Salasanaton tulevaisuus – liian hyvää ollakseen totta?

Lena Wadström- Ekblom

Kuvituskuva ja EU-lippu

Unohditko salasanan? Kuinka monta kertaa oletkaan klikannut tuota kirjautumissivulla olevaa linkkiä. Luultavasti harva se päivä. Totuus on se, että meillä on iso määrä salasanoja muistettavana. Jokaiseen sovellukseen pitäisi luoda eri salasana ja ne pitäisi kaiken lisäksi vielä muistaa. Lapullekaan ei saisi niitä kirjoitella. Hankalaa ja turhauttavaa monen mielestä.

MTV uutiset listasi vuoden 2022 marraskuussa maailman yleisimmät salasanat. Kauan kärkeä pitäneen suosikin “123456” oli ohittanut sana “password”. (Niiniaho 2023.) Molemmat varsinaisia hakkereiden unelmia. Vaikka yleisimpien salasanojen lista näyttää vuosi vuoden jälkeen samalta ja salasanojen käyttöä on paljon kritisoitu, käyttäjätunnus ja salasana on edelleen tärkein tunnistautumismenetelmä (Furnell 2022).

Käyttäjiä usein syyllistetään huonon salasanan valitsemisesta. Harva sivusto kuitenkaan opastaa hyvän salasanan luomisessa, ainakaan kovin syvällisesti. Saatetaan todeta, että hyvä salasana on kahdeksan merkkiä pitkä ja sisältää erikoismerkkejä. (Furnell 2022.) Kahdeksan merkkiä saattaa hyvinkin olla ”12345678“, joten neuvona tämä ei ole kovin kummoinen. Toisaalta voi todeta, että jokainen on vastuussa omasta tietoturvastaan ja siten myös velvollinen selvittämään, minkälainen on hyvä salasanakäytäntö. Kuitenkin jo pelkästään salasanojen määrästä ja ehkä myös ajan puutteesta johtuen moni varmasti tuntee hukkuvansa salasanojen valtamereen ja valitsee helpoimman tien, eli joko valitsee salasanan, joka on tyyppiä ”123456”, tai kirjoittaa salasanansa Post it -lapulle, jonka kiinnittää näyttöpäätteelle. Tai, jos ei muuta, käyttää samaa salasanaa useammassa palvelussa.

Salasanaton tunnistautuminen on kuitenkin tulossa. Esimerkiksi käytettäessä biometristä tunnistautumista, kuten sormenjälki- tai kasvojentunnistusta, salasanaa ei aina tarvita. Salasanojen turvallisuutta lisäämään on myös tarjolla erilaisia salasanojen hallintaohjelmia, joita käytettäessä yhden salasanan muistaminen riittää. Toinen turvallinen vaihtoehto on monivaiheinen tunnistautuminen.

Google, Apple ja Microsoft tarjoavat tämän lisäksi myös salasanattoman vaihtoehdon, ns. salausavaimen (passkey). Apple käyttää suomeksi nimitystä pääsyavain. (Sonerva 2023).

Salausavain on Fido alliancen kehittämä standardi, jonka Apple, Google ja Microsoft ovat ottaneet käyttöönsä (Sonerva 2023). Salausavaimen idea on, että käyttäjä kirjautuu palveluihin käyttäen puhelintansa ja siinä olevaa biometristä tunnistautumistekniikkaa. Salausavaimet perustuvat avainparin käyttöön. Kun käyttäjä rekisteröityy uuteen palveluun, luodaan uniikki avainpari. Toinen on julkinen avain ja toinen on yksityinen ja molempia avaimia tarvitaan kirjauduttaessa sovellukseen. Julkinen avain tallennetaan palveluun tai sovellukseen, johon käyttäjä on rekisteröitymässä, kun taas toinen, yksityinen avain, tallentuu puhelimeen.  Tämän jälkeen avainparin oikeellisuus tarkistetaan pyytämällä käyttäjää tunnistautumaan puhelimellaan aina käyttäjän kirjautuessa uudestaan palveluun. Käytännössä tämä tarkoittaa sitä, että puhelimen on aina oltava mukana, kun haluaan kirjautua eri palveluihin.  (Räty 2023.).

