Posted: 07 May 2024 4 min Lukuaika

Tulevaisuuden tunnistautuminen: eroon salasanoista

Salasanaton kirjautuminen – vastaus perinteisten kirjautumismenetelmien puutteisiin

Salasanojen määrän kasvaminen on tuttu ongelma monelle. Tämä vaatii käyttäjiltä hyvää muistia ja järjestelmällisyyttä salasanojen säilyttämisessä. Mitä enemmän salasanoja tarvitaan, sitä suurempi houkutus käyttäjällä on hyödyntää samoja salasanoja eri palveluissa tai käyttää helpompia ja samalla heikompia salasanoja. Samalla tietoturvariskit kasvavat. Salasanattomuus on noussut esiin ratkaisuna salasanatulvasta selviämiseen ja vastauksena perinteisten salasanapohjaisten tunnistautumismenetelmien tietoturvapuutteisiin.

Salasanattomalla kirjautumisella (passwordless authentication) tarkoitetaan nimensä mukaisesti menetelmiä, joilla käyttäjä voidaan tunnistaa luotettavasti ilman, että hän tarvitsee tunnistautumiseen salasanaa. Salasanattomuudella voidaan paitsi vahvistaa tietoturvaa myös parantaa käyttäjäkokemusta. Kirjautuminen on nopeampaa ja helpompaa, kun sen voi hoitaa esimerkiksi kasvojentunnistuksella.


Salasanattomuus on tärkeä askel kohti tietoturvallista tulevaisuutta

Tietojenkalastelu eli phishing on edelleen yleisesti rikollisten käytössä oleva menetelmä, joka aiheuttaa merkittäviä riskejä yksityishenkilöille ja organisaatioille. Kalasteluviestien avulla käyttäjä voidaan harhauttaa luovuttamaan käyttäjätunnuksensa ja salasanansa. Salasanaton kirjautuminen on immuuni perinteisille kalasteluhyökkäyksille, koska käyttäjällä ei yksinkertaisesti ole salasanaa, mitä luovuttaa hyökkääjälle. Hyökkäyssivustot eivät tällä hetkellä saa luotua kasvojentunnistustapahtumaa uhrin laitteessa; hyökkäys epäonnistuu, vaikka käyttäjä olisikin jo ehtinyt klikata vahingollista linkkiä.

Toinen valitettavan usein toistuva tietoturvauhka on tietovuoto, jossa vääriin käsiin päätyneet käyttäjätunnukset ja salasanat saatetaan julkaista julkisesti tai myydä pimeillä markkinoilla. Tämän lisäksi kirjautumistietoja käytetään usein murtamaan käyttäjän muita tilejä, jotka eivät suoraan olleet kyseisen vuodon kohteena. 

Salasanaton arkkitehtuuri auttaa suojaamaan käyttäjiä tietomurroilta ja hakkeroinnilta. Kun salasanoja ei ole olemassa, ei niitä voida varastaa tai vuotaa kolmansille osapuolille. Salasanattoman kirjautumisen käyttöönotto on siten tärkeä askel kohti tietoturvallisempaa digitaalista ympäristöä. 

Yksilötasolla salasanattomien teknologioiden käyttöönotto on yksinkertaista – esimerkiksi vaihtamalla puhelimen lukituksen PIN-koodista kasvojentunnistukseen. Palveluntarjoajille salasanattoman tunnistautumisen liittäminen palveluun vaatii hieman enemmän, mutta sen toteuttaminen onnistuu kokeneemmalta web-kehittäjältä ohjeistuksen tai asiantuntevan kumppanin avulla.


Vähennä tietoturvariskejä salasanattomalla teknologialla

Salasanattoman kirjautumisen neljä yleisintä menetelmää tarjoavat mahdollisuuden vähentää riskejä, jotka liittyvät tietojenkalasteluun ja heikkoihin salasanoihin, ja samalla parantavat käyttäjäkokemusta.

  1. Avainlaitteet – monipuolinen autentikointiratkaisu eri palveluihin: Tunnistautumiseen käytettävät avainlaitteet ovat pieniä, USB-porttiin liitettäviä laitteita, joilla käyttäjä voidaan autentikoida moniin eri verkkopalveluihin sekä käyttäjän omaan tietokoneeseen. Teknisesti tällaiset laitteet näkyvät tietokoneen käyttöjärjestelmälle USB-liitännäisenä näppäimistönä, joka kirjoittaa salasanoja käyttäjän niitä näkemättä. Avainlaitteita voi käyttää korvaamaan perinteisiä salasanoja myös verkkopalveluissa, ja niiden käyttöä tukevat muun muassa Amazon, Google, Microsoft ja Facebook. Laitetta käytetään tunnistamaan yhtiöiden omat työntekijät ja myös heidän tuotteidensa käyttäjiä.

  2. FIDO – salasanattoman tulevaisuuden puolestapuhuja: FIDO (Fast Identity Online) on järjestö, jonka missiona on ajaa salasanattomien teknologioiden käyttöönottoa. FIDO tarjoaa tuen useille eri laitetyypeille, esimerkiksi älykorteille, NFC-laitteille sekä edellä mainituille avainlaitteille. .

