Salasanaton maailma – Vahvan tunnistuksen ABC, osa 1

 

Käyttäjätunnus & Salasana pari konseptoitiin 1960-luvulla ratkaisuksi useamman kuin yhden käyttäjän järjestelmään. Vuosina 1961-1973 tämä käytännössä tarkoitti yhtä tietokonetta, jota MIT operoi kampuksellaan. Aikaa tuosta onkin vierähtänyt jo melkoisesti ja tietokoneiden käyttö ja laskentateho noussut aivan arvaamattomiin tasoihin. Nykypäivänä käyttäjillekin alkaa olla jo tuttua, kuinka haavoittuvainen käyttäjätunnus & salasana pari on. Tokihan vuosien saatossa tätä kirjautumismuotoa on yritetty muuttaa turvallisemmaksi erilaisin purkka ja teippivirityksin, mutta päivitykset ovat tuoneet vain hetkellisen helpotuksen ongelmaan.

Ensin ajateltiin, että sähköpostiin voidaan lähettää kertakäyttöinen salasana palvelun suojaksi, mutta sitten käyttäjien sähköpostit hakkeroitiin. Tämän jälkeen päätettiin lähettää salasanat suoraan käyttäjien kännykkään SMS-viestillä, mutta suojaamattoman viestin ongelmien lisäksi osassa palveluista sen saattoi lisäksi uudelleenohjata väärään numeroon. Seuraavaksi todettiin turvallisemmaksi soittaa (usein automatisoitu) puhelu suoraan käyttäjälle, jolloin löytyi vielä hakkerointikohteeksi puhelinvastaajat ja niiden yksinkertaiset salasanakäytännöt. Sähköpostein ja lisäviestein tehdyt ratkaisut eivät tuota haasteita hakkereille, eivätkä ole enää tätä päivää.

Osalle hereillä olleista yrityksistä on kymmenisen vuotta sitten myyty 2FA, eli Second Factor Authentication (välillä myös purettu muotoon Two Factor Authentication). Tarkoittaen esimerkiksi pöytä- ja kannettavan tietokoneen kanssa käytössä olevaa 2FA USB-tikkua, joka on toki huomattava parannus vanhaan, mutta entä jos käyttäjä tarvitsee saman palvelun puhelimensa kanssa? Mobiililaitteistamme kuitenkin tänä päivänä löytyy todella paljon kriittistä ja suojauksen tarvitsevaa tietoa. Käytännössä USB-A muotoisen 2FA-tikun kiinnittäminen puhelimeen on usein haasteellista. Mainittakoon myös, etteivät 2FA-laitteet ole millään tapaa myöskään kustannustehokas ratkaisu, siis helppous tai käytännöllisyys eivät ole hyviä sanoja kuvaamaan 2FA:ta. Hyvän ja luotettavan tunnistusvälineen ei tarvitse olla kallis ratkaisu.

Osa käyttäjäkunnasta on vakaasti sitä mieltä, että kortit ovat vanhanaikaisia ja ovathan he tavallaan oikeassa, sillä mobiilisovellus optioita on tullut markkinoille kiihtyvää tahtia. Haasteelliseksi tilanne muuttuu, kun henkilökortti pitäisi tehdä mobiilisovellukseksi – tällaisessa tilanteessa törmäämme aivan uusiin ongelmiin, joiden parhaaksi ratkaisuksi usein selviää fyysisen henkilökortin ja mobiilisovelluksen symbioosi.

Älykortti (henkilökortti tai oikeammin java-kortti) on alustaratkaisu, jonka ensimmäiset askeleet otettiin 1970-luvulla. Vuosien aikana se on kehittynyt samaa tahtia tietokoneiden kanssa ja korttien standardia vaatimuksineen onkin päivitetty ahkerasti. Kortin käyttöön liittyvän bugin tai heikkouden tullessa esiin (esim. lehdistössä uutisoitu Viron eID kortti-case) tarkistetaan ensin onko bugi sellainen, joka vaikuttaa sertifiointiin ja standardiin. Mikäli havaitulla heikkoudella on näihin vaikutusta, niin kortit vaihtuvat uusiin tai vanhan kortin turvallisuutta päivitetään uudistetuin toimintatavoin – esimerkiksi kortin tuottamisessa. Viron eID-kortin tapauksessa ongelma vaikutti sertifikaattien luotettavuuteen, joten kaikkien piti päivittää kortin sertifikaatti.

