Varmin tapa on tunnistusavain - Tosibox blogikirjoitus
Ota yhteyttä Tilaa uutiskirje

Turvakysymyksiä, tekstiviestejä ja silmien kuvaamista – varmin tapa on tunnistusavain

Teijo Mustonen, R&D Director, Tosibox Oy

Jätätkö omat ja yrityksesi tiedot pelkän salasanan varaan? Vastaatpa kyllä tai ei, lue kuitenkin. Huomaat, että turvakoodien vastaanottaminen tekstiviestillä voi saattaa sinut melkein yhtä katalaan pulaan kuin se, ettei edes niitä olisi.

Identiteettivarkauksien ja yritysvakoilun maailmassa turvallisuus on valttia ja käyttäjän tunnistaminen välttämätöntä. Kahden tekijän tunnistus eli 2FA ja kaksivaiheinen tunnistaminen sekoitetaan usein keskenään. Kaksivaiheinen tunnistaminen tarkoittaa saman tiedon syöttämistä kahdesta välineestä, 2FA taas sitä, että tunnistautujan hallussa pitää olla kaksi eri välinettä.

Tilin omistajasta varmistuminen sai alkunsa turvallisuuskysymyksistä, kuten ”mikä oli äitisi tyttönimi, mikä oli ensimmäisen lemmikkieläimesi nimi”. Tämäntyyppisistä kysymyksistä ja varasähköpostiosoitteista tunnistus on sittemmin laajentunut tekstiviestillä lähetettäviin varmistuskoodeihin.

Erilaiset tunnistamistavat ovat kehittyneet viime vuosina huimasti. Käydään niitä seuraavaksi läpi.

Tekstiviesti ja puhelu

Yleisesti ajatellaan, että tämä on vähimmäismäärä tarvittavaa tunnistamista. Esimerkiksi WhatsApp-viestipalvelun tiliä ei saa edes avattua, ellei anna sovellukselle puhelinnumeroaan, jonka kautta tilin avaaminen vahvistetaan erikseen lähetettävällä koodilla. Koska yhä suurempi osa ihmisten viestinnästä ja internetin käytöstä tapahtuu älypuhelinten maailmanvalloituksen takia, tekstiviesti- tai puhelutunnistus on ketterää.

Maailmalla on kuitenkin tiedossa useita tapauksia, joissa hyökkääjä on onnistunut hankkimaan haltuunsa pääsyn käyttäjän puhelinnumeroon. Tavallisesti tämä tapahtuu puhelinyhtiön asiakaspalvelua huijaamalla. Tällä tavalla hyökkääjä pääsee käsiksi käyttäjälle lähetettäviin vahvistuskoodeihin, ja myös käyttäjän tekstiviesti- tai puhelutunnistamisella käyttämiin tileihin.

Tunnistautumissovellus

Esimerkiksi Google tarjoaa tunnistamista varten sovelluksen, samaten esimerkiksi kotimaisista pankeista Nordea suosii lisäsovelluksella tapahtuvaa tunnistamista. Nämä edellyttävät molemmat lisäksi joko salasanaa tai Nordean tapauksessa käyttäjätunnusta.

Tapa on varmempi kuin tekstiviesti- tai puheluvahvistus. Haittapuolena on kuitenkin se, että sovellukset on asennettava uudelleen puhelinta vaihtaessa. Poikkeuksellisen tahmeaksi niiden käytön voivat tehdä myös sovelluksen tarjoajan asettamat edellytykset jos puhelin vaikka varastetaan. Esimerkiksi eräät pankit edellyttävät tällaisessa tilanteessa vierailua konttorissa, jossa henkilöllisyys pitää vahvistaa ennen kuin sovelluksen pääsee lataamaan uudelleen.

Fyysinen tunnistusavain

Vielä vuosituhannen alkupuolella itseään ja turvallisuuttaan kunnioittavan organisaation merkki oli työntekijöille jaettava RSA-yhtiön SecurID-palikka. Asiakkaisiin kuului loiston vuosinaan esimerkiksi suomalainen Nokia.

Myöhemmin ulkoisia tunnistusavaimia on ryhtynyt tarjoamaan muiden muassa Google, joskin sen Titan-avain on myytävänä toistaiseksi vain Yhdysvalloissa.

Hakukonejätin tunnistusavain toimii siten, että se kytketään koneen USB-porttiin. Muita vastaavia ratkaisuja tarjoaa esimerkiksi Yubico, joka hyödyntää osassa tunnistusavaimiaan myös biometristä tunnistamista.

Hyvää ulkoisissa avaimissa on se, ettei niiden käyttäjän tarvitse luottaa puhelimeensa, josta voi loppua akku tai jonka numerokin voidaan kaapata.

Biometriset tunnisteet

Biometrisellä tunnisteella tarkoitetaan kuluttajakäytössä yleisimmin sormenjälkitunnistusta, mutta myös kasvojentunnistus ja iiristunnistus yleistyvät. Biometrisiä tunnistamistapoja pidetään kaikkein varmimpina, vaikka älypuhelinten tunnistuksia on huijattu esimerkiksi valokuvilla, viinikumikarkeilla ja piilolinsseillä.

Kehittyvissä teknologioissa on vielä paljon eroja ja toiminnallisuudet ovat varsinkin kuluttajateknologiassa vielä epävarmoja. Tunnistamistapana ne kuitenkin tuovat monivaiheiseen tunnistamiseen oivan lisän, joka tarjoaa lisää turvallisuutta muiden tunnistamistapojen ohella.

Useampi parempi

TOSIBOX®-ratkaisua suojaa kahden tekijän tunnistus (2FA). Käyttäjille annetaan TOSIBOX® Avain, jonka salaus on toteutettu 2048-bittisellä RSA-salauksella. Avaimen avulla voidaan muodostaa turvallinen yhteys yhden tai useamman TOSIBOX® Lukon välille ja hallinnoida Lukkoon liitettyjä verkkolaitteita. Lukko puolestaan suojaa VPN-tunnelin kautta yrityksen verkon ulkoreunaa palomuurina, josta on yhteys Avaimeen VPN-tunnelin kautta.

TOSIBOX® Avaimen kautta käyttöoikeudet saa kätevästi ja turvallisesti myös ohjelmistopohjaisena tai mobiiliin. TOSIBOX® Avaimen lisävaihtoehtona voi käyttää myös TOSIBOX® Mobile Clientia tai TOSIBOX® SoftKeyta, jotka toimii TOSIBOX® Avaimen aliavaimina. Kahden tekijän todennus täyttyy myös Mobile Clientilla ja SoftKeylla: laitekohtaisuus ja salasanasuojaus.

TOSIBOX®-ratkaisu täyttää korkeat tietoturvastandardit. Näin tietosi pysyvät turvassa kekseliäidenkin hakkerien tempuilta.

 

TOSIBOX®-ratkaisua suojaa aina kahden tekijän tunnistautuminen.

Lue lisää ratkaisun tietoturvasta >

Teijo Mustonen

“Ulkoisten avainten käyttäjän ei tarvitse luottaa puhelimeensa, josta voi loppua akku tai jonka numerokin voidaan kaapata.”

Teijo Mustonen, R&D Director, Tosibox Oy