    Tärkein FIDO:n projekteista on FIDO2, jota edistetään yhdessä webstandardijärjestö W3C:n kanssa. Projektissa tarjoaa kahta eri ratkaisua salasanattomuuteen: WebAuthn ja CTAP2. WebAuthn on verkkoautentikointistandardi, joka mahdollistaa käyttäjän tunnistautumisen verkossa. CTAP2 puolestaan on protokolla asiakasohjelmistojen tunnistautumiseen. Nämä kaksi ratkaisua yhdessä muodostavat autentikointiprotokollan, jota voidaan käyttää verkkopalveluiden tunnistautumiseen. Kun verkkopalvelu ottaa FIDO2:n käyttöönsä, palvelun käyttäjät voivat tunnistautua käyttämällä omaa avainlaitettaan tai älypuhelimensa biometrista tunnistetta.

  3. Biometriset tunnisteet: Biometrinen tunnistus, joka tunnetaan myös nimellä biotunnistus, viittaa henkilöllisyyden tunnistamiseen jonkin yksilöllisen fyysisen ominaisuuden avulla. Tavallisimpia biotunnisteita ovat sormenjäljet (sormenjälkitunnistus), kasvot (kasvojentunnistus), silmän verkkokalvo ja ääni. Biometristen tunnisteiden käyttö salasanojen sijaan on yleistynyt käyttömukavuuden takia. Biometrinen tunnistus tarjoaa niin organisaatiolle kuin yksilöllekin luotettavan tavan varmistaa henkilöllisyys, sillä fyysisiä ominaisuuksia on vaikeampi väärentää tai varastaa.

  4. Pseudo-salasanattomat tunnistusmenetelmät: Pseudo-salasanattomia menetelmiä käytetään laajalti muun muassa verkkopankkien, sähköpostien ja muiden verkkopalveluiden tunnistautumisessa. Autentikaatiosovellukset ja sähköpostiin lähetettävät kertakäyttölinkit, joita kutsutaan myös taikalinkeiksi (magic links), ovat hyviä esimerkkejä.

    Perinteisimmillään autentikaatiosovellus tarjoaa käyttäjälle kertakäyttösalasanan tai PIN-koodin sisäänkirjautumisen yhteydessä. Tämä mahdollistaa paremman tietoturvan, koska salasana tai PIN-koodi ei ole pysyvästi tallennettuna käyttäjän laitteelle. Myös taikalinkit ovat kertakäyttöisiä, mutta ne perustuvat käyttäjän sähköpostitilin turvallisuuteen ja oikeellisuuteen. Taikalinkin lähettäjä luottaa siihen, että linkki menee oikealle vastaanottajalle ja että vastaanottajan sähköpostitiliä ei ole murrettu.

    Vaikka pseudo-salasanattomat menetelmät ovat parempia kuin perinteinen käyttäjätunnus-salasana-pari, tulisi niitä käyttää silti varauksella ja vain osana monivaiheista tunnistautumisprosessia.


Suosittelemme pohtimaan salasanattomuuden toteuttamista tietoturvan tehostamiseksi ja käyttäjäkokemuksen parantamiseksi. Deloitten laaja asiantuntijaverkosto auttaa tarvittaessa integroimaan salasanattoman kirjautumisen olemassa oleviin järjestelmiin ja palveluihin. Autamme niin neuvonannon, teknisten toteutusten kuin myös jatkuvien palveluiden muodossa.

Ota yhteyttä

Identiteetinhallinnan asiantuntijat

Hannu Kasanen

Hannu Kasanen

Partner, Cyber Risk

Hannu Kasanen toimii partnerina Risk Advisory -yksikössä, missä hän johtaa Deloitten kyberpalveluita Suomessa. Hannulla on yli kahdenkymmenen vuoden kokemus IT- ja tietoturvakonsultoinnista. Hän on onnistuneesti johtanut Suomen merkittävimpien yritysten ja julkisen sektorin organisaatioiden kehityshankkeita. Hannu on erikoistunut identiteetinhallintaan ja tietosuojaan, mutta hän auttaa asiakkaitaan laajalla skaalalla kyberturvallisuusaiheissa. Briefly in English: Hannu leads Deloitte’s Cyber Risk service offering in Finland. He has more than twenty years of IT and security consulting experience with a proven track record of delivering substantial results. Hannu has successfully led complex projects with some of the most iconic brands and the biggest public-sector organizations in Finland. Hannu specializes in digital identity and data privacy but advises his clients on a broad spectrum of cybersecurity topics.

Simo Ylijoki

Simo Ylijoki

Cyber Risk Consultant

Simo työskentelee Deloitten Cyber Risk -tiimissä. Hänen kiinnostuksen kohteitaan ovat identiteetin- ja pääsynhallinta (IAM) sekä haavoittuvuuksienhallinta. Simolla on pitkälti yli vuosikymmenen kokemus IAM-alalta ja useiden vuosien kokemus haavoittuvuuksienhallinnasta ja kyberturvallisuudesta. Hän nauttii IAM/ IGA-ratkaisujen suunnittelusta ja pystyy hyödyntämään laajaa tietämystään kentältä suositellessaan asiakkaille parhaita teknologisia ratkaisuja, paikallisista ratkaisuista pilvipalveluihin. Briefly in English: Simo works in Deloitte’s Cyber Risk team. His interest areas are Identity and Access Management (IAM) and vulnerability management. Simo has over a decade of experience in IAM domain and several years of experience in vulnerability management and cyber security. He enjoys designing IAM / IGA solutions and can leverage his extensive knowledge from the field on recommending the best technological solutions from on-premises to the cloud.