Aihe tähän CIAM tunnistustavat vertailussa -blogiin löytyi siitä, että viimeisen parin vuoden aikana olen ollut mukana useassa asiakaskeississä, jossa asiakkaan kanssa on todettu, että palveluissa käytössä oleva käyttäjätunnus & salasanatunnistus on tietoturvaton ratkaisu. Tähän tyypillisesti asiakkaat ovat heittäneet tietoturva-asiantuntijalle haasteen: kerro mikä on parempi keino ilman, että käyttökokemusta muutetaan.
Ihan ensiksi on ehkä palautettava asiakas maan pinnalle ja todettava, että käyttökokemus ja tietoturva on aina kompromissi. Syvennytään kuitenkin vähän paremmin CIAM tunnistustavat vertailuun ja katsotaan eri vaihtoehtoihin ja niiden hyviin ja huonoihin puoliin.
Yleisimmät CIAM tunnistustavat
Käyttäjätunnus & salasana
Käyttäjätunnus & salasana tunnistuskeinona on lähtökohtaisesti turvaton vaihtoehto, jota käytetään nykypäivänä vain siitä syystä, että käyttäjät ovat tottuneet sen käyttöön ja devaajat ovat tottuneet sen toteuttamaan.
Käyttäjätunnus & salasana -tunnistautumisen heikkouksia:
- Darkweb on täynnä vuodettuja salasanalistoja murtoyritysten lähtökohdaksi.
- Salasanat ovat koneellisesti murrettavissa (brute force & rainbow table attack – salasanojen vahvuuden mukaan voi kestää, mutta murtaminen kyllä onnistuu).
- Hyökkääjillä on tehokkaat mallit, joilla urkkia käyttäjien tunnuksia ja salasanoja.
Sosiaalisen median käyttö tunnistuksena
Heikkoakin heikompi tunnistuksen tapa. Kuitenkin käyttökelpoinen käyttäjien esitietojen keräämiseen ja käyttökokemuksen parantamiseen. Ei kuitenkaan tulisi käyttää ainoana tunnistustapana mihinkään missä esim. rahaa liikutellaan tai muita oleellisia toimintoja suoritetaan. On myös hyvä tiedostaa, että ihan kaikki eivät tykkää käyttää some-tilejä tällaisiin tarkoituksiin ja sosiaalisen median käyttöön tunnistuksessa liittyy tietosuojan kannalta ongelmia.
Tyypillisiä ongelmia, jotka koskevat sosiaalisen median tunnuksia, ovat niiden varastamisen yleisyys ja toisaalta myös se, että menetettyjä tunnuksia on erittäin vaikea saada takaisin haltuunsa.
MFA eli vahva tunnistautuminen
Tyypillisesti vahvassa tunnistautumisessa yhdistetään käyttäjätunnus ja salasana johonkin kolmanteen tunnistusmetodiin. Tällaisia voisi olla vaikka seuraavat:
- SMS:llä käyttäjälle lähetettävä PIN-koodi (One time password eli OTP).
- Sähköpostitse käyttäjälle lähetettävä PIN-koodi.
- Kännykässä pyörivä autentikointisovellus.
- Fyysiset tunnistelaitteet (token-mokkulat).
Nämä kaikki tavat tarjoavat jo jokseenkin hyvää tietoturvaa, mutta jokaisessa on omat vahvuutensa ja heikkoutensa:
- SMS maksaa ja ei toimi kaikkialla.
- Sähköposti kestää ja toisaalta kaikissa tilanteissa käyttäjällä ei välttämättä ole pääsyä sähköpostiinsa.
- Joissakin käyttötapauksissa käyttäjällä ei ole saatavilla kännykkää tai se ei tue autentikointisovellusta.
- Fyysiset tunnistelaitteet ovat kalliita ja niiden toimittaminen käyttäjille on joissakin tapauksissa hankalaa tai mahdotonta.
