Salasanat saattavat pian jäädä internet-historiaan, mikäli teknologiajättien visiot toteutuvat.
Kirjautumiseen liittyvien yritysten toimialajärjestö FIDO Alliance kertoi lokakuun puolivälissä, että salasanojen tilalle kehitettyjen avainkoodien (passkey) ristiin käyttö on helpottumassa.
Avainkoodien yhteisestä kehittämisestä kerrottiin jo vuonna 2022, ja palvelut ovat sen jälkeen esitelleet omia tapojaan niiden käyttämiseen. Esimerkiksi Googlen tileille kyseisellä tekniikalla kirjautuminen tuli mahdolliseksi toukokuussa 2023. Teknologiassa ovat mukana myös muun muassa Apple ja Microsoft sekä salasananhallintasovellukset 1Password, Bitwarden ja NordPass.
Nyt julkaistussa niin sanotussa teknisen eritelmän luonnoksessa listattiin ominaisuudet, joita palveluntarjoajilla pitää olla, jotta tunnistetietojen vaihtaminen eri palveluiden ja esimerkiksi Android ja iOS -käyttöjärjestelmien välillä on turvallista.
Katso videolta, miten avainkoodilla käytännössä kirjaudutaan:
Yhden ongelman ratkaiseminen saattaa luoda uusia
Aalto-yliopiston tietotekniikan professorin ja laitosjohtajan Janne Lindqvistin mukaan salasanoille on etsitty jo vuosikymmeniä korvaavia vaihtoehtoja.
Suurin motivaatio yrityksille on raha, sillä unohtuneiden salasanojen palauttaminen maksaa.
Lindqvist pitää teknologiajättien yhteistyötä positiivisena asiana, joka voi hyvinkin edistää saumatonta tunnistautumista. Hän ei kuitenkaan ole vakuuttunut, että ristiin toimivat avainkoodit olisivat lopullinen avain onneen.
– On hyvin vetoavaa, että salasanojen käyttö verkkopalveluissa vähenisi. Täytyy kuitenkin muistaa, että passkey laittaa aika paljon luottamusta siihen yhteen laitteeseen.
Puhelimet mahdollistavat jo nyt pääsyn hyvin moneen asiaan, mikä ei aina ole positiivista. Ongelmia saattaa tulla esimerkiksi silloin, kun laitetta joutuu vaihtamaan ja käytettyjä tunnistautumistapoja eri palveluihin selvittämään.
Oma lukunsa on verkkorikollisuus, joka yleensä kehittyy tietoturvaratkaisujen mukana. Vaikka tietojenkalastelun tapaisia huijauksia vastaan avainkoodit olisivatkin tehokas vastalääke, tulee tilalle todennäköisesti uusia kohteita. Siirtymä saattaa näkyä jopa väkivaltarikoksissa.
– Sen sijaan, että varastetaan pelkkä puhelin, otetaan myös sormi mukaan.
Suurten massojen mukaan saaminen vaatii yhteistyötä
Kyberturvallisuuskeskuksen erityisasiantuntija Petri Suvilan mukaan oikeastaan kaikki ratkaisut, joiden avulla jokaisessa palvelussa ei tarvitse olla omaa käyttäjätunnusta ja salasanaa, ovat tietoturvallisuutta lisääviä.
Perinteisiin salasanakirjautumiseen liittyy monia ongelmia: Ihmisillä on rajallinen muistikyky, mikä usein johtaa salasanojen kierrättämiseen. Usein palveluiden tunnuksena käytetään sähköpostiosoitetta, ja vuodettuja tunnuksia ja salasanoja voidaan näin helposti kokeilla muihinkin palveluihin. Toisaalta, jos käyttäjän sähköpostitili saadaan murrettua, eri palveluiden salasanan uudelleen asettamisen voi tilata suoraan sinne.
Avainkoodien osalta Suvila korostaa käyttäjän vapautta päättää itse, mikä on se sopivin taho, johon luottamuksensa asettaa. Yritysten yhteistyö kuitenkin mahdollistaa sen, että teknologia voi todella tulla suurten massojen käyttöön.
– Aika näyttää, mikä teknologia lyö läpi. Tässä on nyt merkittävää se, että suuret toimijat ovat todenneet, että ei kannata pyrkiä yksin kukkulan kuninkaaksi.
Hän vertaa tilannetta suomalaisten pankkien tekemään yhteistyöhön vahvassa sähköisessä tunnistautumisessa.
Kun pankit sopivat keskenään pelisäännöt ja saivat viranomaisen määrittelemään ne standardiksi, tunnistautumistapahtumat nousivat vuositasolla kymmenistä miljoonista satoihin miljooniin. Samassa yhteydessä käytiin myös muiden vastaavien tunnistuspalveluiden tarjoajien, kuten mobiilioperaattorien, roolit ja velvollisuudet läpi.
Riippuvuus teknologiajäteistä voi kasvaa
Aalto-yliopiston Janne Lindqvistin mukaan teknologian yhteiskäyttöä helpottavalla avoimella internet-standardoinnilla on pitkät perinteet. Yhtiöiden edustajat pyrkivät ohjaamaan niitä siihen suuntaan, että ne palvelevat heidän omia intressejään.
Vaikka avainkoodeista on tarkoitus tehdä saumattomasti toimivia eri palveluiden välille, riippuvuus teknologiajäteistä luultavasti kasvaa.
– Poliittisten päättäjien ja tiedotusvälineiden kannattaa nyt olla hyvin tarkkana. Voin hyvin kuvitella, että muutaman vuoden sisään aletaan ajaa sitä, että vahvan tunnistautumisen palvelut Suomessakin avattaisiin myös tällaisille toimijoille, mobiilivarmenteen ja pankkien lisäksi, Lindqvist sanoo.
Myös Kyberturvallisuuskeskuksen Petri Suvila näkee tällaisen tulevaisuuskuvan mahdollisena.
– Suomen markkina ja toimintaympäristö ovat maailman mittakaavassa hyvin pieniä. Isojen toimijoiden, joko laitevalmistajien tai palveluntarjoajien, on mahdollista tuoda teknologiaa käyttöön tehokkaasti.
Suvila kuitenkin uskoo, että avainkoodien kaltaista teknologiaa nähdään enemmän esimerkiksi yritys- ja yhteisöpuolella, joissa kiristyvänä viranomaisvaatimuksena työasemaan tai verkkopalveluihin kirjautuminen on tapahduttava kaksivaiheisesti useampaa todentamistekijää hyväksikäyttäen.
