Salasanoilla vai ilman?

19.04.2021

Ne riivatun salasanat.... Onko pakko?

It-osastokin sanoo: "On pakko ja muistahan vaihtaa se salasana tai huomautamme asiasta ja päädyt ennenpitkään koulutkseemme, jossa vielä oikein kunnolla paneudumme tähän tylsään asiaan."

Usein näen miten ihmisiä ohjeistetaan salasanojen käytössä: Käytä pitkiä, monimutkaisia salasanoja, jotka sisältävät kirjaimia, erikoismerkkejä ja numeroita. Eli jotain tämän tyylistä pitäisi pyrkiä luomaan: JhUygs/(6876&h(/¤sdllai"2321432 Ja vielä joka palveluun erisalasana. Itse en ainakaan muista ensimmäistäkään tuollatavalla laadittua salasanaa. Mikä siis avuksi?

Me nörtit huudamme tässä välissä että "helppoa! Ottakaa vain salasanaohjelma käyttöön." Nämä ohjelmat ovat toki oikein käytettynä todella käteviä ja nopeita salasanan hallintaan, mutta kun meillä ihmisillä tuppaa nykypäivänä olemaan noita kirjautumiseen tarkoitettuja tunnuksia jo useampi sata.

Tällaisen ohjelman toiminnallisuuksien opiskeluun, sekä käyttöönottoon menee meiltä ammattilaisiltakin helposti päivä. Ja jos puhumme 50-henkilön yrityksistä niin päivässä luetaan vasta ohjelman manuaali läpi eikä tapahdu yhtään mitään työntekoa helpottavaa parannusta.

SSO ja passwordless.

Edellä mainitut asiat ovat luotu juuri tähän salasanaongelmaan. SSO tarkoittaa "Single sign on" Eli yhdellä firman tunnuksella voidaan kirjautua moneen eri it-ympäristöön. Tämä säästää It osaston resursseja kun hallittavia tunnuksia on vähemmän. Passwordless ajatus-mallissa taasen nimensä mukaisesti pyritään salasanoista kokonaan eroon.

Hetkinen siis onko oikeasti olemassa järjestelmä millä voidaan poistaa salasanat yrityksen kirjautumismenetelmänä? Ilokseni voin todeta, että tähän maailma on pikkuhiljaa menossa! Microsoft esimerkiksi ajaa kovasti tällaista lähestymistapaa turvalliseen kirjautumiseen.

Miten homma sitten toimii käytännössä? Menemättä liian tekniseen jargoniaan kerron lyhyesti perus-ajatuksen: Jokaisella työntekijällä on edelleen käyttäjätunnus-salasana. Mutta jokaisen puhelimeen otetaan käyttöön erillinen appi johon kilahtaa ilmoitus kirjautumisesta. Sitten vain klikataan "hyväksy" tai "estä" Salasanat toimivat edelleen kirjautumisessa, mutta eivät enää ole se pääväylä yrityksen tietoon. Helppoa eikö! Tällä tavalla kirjautuessa tulee myös käyttäneeksi monivaiheista tunnistusta ihan itsestään. Pahiksilla siis pitäisi olla myös puhelin jonne ilmoitus kirjautumisesta tulee päästäkseen firman tietoihin käsiksi. Toki nokkelat verkkorikolliset osaavat tarvittaessa kiertää tämmöisenkin suojatoimen, mutta siihen pitää paneutua toisella kertaa.

https://techcommunity.microsoft.com/t5/azure-active-directory-identity/no-password-phone-sign-in-for-microsoft-accounts/ba-p/245254


Seuraavalla kerralla voisin kirjoitella toisesta hyvin yleisestä tunnistautumistavasta eli "biometriikasta".Yhteenvetona totean, että tietoturvan ei tarvitse olla asioiden monimutkaistaja vaan itseasiassa oikeanlaisella tietoturvalla voidaan helpottaa monia yrityksen päivittäisiä IT-toimia.


Tietoturvallisin terveisin

Antti