Salausavaimen turvallisuus perustuu osittain siihen, että sen murtamiseksi täytyy saada käsiinsä fyysinen laite, jolla yksityinen avain on, esimerkiksi puhelin, ja toisaalta siihen, että salasanan puuttuminen suojaa   kalasteluyrityksiltä. Koska salasanaa ei ole, sitä ei tietenkään pysty arvaamaan tai varastamaan. (Mandal 2023.) Käyttäjäkokemus paranee, koska käyttäjän ei tarvitse muistaa salasanoja ja häntä ei enää velvoiteta keksimään vahvoja salasanoja (Sonerva 2023).

Salausavaimilla on toki myös heikkoutensa. Furnell (2022) epäilee artikkelissaan, että käyttäjän saama opastus avaimien käyttöön jää yhtä ohueksi kuin salasanojen kohdalla. Tosin salausavaimen käyttö perustuu pitkälti palvelujen itse luomiin avaimiin, joten kovin monessa kohdassa ei pitäisi olla mahdollista harhautua.

Fyysisen laitteen tarve voi myös olla este salausavainten käyttöönottoon. Käyttäjällä on aina oltava puhelin mukanaan, mikä saattaa vähentää käyttäjien halukkuutta siirtyä salausavainten käyttöön. (Haskell-Dowland & Furnell 2022.) Kaikki sivustot eivät myöskään tue salausavaimen käyttöönottoa, joten niiden käyttö ei aina ole sujuvaa. Salausavainten yleinen käyttöönotto nopeutuisi, jos mahdollisimman monta palvelua käyttäisi sitä oletusarvona käyttäjän rekisteröityessä. (Furnell 2022.)

Salasanojen turvallisuus kärsii lähinnä inhimillisen tekijän takia ja salausavaimet vähentävät tätä riskiä. Salausavain on varmasti turvallisempi vaihtoehto kuin salasanat, mutta kuinka paljon turvallisempi kuin monivaiheinen tunnistautuminen? Jää nähtäväksi, miten hyvin salausavaimet vastaavat tietoturvan vaatimuksiin tulevaisuudessa.

Lähteet

Furnell, S. 2022. Assessing website password practices – Unchanged after fifteen years? Computers and Security, 120. Saatavissa: https://doi.org/10.1016/J.COSE.2022.102790. Viitattu: 23.5.2023.

Haskell-Dowland, P. & Furnell, S. 2022. Apple’s PassKeys update could make traditional passwords obsolete. Saatavissa: https://theconversation.com/apples-passkeys-update-could-make-traditional-passwords-obsolete-188300. Viitattu: 23.5.2023.

Mandal, S. 2023. What are passkeys? A cybersecurity researcher explains how you can use your phone to make passwords a thing of the past.  Saatavissa: https://theconversation.com/what-are-passkeys-a-cybersecurity-researcher-explains-how-you-can-use-your-phone-to-make-passwords-a-thing-of-the-past-196643.  Viitattu: 22.5.2023.

Niiniaho, E. 2023. Tässä ovat maailman yleisimmät salasanat – ”Voi murtaa alle sekunnissa”. MTVuutiset.  Saatavissa: https://www.mtvuutiset.fi/artikkeli/loytyyko-omasi-listauksesta-tassa-ovat-maailman-yleisimmat-salasanat-voi-murtaa-alle-sekunnissa/8571608#gs.yeuv8t.  Viitattu: 23.5.2023.

Räty, P. 2023. Passkey-menetelmän tärkeimmät standardit. Mikrobitti 1/2013.  Saatavissa: https://www.mikrobitti.fi/uutiset/salasana/887f90ad-a949-41a9-9b73-a135cf71bc5b.  Viitattu: 25.5.2023.

Sonerva, A. 2023. Google, Apple ja Microsoft sopivat salasanattomasta tulevaisuudesta. Tivi 24.1.2023.  Saatavissa: https://www.tivi.fi/uutiset/apple-google-ja-microsoft-aikovat-tehda-salasanoista-tarpeettomia-mutta-mita-riskeja-kirjautumisavaimiin-liittyy/965c5f0c-d923-4e6c-964b-c4cc2473700e.  Viitattu: 23.5.2023.

Lena Wadström-Ekblom
Projektiassistentti
Centria-ammattikorkeakoulu
p. 050 340 5728

Kirjoittaja toimii projektiassistenttina Horizon 2020 -rahoitteisessa Sifis-Home-hankkeessa, jossa tutkitaan älykotien tietoturvaa.

Facebooktwitterlinkedinmail