Vahva tunnistautuminen pankkitunnistuksilla
Pohjoismaissa pankkitunnistus on hyvin yleinen tapa tunnistautua. Tätä tapaa ei kuitenkaan ole kaikissa maissa saatavilla, koska niissä ei ole maailmaanlaajuista standardia vaan maakohtaisesti tehtyjä ratkaisuja. Pankkitunnistukseen liittyy tapahtumakohtaisia kustannuksia ja tyypillisesti jokaisen maakohtaisen toteutuksen joutuu tekemään erikseen.
Huomioitavaa on, että jotkut palvelut (esim. Signicat) tarjoavat keskitetyn rajapinnan pohjoismaisiin pankkitunnistuksiin helpottaen integraatiotyötä.
Passwordless Authentication
Passwordless -termin alle tippuu useampia toteutustapoja. Yksinkertaisimmillaan tämä voisi olla ns. magic link -toteutus, jossa käyttäjä kirjautumisvaiheessa syöttää käyttäjätunnuksen ja hänelle lähetetään sähköpostitse linkki, jolla pääsee kirjautumaan sisään järjestelmään. Tällöin palvelussa ei tarvita salasanaa, mutta toisaalta käyttäjällä pitää olla pääsy sähköpostiinsa.
Passwordless -tunnistautuminen voidaan myös toteuttaa käyttämällä jotain vahvoista tunnistustavoista salasanan sijasta.
Nykypäivänä Passwordless on hyvinkin suositeltava toteutusvaihtoehto. Kuitenkin se konkreettinen tapa millä tunnistautuminen tehdään, riippuu vahvasti käyttötapauksesta ja käyttäjäryhmästä ja tulee puntaroida palvelukohtaisesti.
Web Authentication eli WebAuthN
WebAuthN on uusi FIDO2:een pohjautuva tunnistuksen standardi, jota useat selaimet jo tukevat. Standardi mahdollistaa biometristen tunnistustapojen käytön hyödyntäen esim. iPhonen Face ID:tä tai kannettavan tietokoneen sormenjälkitunnistinta.
Tekniikka on kuitenkin vielä vahvasti kehittyvä ja laitteiden käyttäjälle näyttämät ruudut / dialogit vielä epäjohdonmukaisia, eli WebAuthN käyttökokemuksessa on vielä parannettavaa.
CIAM tunnistustavat vaikuttavat käyttökokemukseen
Käyttökokemuksen osalta kevättalvella 2023 ollaan vielä tilanteessa, että täysin ideaalista ratkaisua CIAM tunnistustapoihin ei ole. WebAuthN -pohjaiset ratkaisut tulevat leviämään tulevaisuudessa, mutta tällä hetkellä suositeltava tapa on tarjota käyttäjälle mahdollisuus valita eri tunnistustavoista hänelle sopivin.
Kannattaa myös harkita palvelun käytössä olevan istunnon pituutta (authentication session). Useat julkiset palvelut (Google, Office 365) tarjoavat hyvinkin pitkiä istuntopituuksia, jolloin käyttäjältä kysytään tunnistautumista harvoin. Tällainen lähestymistapa voi olla varteenotettava sellaisissa käyttötapauksissa, joissa voidaan kohtuudella luottaa, että käyttäjän laite on turvattu. Joka tapauksessa on suositeltavaa säätää palvelun istunnon pituus palvelussa olevan tiedon tietoturvatason mukaisesti.
Vaiheittainen tunnistautuminen (step-up authentication) on myös huomioitava vaihtoehto. Erityisesti verkkokaupat nojaavat pitkälti tähän tapaan. Vaiheittaisessa tunnistautumisessa tunnistustapaa nostetaan sitä mukaan, kun käyttäjä tekee tietoturvan kannalta oleellisia asioita. Tässä tapauksessa esim. sosiaalisen median tarjoama tunnistus voi olla ihan hyvä ensimmäisen vaiheen kevyeksi tunnistukseksi.