Tunnistamiseen suunniteltu mobiilisovellus ja monimuotoiset markkinoilla olevat ratkaisut – joissa ”turvallisuus” on rakennettu käyttäjätunnus & salasana parin varaan – ovat pääosin heikkoja (riippumatta siitä onko käytössä kaksivaiheinen tunnistus vai ei). Toinen tunnistuksen vaihe lisää joissakin tapauksissa turvallisuutta, mutta ei merkittävästi sähköposti- tai SMS-toteutusten välityksellä. Varmemman tietoturvan omaava FIDO-token olisi periaatteessa toimiva, mutta sekään ei oikeastaan kerro kuin oletuksen siitä kuka sitä käyttää ja kenen tiliin se on liitetty.  Sen sijaan vahva tunniste sidottuna yrityksen työntekijän identiteettiin luo ratkaisun, jossa yritys voi aukottomasti luottaa henkilön tunnistamiseen. Vahvan tunnistuksen etuihin ja faktoihin palataan tarkemmin vielä tulevissa ”Vahvan tunnistuksen ABC”:n osissa.

Spear Innovations tarjoaa vahvan tunnistuksen ratkaisuja, jotka voi ottaa käyttöön suoraan paketista ulos ottamisen jälkeen. Ratkaisu toimii useissa käyttökohteissa mm. kirjautuessa tietokoneelle (Windows, Linux, Mac), VPN yhteyden muodostamisessa, yrityksen Intranettiin tai ERP-toiminnanohjausjärjestelmään kirjautuessa (SAP, Odoo, Oracle ERP, MS Dynamics, jne.) – kaikki vain sillä, että kerran kirjaudut vahvalla tunnisteella tietokoneellesi. Ratkaisun lisäominaisuuksia käyttöönottamalla sen toimimaan myös työpaikkasi kulunvalvonnassa tai vaikkapa ruoka-automaatilla, kopiokoneella, varastotrukilla/päätteellä tai missä tarve tunnistamiseen sitten löytyykin.

Helppokäyttöinen sähköinen tunnistaminen on modernin ja ajan kanssa kehittyvän yrityksen kivijalka. Näin yritys huolehtii siitä, että yrityksen työntekijät ovat oikeasti suojattu nykyajan monenlaisia hyökkäyksiä vastaan. Kun yritys huolehtii omista työntekijöistään, niin samalla yritys todistettavasti varmentaa sen ketkä käyttävät yrityksen verkkoa tai jos tunnistetta käytetään kulun valvonnassa, niin yritys on varmuudella tietoinen siitä, kuka kulkee toimipaikalla ja milloin. Lienee sanomattakin selvää, että ratkaisut täyttävät kaikki GDPR-vaatimukset ja suositukset tunnistuksen ja suojautumisen suhteen.

Millainen on vahva tunnistaminen tai henkilökortti? Vahva tunnistaminen tarkoittaa, että henkilön henkilöllisyys voidaan tunnistaa sähköisessä asioinnissa. Tunnistepalveluiden säädökset säädetään laissa, joten mikä tahansa ratkaisu ei kelpaa sähköiseksi tunnisteeksi. Tähän ei kelpaa esimerkiksi ratkaisu, jossa kortin tai tunnisteen pintaan on tulostettu henkilön nimi ja kuva ja kortti vain tarjoilee ennalta määriteltyä numerosarjaa kaikille vastaantuleville lukijalaitteille. Tämäntyyppisen kortin (tai kulkuavaimen) väärentäminen on nykypäivänä niin vaivatonta, että sen voi tehdä suoraan ohikulkevan henkilön taskusta edes näkemättä itse tunnistetta. Korttitulostimia löytyy verkkokaupoista, joten kuvallinenkaan kortti ei todista mitään ilman vahvaa tunnisteta älykortin sirulla. Lisäksi ilman vahvaa tunnistetta kortti ei todista, että kyseessä on juuri se henkilö, jolle tunniste on myönnetty.

Vahva sähköinen tunniste voi perustua teknisesti eri menetelmiin. Yhteistä menetelmille on se, että niissä käytetään vähintään todentamistekijää ja dynaamista todentamismekanismia. Tähän voidaan käyttää esimerkiksi varmennetta ja niihin palataankin tarkemmin tulevissa kirjoituksissa.

Herättikö kirjoitus ajatuksia siitä, kuinka helppoa vahva tunnistaminen voi olla? Asiantuntijamme kertovat mielellään lisää ja antavat halutessasi myös nopeasti toteutettavan ja helppolukuisen proof-of-concept tarjouksen juuri sinun tunnistustarpeisiisi.