2FA-tunnitus tarvitaan salasanan tueksi
Maailmalla tunnetut salasanamanagerit Keeper, 1Password ja Kaspersky sekä Password Manager pelkkinä ilmaisversioina päihittivät kaikki muut keskeiset salasanojen hallintaan tarkoitetut maksulliset sovellukset. Näin julistaa Kuluttajalehti, joka testasi tusinan yleisempiä salasananhallintasovelluksia.
Testissä selvitettiin muun muassa sitä, kuinka manageri toimi tunnusten automaattisessa täyttämisessä, tai havaitsi tilanteita, kun käyttäjä oli reaaliaikaisesti luomassa uutta käyttäjätiliä uuteen palveluun. Paras avoimen lähdekoodin salasanamanageri näyttäisi olevan KeePass. Useimmat avoimen lähdekoodin salasan hallintakoneet ovat hyviä, tai joskus jopa parempia kuin niiden kaupalliset versiot. ”Meillä on tästä kuusi esimerkkiä”, kirjoittaa Best Reviewer. Dashline saa hyviä arvioita kautta linjan. Arvioissa myös LastPass on varsin luotettu työväline. Se selvisi voittajana ”etevä ja edullinen” -mainesanoin myös Mikrobitti-lehden suppeamassa testissä viime talvena.
Palvelun käytettävyys on yksi kriteeri. Kun säännön mukaan monipuoliset, kärpän lailla muuttuvat tilanteet haistelevat koneet, ovat myös käytettävyydeltään hyviä. Olemme puhuneet paljon salasanojen suojaamisesta, mutta emme niinkään salasanojen suojaamattomuudesta palvelinammattilaisympäristössä.
Nykyaikainen tietokanta-arkkitehtuuri ei erityisen hyvin suojaa salasanoja, vaan laitoksen tai yrityksen kaikki data, myös salasanat, ovat yleensä yhden pääkäyttäjätunnuksen takana. Usein myös hierarkiatasoltaan alemman statuksen omaavat tiekonnan käyttäjät saavat näkyviin tietokannasta kaiken haluamansa. Esimerkiksi eräässä yliopistossa tavallisilla käyttäjäoikeuksilla pääsee yllättävän pitkälle tutkimaan omiaan, mutta myös muiden asioita, muun muassa opintotuloksia.
Voidaan todeta, että tietokanta-arkkitehtuuria ei ole kehitetty riittävästi tietoturvan näkökulmasta. Perusarkkitehtuuri tietokannoissa on ajalta ennen internetiä. Murtamalla yhden ainoan tärkeän palvelinsalasanan haltuunsa voi saada miljoonien tilien tiedot.
Yksi ratkaisu edellä kuvattuun ongelmaan voi olla kaksivaiheisen tunnistuksen malli. Siinä pelkkään käyttäjätunnukseen ja salasanaan perustuvan tunnistuksen lisäksi tarvitaan käyttäjän identifiointi. Kaksivaiheinen tunnistus eli 2FA hakee salasanan antamisen jälkeen varmistuksen sille, että käyttäjä on se, kuka tämä väittää olevansa. Erillinen tunnistustapa voi perustua esimeriksi silmän iirikseen. Jos ja kun tunnistus vahventuu oletus on, että kyberrikollisten silmissä tietokantamurtojen arvo alkaa vähetä.
Kehitys valitettavasti kulkee vielä eri suuntaan. Tapaamme pankkikortin pikamaksuominaisuuden kaltaisia ratkaisuja, joissa on luovuttu jo alkeellisimmastakin tunnistuksessa. Tunnistuksen turvalliseksi kehittämisen tiellä tosin on aina ollut esteitä. Tämä kehityskäyrä ei ole lineaarinen ja suoraviivainen. Se on Z-käyrä: välillä mennään ylös ja sitten tullaan alas.
Eteenpäin mennään kantapään kautta.
