2019-06-04

PasswordLess tulee! Mitä se tarkoittaa?

Microsoftin seuraava iso juttu on kirjautuminen salasanattomasti tietokoneelle ja palveluihin. Tästä on huomattavia etuja loppukäyttäjälle, kun ei tarvitse enää muistaa salasanaa ja vaihtaa sitä pahimmillaan kuukausittain. Huomattavana lisäetuna käyttäjältä on mahdotonta saada käyttäjätunnusta ja salasanaa erilaisilla hyökkäyksillä, koska niitä loppukäyttäjällä ole tiedossa.

Joonas Simolin Technical Consultant

Sinänsä mistään täysin uudesta asiasta ei ole kyse, koska salasanatonta kirjautumista on voinut tehdä jo pidemmän aikaa erilaisilla menetelmillä, kuten älykortit, magic-linkit (useasti salasanan resetoinnissa käytetty) jne. Microsoft tuo sisäänrakennetun tuen erilaisille menetelmille toteuttaa salasanatonta kirjautumista.

Windows Hello on salasanattomassa kirjautumisessa avainasemassa henkilökohtaisilla koneilla ja Windows 10 (versio 1809) tukee jo Edge-selaimessa suoraan Windows Hello -kirjautumista palveluihin, jos palvelu sitä itsessään tukee. (Myös muut selaimet/järjestelmät tukevat tätä jatkossa: https://fidoalliance.org/fido2/) Useille Microsoftin omille sivuille pystyy jo kirjautumaan Windows Hello -kirjautumisella syöttämättä salasanaa. Kirjautuminen pitää olla vain kytketty päälle omasta Microsoft-tunnuksesta. Azuren yritysportaaliin (myapps.microsoft.com) on voinut ottaa käyttöön salasanattoman kirjautumisen Microsoft Authenticator -sovelluksen kautta, jos yritys on määritellyt Preview-tilassa olevan ominaisuuden päälle Azuresta. Tämä mahdollistaa käyttäjän kirjautumisen palveluun suoraan puhelimen kautta valitsemalla Authenticator-sovelluksesta ruudulla näkyvä numero kuittauksena kirjautumiselle.

Windows Hello on toimiva kirjautumismalli, jos loppukäyttäjällä on henkilökohtainen tietokone. Käyttäjä voi kirjautua koneelle ja palveluihin erilaisilla biometrisillä tunnistella, kuten kasvotunnistuksella, sormenjäljellä tai käyttämällä henkilökohtaista PIN-koodia kirjautumisen yhteydessä. Yhteiskäytössä oleville koneille taas on olemassa erilaiset kirjautumis-tokenit (Esim. USB-älykortti) . Tokeneihin on voitu integroida esimerkiksi sormenjälkilukija, jolloin käyttäjä avaa kortin sormenjäljellä tai syöttämällä PIN-koodin, minkä jälkeen voidaan valita kortilta käytettävä käyttäjätunnus. Yhdellä kortilla voi olla useita käyttäjätunnuksia tallennettuna, jos halutaan helposti käyttää eri tasoisia tunnuksia tai eri palveluita eri tunnuksilla.

Yritykselle salasanaton kirjautuminen tuo huomattavat edut, kuten kesälomien jälkeen unohtunut salasana, kun loppukäyttäjän ei tarvitse jatkuvasti vaihtaa salasanoja ja muistaa sitä. Loppukäyttäjän tarvitsee muistaa vain henkilökohtainen PIN-koodi, jota ei tarvitse vaihtaa jatkuvasti.

Salasanojen vaihtamisen taustalla on ollut ajatus, että salasana on syystä tai toisesta johtunut vääriin käsiin 1-2 kuukauden aikana ja siitä syystä se varmuuden vuoksi halutaan vaihtaa. Useimmat loppukäyttäjät käyttävät samaa käyttäjätunnusta ja salasanaa kaikissa käyttämissään palveluissa ja jos joku sivustoista on hakkeroitu, niin kaikkiin palveluihin pitäisi taas vaihtaa salasana jne. Lisäksi monet käyttäjät syöttävät kyseiset tunnukset esimerkiksi erilaisiin kyselyihin, arvontoihin, ilmaiseen WLANiin jne.

Tokenin/Windows Hellon käyttö on huomattavasti turvallisempaa, vaikka kirjautuminen edellyttää vain 4-6 merkkistä numerosarjaa (PIN-koodi), koska kyseistä PIN-koodia voidaan käyttää vain kyseisen tietokoneen tai tokenin kanssa. Menetelmä on sama kuin mitä luottokorttien kanssa käytetään.

On kuitenkin tärkeää, että jatkossa kortit ovat jollain tavalla hallittavissa ja tieto korteista ja käyttöoikeuksista on keskitetysti hallittavissa. Silloin kortin kadotessa se voidaan helposti poistaa käytöstä. Lisäksi PIN-kooditkin saattavat unohtua ja niiden hallintaan pitää olla työkalut ja prosessit mietittynä, jotta näissä tilanteissa pystytään toimimaan tietoturvallisesti ja kustannustehokkaasti.

Atea on toteuttanut jo pitkään erilaisia tietoturvallisia kirjautumistapoja ilman salasanoja, mutta yleensä niiden on ajateltu olevan vain viranomaisten ja sairaaloiden etuoikeus. Nyt Microsoft mahdollistaa jatkossa helpommin erilaisten tietoturvallisten kirjautumismenetelmien käytön ja tekee siitä jatkossa Windows 10:n version 1903 myötä mahdollisen jokaiselle organisaatiolle.

Salasanojen aika on ohi. Oletko valmis muuttamaan oman organisaatiosi salasanattomaksi?