VOOZH about

URL: https://yle.fi/a/74-20177279

⇱ Jussi Erosen kolumni: Kun salasanoista luovutaan, kukaan ei jää niitä kaipaamaan | Kolumnit | Yle

Hyppää sisältöön
Hyppää sisältöön

Arkielämässään ihmiset ovat tottuneet siihen, että heidät tunnistetaan äänestä ja ulkonäöstä. Tunnussanoja ja salaisia kädenpuristuksia käytetään vain vakoojatarinoissa. Miksi tietokoneet sitten aina vaativat salasanan?

Tietokoneiden kehittämisen alkuaikoina koneen käyttäjän tunnistaminen ei ollut ongelmista kiireisimpiä. Mutta käyttäjäkohtaisten tietojen suojaaminen sekä niukan koneajan jakaminen tekivät siitä ajankohtaista 1960-luvulla. Silloin keksittiin käyttää tunnistamiseen salasanaa.

Käyttäjätileille murtauduttiin salasanalistoja varastamalla jo tekniikan alkuvuosina.

Tarinan mukaan kilpailevana ehdotuksena oli tallentaa käyttäjistä järjestelmiin erilaisia tietoja, joita kyselemällä varmistuttaisiin oikeasta käyttäjästä. Salasana oli kuitenkin yksinkertaisempi toteuttaa. Se vei myös vähän tuohon aikaan erityisen kallista tallennustilaa.

Käyttäjätileille murtauduttiin salasanalistoja varastamalla jo tekniikan alkuvuosina. Tästä ongelmat ovat vain pahenneet. Nykyisin käyttäjillä saattaa olla tunnuksia satoihin palveluihin, ja salasanoja varastetaan, arvataan ja huijataan kiihtyvällä tahdilla.

Insinöörit ovat hyviä keksimään ratkaisuja aiheuttamiinsa ongelmiin. Palveluihin tallennettuja salasanoja alettiinkin pian suojata. Sittemmin suojauksen parantamiseksi on keksitty esimerkiksi salasanojen hallintaohjelmia sekä tekstiviesti- ja muita kertakäyttökoodeja.

Myös salasanoja korvaavia tekniikoita on toteutettu jo vuosikymmenten ajan. Valtaosa niistä perustuu tunnistamisen ketjuttamiseen. Voit tunnistautua palveluihin sähköpostitunnuksellasi tai antamalla sähköpostiisi lähetetyn koodin. Mutta itse sähköpostiin tunnistautuminen vaatii silti edelleen salasanaa.

On hämmentävää, miten yleisessä käytössä salasanat ovat edelleen – kuusikymmentä vuotta tekniikan keksimisen jälkeen. Luulisi, että parempiin menetelmiin olisi siirrytty jo aikaa sitten.

Suomessa on virallisemmissa asiointipalveluissa totuttu käyttämään pankkitunnistusta ja mobiilivarmennetta. Monissa EU-maissa käytetään taas sirullisia henkilökortteja. Harva verkon bisnestoimija haluaa kuitenkaan käyttää ratkaisuja, joiden tekninen toteutus eroaa maittain.

Insinöörit ovat hyviä keksimään ratkaisuja aiheuttamiinsa ongelmiin.

Passkey-tekniikka on tähän asti lupaavin ehdokas yleiseksi salasanan korvaajaksi. Tekniikalla on toistaiseksi useita suomennettuja nimiä, joista esimerkiksi ”pääsyavain” kuulostaa selkeältä. Helppokäyttöinen pääsyavain estää monet nykyisen kaltaiset verkkohyökkäykset.

Pääsyavaimen perusajatus on, että käyttäjän oma laite – esimerkiksi puhelin – kirjaa hänet verkon palveluihin. Puhelin taas tunnistaa käyttäjänsä vaikka sormenjäljestä tai kasvoista. Menetelmä on monin verroin salasanaa vahvempi.

Puhelin luo jokaiselle palvelulle yksilöllisen avainparin, joista yhden se pitää turvasäilössään ja toisen lähettää palvelulle. Tunnistautuminen tapahtuu molempia avaimia käyttävällä laskutoimituksella. Kun verkon palvelulla ei ole puhelimen avainta, sitä ei voi verkosta varastaa. Edes käyttäjä ei pääse näkemään puhelimensa avainta.

Rikolliset voisivat toki yrittää tietomurtoja käyttäjän puhelimeen avaimen saamisen toivossa, mutta nykyiset älypuhelimet ja monet muut laitteet ovat todella hyviä salaisuuksien suojaamisessa. Lisäksi jokainen laite pitäisi murtaa erikseen.

Pääsyavain suojaa käyttäjää myös huijauksilta, sillä puhelin tarjoaa pääsyavaimen lähettämistä vain sille palvelulle, jolle avain on luotu. Huijaussivustot ei sitä hämää.

Rikolliset vosivat toki yrittää tietomurtoa, mutta jokainen laite pitäisi murtaa erikseen.

Herääkin kysymys, miksi näin hienoa tekniikkaa ei ole otettu käyttöön aikaisemmin. Esteenä on ollut muun muassa tunnistustekniikoiden kehittymättömyys. Kasvojentunnistuksen menetelmiä on esimerkiksi aikaisemmin voitu huijata valokuvilla tai videoilla. Eihän ihminenkään ole erehtymätön kasvojen tunnistamisessa.

Ainakin omassa nuoruudessani kaikki tunsivat jonkun, joka käytti alaikäisenä hyvällä menestyksellä vaikkapa sisaruksensa henkilöpapereita. Mutta nykyisiä koneellisia tunnistusmenetelmiä pidetään kuitenkin jo hyvin turvallisina.

Pääsyavain vaatii toki älypuhelimen käyttöä. Pankkitunnistustakin on jo vuosia kehitetty älypuhelimet edellä. Myös EU:n tuleva niin sanottu digitaalinen identiteettilompakko tulee olemaan älypuhelinsovellus.

Salasanoista ja niiden ongelmista eroon pääseminen tulee olemaan vuosia pitkä projekti. Mitä useampi ottaa pääsyavaimet käyttöön, sitä nopeampaa kehitys on.

Jussi Eronen

Kirjoittaja on johtava asiantuntija Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa. Mielipiteet ovat kirjoittajan eivätkä edusta viraston virallista kantaa.