Kaksivaiheinen tunnistautuminen

Wikipediasta
Siirry navigaatioon Siirry hakuun
Pankkikortin sirulla maksaminen on arkipäiväisin tapa hyödyntää kaksivaiheista tunnistautumista.
YubiKey on käyttäjän mukana kulkeva USB-porttiin liitettävä laite, joka luo kaksivaiheisessa tunnistautumisessa käytettäviä muuttuvia koodeja. Kuvassa Neo- ja Nano-mallit.
Monien muiden palveluiden tapaan Twitter tarjoaa tavan vastaanottaa kaksivaiheisessa kirjautumisessa käytettävä koodi tekstiviestinä puhelimeen.

Kaksivaiheinen tunnistautuminen (eli two-factor authentication, tunnetaan myös nimellä 2FA) on vuonna 1984 patentoitu tekniikka,[1] jonka tarkoitus on varmentaa henkilön identiteetti kahta eri tunnistautumismenetelmää hyödyntäen. Tällä tavalla voidaan yrittää estää käyttäjätilin luvaton käyttäminen.

Toteutustavat

[muokkaa | muokkaa wikitekstiä]

Joitakin kaksivaiheisen tunnistautumisessa käytettäviä menetelmiä käyttäjän tunnistamiseksi ovat:

Kaksivaiheista tunnistautumista käytetään esimerkiksi, kun maksetaan sirullisella pankkikortilla. Ilman pankkikorttia ja PIN-koodia ei voi maksutapahtumaa tehdä, sillä maksajalla pitää olla sekä pankkikortti hallussaan (jokin esine) että koodi tiedossaan (jokin salaisuus), jotta maksutapahtuma hyväksytään.

Kaksivaiheinen tunnistautuminen on käytössä tai ainakin vaihtoehtona useissa verkko- ja onlinepalveluissa. Toteutustapa on esimerkiksi kirjautumisen jälkeinen vahvistus sähköpostiin tai tekstiviestillä lähetettävällä koodilla, joka on syötettävä kirjautumisen lisäksi, tai Googlen tapauksessa suoraan Android-puhelimeen tuleva varmistus.

Mobiililaitteissa

[muokkaa | muokkaa wikitekstiä]

Kaksivaiheisen tunnistautumisen haittapuolia on, että käyttäjän on aina pidettävä mukanaan tunnistautumisvälinettä (USB-tikkua, pankkikorttia, avainta.) Jos tunnistautumisvälinettä ei ole, kaksivaiheista tunnistautumista vaativa palveluun, toimintoon tai rakennukseen ei ole pääsyä.

Kaksivaiheisen tunnistautumisen tuoma epämukavuus ja sen aikaan saama tietoturvan lisääntyminen ovat asioita, joiden keskinäistä suhdetta punnitaan jatkuvasti. Ongelman ratkaisuksi keksittiin tekniikan tuominen mobiililaitteisiin. Tälloin käyttäjän mobiililaite on se tunnistusvaiheen osa, joka käyttäjällä on aina mukanaan. Käyttäjä voi kirjautua salasanan lisäksi esimerkiksi puhelimeen lähetettävällä, jokaisella kirjautumiskerralla vaihtuvalla PIN-koodilla tai matemaattiseen algoritmiin perustuvalla tunnisteella. Myös monia muita mobiililaitteisiin perustuvia ratkaisuja on kehitetty.

Mobiililaitteen hyötynä kaksivaiheisessa tunnistautumisessa on ylimääräisten avaimien ja muiden tunnistautumisvälineiden poisjääminen. Mobiililaite useimmiten seuraa käyttäjäänsä kaikkialle. Haittapuolia mobiililaitteissa on kuitenkin monia, joista keskeisimmät tässä:

  • Kaikki eivät omista soveltuvaa mobiililaitetta, ja uuden puhelimen ja/tai liittymäsopimuksen hinta voi olla hyvinkin korkea suhteessa saavutettuun hyötyyn.
  • Tekstiviesti saattaa maksaa käyttäjälle tai palvelun tuottajalle erityisesti silloin kun käyttäjä vierailee ulkomailla.
  • Puhelimen tulee kulkea käyttäjän mukana akku ladattuna. Lisäksi sen pitää joissakin tunnistautumismenetelmissä olla yhteydessä verkkoon, mikä ei ole kaikkialla maailmassa mahdollista. Mikäli tunnistautumista ei voi puhelimella tehdä, on käytettävä vaihtoehtoisia kirjautumismenetelmiä jos käyttäjälle sellaisia tarjotaan.
  • Käyttäjä saattaa joutua luovuttamaan puhelinnumeronsa palvelun tuottajalle, jolloin tietoturvan taso saattaa madaltua tai käyttäjän liittymä voi joutua roskapostin kohteeksi.
  • Käyttäjälle tekstiviestinä lähetetty avainkoodi on mahdollista saada ulkopuolisen haltuun kaappaamalla viesti.[3]
  • Tekstiviestien toimittaminen käyttäjän mobiililaitteeseen saattaa kestää kauan tai epäonnistua ja aiheuttaa turhia viivästyksiä kirjautumisprosessiin.
  1. http://www.google.com/patents/US4720860
  2. What is 2FA? virtualdcs.co.uk. Viitattu 19 February 2015.
  3. SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems, Proceedings of the 13th IEEE Symposium on Computers and Communications (ISCC'08), pp. 700–705, July 2008 arXiv:1002.3171