Kaksivaiheinen tunnistautuminen

Kohteesta Wikipedia
Loikkaa: valikkoon, hakuun
Pankkikortin sirulla maksaminen on arkipäiväisin tapa hyödyntää kaksivaiheista tunnistautumista.
YubiKey on käyttäjän mukana kulkeva USB-porttiin liitettävä laite, joka luo kaksivaiheisessa tunnistautumisessa käytettäviä muuttuvia koodeja. Kuvassa Neo- ja Nano-mallit.
Monien muiden palveluiden tapaan Twitter tarjoaa tavan vastaanottaa kaksivaiheisessa kirjautumisessa käytettävä koodi tekstiviestinä puhelimeen.

Kaksivaiheinen tunnistautuminen (eli Two-factor authentication, tunnetaan myös nimellä 2FA) on vuonna 1984 patentoitu tekniikka,[1] jonka tarkoitus on varmentaa henkilön identiteetti kahta eri tunnistautumismenetelmää hyödyntäen ja näin estää käyttäjätilin luvaton käyttäminen. Henkilö joka haluaa käyttää toisen henkilön käyttäjätiliä luvatta, ei välttämättä kykene täyttämään kaksivaiheisen tunnistautumisen molempia vaatimuksia.

Toteutustavat[muokkaa | muokkaa wikitekstiä]

Joitakin kaksivaiheisen tunnistautumisessa käytettäviä menetelmiä tunnistaa käyttäjä:

Arkipäiväisin tapa hyödyntää kaksivaiheista tunnistautumista on maksaminen sirullisella pankkikortilla. Ilman pankkikorttia (jokin minkä käyttäjä omistaa) ei voi maksutapahtumaa tehdä, kuten ei myöskään ilman PIN-koodia (jokin jonka käyttäjä tietää), sillä molemmat tulee olla käyttäjänsä hallussa onnistuneen maksutapahtuman tehdäkseen.

Mobiililaitteissa[muokkaa | muokkaa wikitekstiä]

Kaksivaiheisen tunnistautumisen haittapuolia on se että käyttäjän tulee kyetä kantamaan aina mukanaan tunnistautumisvälinettä (USB-tikkua, pankkikorttia, avainta tms.) Ja mikäli se varastetaan, käyttäjä on kadottanut tai unohtanut ottaa sen mukaan, kaksivaiheista tunnistautumista vaativa palvelu, toiminto, rakennus tms. ei ole käyttäjän käytettävissä. Siksipä kaksivaiheisen tunnistautumisen käytännöllisyys ja sen tuoma tietoturva ovat jatkuvasti vaakakupeissa.

Tekniikan tuominen mobiililaitteisiin oli tarkoitus ratkaista tämä ongelma. Siinä käyttäjän mobiililaite, avainten tai korttien sijaan, on se osa joka käyttäjällä on aina mukana. Käyttäjä voi kirjautua salasanan lisäksi esimerkiksi puhelimeen lähetettävällä, jokaisella kirjautumiskerralla vaihtuvalla PIN-koodilla tai matemaattiseen algoritmiin perustuvalla tunnisteella. Myös monia muita mobiililaitteisiin perustuvia ratkaisuja on kehitetty.

Mobiililaitteen hyödyt kaksivaiheisessa tunnistautumisessa on ylimääräisten avaimien ja muiden tunnistautumisvälineiden poisjääminen. Mobiililaite useimmiten seuraa käyttäjäänsä kaikkialle jolloin käy hyvin tunnistautumisvälineeksi. Haittapuolia mobiililaitteissa on kuitenkin monia, joista keskeisimmät tässä:

  • Kaikki eivät omista soveltuvaa mobiililaitetta ja uuden puhelimen ja/tai liittymäsopimuksen hinta voi olla hyvinkin korkea suhteessa saavutettuun hyötyyn.
  • Tekstiviesti saattaa maksaa käyttäjälle tai palvelun tuottajalle, ja erityisesti silloin kun käyttäjä vierailee ulkomailla.
  • Puhelin tulee olla käyttäjän mukana ladattuna. Lisäksi sen tulee joissakin ratkaisuissa olla yhteydessä verkkoon, joka ei ole kaikkialla maailmassa saatavilla. Mikäli tunnistautumista ei voi puhelimella tehdä, tulee käyttää vaihtoehtoisia kirjautumismenetelmiä jos käyttäjälle sellaisia tarjotaan.
  • Käyttäjä saattaa joutua luovuttamaan puhelinnumeronsa palvelun tuottajalle, jolloin tietoturvan taso saattaa madaltua tai puhelin joutua roskapostin kohteeksi.
  • Käyttäjälle tekstiviestinä lähetetty avainkoodi on mahdollista saada ulkopuolisen haltuun kaappaamalla viesti.[3]
  • Tekstiviestien toimittaminen käyttäjän mobiililaitteeseen saattaa kestää tai joskus jopa epäonnistua aiheuttaen näin turhia viivästyksiä kirjautumisprosessiin.

Lue myös[muokkaa | muokkaa wikitekstiä]

Lähteet[muokkaa | muokkaa wikitekstiä]

  1. http://www.google.com/patents/US4720860
  2. What is 2FA? Viitattu 19 February 2015.
  3. SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems, Proceedings of the 13th IEEE Symposium on Computers and Communications (ISCC'08), pp. 700–705, July 2008 Malline:Arxiv