Insinööri-lehti

Salasanat saa pian luvalla unohtaa

Käyttäjätunnus ja siihen kytketty salasana ovat olleet tapa tunnistautua erilaisiin palveluihin jo vuosikymmenien ajan. Meille on opetettu, että salasanojen tulee olla mahdollisimman pitkiä, monimutkaisia ja ainutlaatuisia, eikä samaa salasanaa tule käyttää useammassa palvelussa. Lisäksi salasanoja tulee vielä vaihtaa uusiin tasaisin väliajoin, usein järjestelmien automaattisesti pakottamana.

Teoriassa tämä tapa toimii täydellisesti ja tilit pysyvät turvassa. Käytännössä tilanne on kuitenkin toinen.

Kun työntekijän pitää keksiä kuukausittain työsähköpostiinsa uusi, täysin uniikki, vähintään 18-merkkinen erikoismerkkejä ja numeroita sisältävä salasana, houkutus käyttää niin yksinkertaista salasanaa kuin mahdollista kasvaa. Monimutkaisia salasanoja myös unohdetaan usein, mikä johtaa helpdesk-tiketteihin tai noloihin visiitteihin työpaikan IT-osastolla.

Salasanoista tulee liian helposti vain teoriassa niille asetettavien teknisten vaatimusten täyttäviä. Yleistä on esimerkiksi muokata vaihdon yhteydessä vanhassa salasanassa vain yhtä merkkiä, jos järjestelmä sen sallii. Salasanaksi kelpaa, vaikka vaihtokuukauden nimi ja kuukauden numero. Erikoismerkkivaatimuksen ratkaisee salasanan loppuun näppärästi sijoitettu huuto- tai kysymysmerkki. Jos vaadittu pituus ei riitä, saman tekstin voi kirjoittaa kahteen kertaan peräkkäin.

TouchID-sormenjälki-tunnistus hakkeroitiin 48 tunnissa.

Sanoja, fraaseja ja tunnettuja salasanatekniikoita hyväksikäyttävä ns. sanakirjahyökkäys ohittaa valitettavan helposti edellä mainitun, tekniset vaatimukset täyttävän ja teoriassa turvallisen salasanan. Lisäksi käyttäjillä on usein muistamisen helppouden vuoksi sama salasana useassa palvelussa, jolloin yhden palvelun tietovuoto vaarantaa samalla tiedot useassa eri paikassa.

Salasanojen hallinnan avuksi on lukuisia erilaisia salasanojen hallinnointisovelluksia ja sopivan valinta voi olla kuluttajalle hankalaa ja aikaa vievää. Palveluiden käytettävyys vaihtelee eri laiteympäristöittäin ja sovellukset ovat usein myös maksullisia, mikä on pienentänyt niitä käyttävien yritysten ja kuluttajien määrää.

Tunnusten kanssa tuskailevat käyttäjät eivät ole jääneet yrityksiltä huomiotta. Teknologiajätit Apple, Google sekä Microsoft kertoivat keväällä 2022 yhteishankkeesta siirtyä tukemaan FIDO Alliancen kehittämää, täysin salasanatonta tunnistautumista. Ajatuksena on, että salasanoista luopuminen lisäisi järjestelmien turvallisuutta ja helppokäyttöisyyttä.

Kirjautuminen kaikkiin palveluihin ja laitteisiin tapahtuisi jatkossa yhteen standardiin pohjautuvalla biometrisellä tunnistautumisella, esimerkiksi sormenjäljen-, kasvojen- tai silmientunnistuksella tai jollain muulla, käyttäjän yksilöivällä keinolla.

Salasanaton kirjautuminen on meille nyt jo tuttua älypuhelinten maailmasta, jonne on kirjauduttu sormenjälkeä tai kasvojentunnistusta käyttäen jo useiden laitesukupolvien ajan. Lisävahvistuksena voidaan tarvittaessa käyttää laitekohtaista PIN-koodia ja kaksivaiheista tunnistautumista esimerkiksi Authenticator-sovelluksella tai tekstiviestillä.

Uusi, salasanaton maailma voi kuulostaa mahtavalta, mutta se tuo mukanaan myös ongelmia. Biometrinen tunnistautuminen on yhä suhteellisen uutta teknologiaa, eikä sen turvallisuus ole aina täysin aukotonta. Kun Apple lanseerasi vuonna 2013 ensimmäistä kertaa TouchID-sormenjälkitunnistuksensa, se hakkeroitiin 48 tunnissa. Nykyiset biometriset tunnistustavat ovat jo todella kehittyneitä, mutta mikään tekninen järjestelmä ei ole koskaan täydellinen.

Biometrisyyteen siirtyminen tuo teknologiayrityksille myös uusia haasteita ja vastuita tunnistustietojen säilytykseen. Omia kasvoja tai sormenjälkeä on, jos ei mahdotonta, niin ainakin hyvin kallista uusia, jos biometriset tunnistustiedot sisältävä tietokanta saadaan murrettua.

Perinteiset salasanat lieveilmiöineen pysynevät jossain käytössä vielä vuosia, mutta matka kohti salasanatonta maailmaa on jo alkanut. Muutoksen kannalta keskeisessä roolissa ovat nyt sekä kuluttajat että yritykset, joiden tulee omaksua uudet teknologiat ja siirtyä käyttämään niitä.

Aleksi Eteläharju
Insinööriliiton järjestelmäasiantuntija