Pitkä, vaikea ja monimutkainen salasana, tämä on ollut hyvin keskeinen viesti IT-ammattilaisten suunnalta jo vuosia. Nyt on alettu puhumaan salasanattomasta kirjautumisesta ja tietokoneelle olisikin parempi kirjautua lyhyellä PIN-koodilla, kuin kunnon salasanalla. Mitä ihmettä, mikä tässä ei nyt täsmää?
On aivan totta, että monimutkainen salasana on ollut suojauksen yksi tärkeimmistä asioista. Ja on myös totta, että tämä asia on muuttumassa, tai käytännössä se on mahdollista muuttaa. Salasanaton kirjautuminen on teknisen kehityksen tulosta, tämä ei ole ollut aiemmin mahdollista. Tämä on tärkeä ja myös hyvä muutos, tietoturvan osalta tilanne paranee ja samalla käyttäminen helpottuu.
Salasanan käyttämiseen liittyvä keskeisin huoli on ollut sen riittävä monimutkaisuus. Samalla kun monimutkaisuuden ja salasanan vaihtumisen yhdistelmällä on parannettu tietoturvaa, on käyttäminen ollut vaikeaa. Salasanojen vaihtuminen ja monimutkaisuus on hyvin usein johtanut tietoturvan kannalta epätoivottuihin ratkaisuihin. Salasanoja on tallennettu erilaisiin sijainteihin ja niitä on kierrätetty tai käytetty samoja eri järjestelmien välillä, eli käytäntö on pakottanut meitä toimimaan tietoturvan kannalta huonommin. Tähän voidaan nyt vastata salasanattomalla kirjautumisella.
Salasanattomuuden on mahdollistanut monivaiheinen tunnistautuminen (Multi-Factor Authentication, MFA). Tämä on selvä parannus pelkän salasanan käyttämiseen. Salasanan lisäksi käytetään jotain muuta menetelmää. Yleinen periaate kirjautumisessa on kolmijako, tunnistautuminen tehdään käyttämällä kahta seuraavista:
- jotain mitä tiedän (esimerkiksi salasana)
- jotain mitä minulla on (esimerkiksi tietty laite)
- jotain mitä minä olen (esimerkiksi sormenjälki)
Salasanaton kirjautuminen hyödyntää tätä periaatetta ja vie sen teknisesti hiukan pidemmälle. Alla olevaan kuvaan on kerätty erilaisten tunnistautumismenetelmien mahdollisuuksia.
Kuinka salasanaton tunnistautuminen voi olla tietoturvallisempi? Otetaan esimerkiksi Windows Hello, jolla kirjaudutaan laitteelle. Laitteelle asetetaan tekniikan mahdollistamana erilaiset kirjautumistavat. PIN-koodi pitää asettaa aina, sormenjälki ja kasvontunnistus riippuu laitteen teknisistä ominaisuuksista. Tämä tunnistautuminen liitetään vain tiettyyn laitteeseen. Sama kirjautuminen ei onnistu jollakin toisella laitteella. Tunnistussovelluksen käyttäminen (esimerkiksi Microsoft Authenticator) salasanattomassa kirjautumisessa toimii samalla periaatteella. Tietyllä valtuutetulla laitteella voidaan tunnistautua ja kirjautua palveluun. Tunnistautumiseen täytyy päästä kirjautumaan tietylle laitteelle ja siinä olevaan Authenticator sovellukseen.
Salasanattoman kirjautumisen osalta käytössä on myös ehdolliseen pääsynhallintaan liittyviä käytäntöjä. Lisätunnistautumisen käytännöt ja muut asetukset mahdollistavat tietoturvan ja käytettävyyden varmistamisen aivan uudella tavalla. Tällä kertaa hyödyt ovat saatavilla molempiin.