tai erillistä henkilökohtaista FIDO-suojausavainta. Suojausavain on näistä helpoin sen kulkiessa aina mukana, vaikkapa avainperään kiinnitettynä (esim. SpearID FIDO2 Pro).
- Vältetään käyttämästä sellaisia MFA (Multi-Factor Authentication) mobiilisovelluksia, jotka eivät aidosti suojaa verkkokalastelulta ja valesivustohyökkäyksiltä. Näitä ovat käytännössä kaikki sellaiset MFA-mobiilisovellukset, joissa on vaihtuva salasana tai jotka edellyttävät käyttäjää syöttämään jokin puhelimen näyttämä koodi verkkoselaimeen. Tällaiset ratkaisut eivät tehokkaasti estä käyttäjää antamasta vahingossa salaista tunnistuskoodiaan sivullisille tai rikollisille. Ainoa helppokäyttöinen menetelmä, joka suojaa tässäkin tilanteessa on FIDO-avain. Web-palveluissa FIDO-tunniste voi olla PC-työasemaan tai älypuhelimeen sisäänrakennettu FIDO-avain ja erillinen FIDO-suojausavain kuten SpearID FIDO2 Pro.
Salasanattomuus on oikea ratkaisu lähes kaikkiin tunnistustilanteisiin ja oikeilla työkaluilla salasanaton tunnistus on sekä turvallista, että luotettavaa niin tietoturvan kuin käytettävyydenkin kannalta.
Spear Innovations tarjoaa useita teknologioita vahvaan salasanottomaan tunnistukseen. SpearID FIDO2 Pro on ideaali ratkaisu yrityksille ja yksittäisille käyttäjille, jotka hallinnoivat itse omia käyttäjätilejään työasemillaan ja verkkopalveluissa, tai sellaisille yritysorganisaation käyttäjille, jotka tarvitsevat helpon, nopean ja hyvin edullisen tavan suojata verkko- ja pilvipalvelutilinsä.
SpearID FIDO2 Pro on tuote, joka on suunniteltu turvallisuus ja käytettävyys edellä. Suunnittelussa on mietitty ennen kaikkea käyttäjän turvallisuutta ja sen käyttäjän salaisuuksien turvaamista. SpearID FIDO2 Pro on jokaiselle, joka haluaa käyttää korkealaatuisia tuotteita järjestelmiin autentikoinnissa.