Moninkertainen suojautuminen – PG MFA, osa 1

Moninkertainen suojautuminen – PG MFA

Artikkelimme käsittelee niin sanottua kaksinkertaista tunnistautumista, teknisiä mahdollisuuksia ja käytettävyyden kannalta suosituimmaksi osoittautunutta mallia.

Rakkaalla lapsella on monta nimeä. Kertakäyttösalasana, kaksinkertainen kirjautuminen, vaihtuvalukuinen avaimenperä tai tekstiviestivarmenne puhuvat kaikki samasta asiasta. Uusin lyhenne asian ilmaisulle on MFA eli Multi Factor Autenticator, moninkertainen varmenne. Tässä tapauksessa varmennusten määrä ei kuitenkaan ylity kahdesta useampaan vaan moninkertaisuus tarkoittaa, että sama ratkaisu kattaa monta eri alustaa. Yleisesti MFA-termiä käytetään kännykkään asennettavan applikaation eli niin sanotun Autentikaattorin kuvaajana. Jos applikaatioon ei saada yhteyttä on varmistuksena puhelinnumero ja tekstiviesti. Lyhenne MFA kattaa käytännössä lähes kaikki nykyaikaiset varmennusmenetelmät. Mainittakoon sivuhuomautuksena, että myös biometriset tunnistimet, kuten sormenjälki, ovat mobiiliapplikaatioita.

Pankit huomasivat jo 90-luvun puolella, että ihmisten tilitietoihin pääsemiseen on pakko tehdä luotettavampi ratkaisu kuin pelkkä salasanasuojaus. Tässä mielessä Suomi oli monia muita maita edellä sähköisessä pankkiasioinnissa, verrattuna esimerkiksi brittien shekkeihin. Tekniseltä kannalta ratkaisuja (esim. PKI) ei ollut vielä saatavilla, joten suojautumiseksi oli pakko kehittää kansallinen PaTu-ratkaisu. Lyhenne tulee sanoista PankkiTunniste ja on edelleen laajalti käytössä. Mielestäni tämä on ensimmäinen todellinen vahvaksi kirjautumiseksi miellettävä ratkaisu. Ruotsissa vastaava ratkaisu on Bankid, joka on monella vielä fyysinen laite, mutta muuttuu myös hiljalleen mobiiliapplikaatioksi.

Käyttökokemus

Tietoturvassa helppokäyttöisyys on aina tietoturvan kääntöpuoli. Mikäli käyttäjältä vaaditaan lisätoimenpiteitä tunnistautumiseen, se on aina käyttäjälle epämiellyttävämpää. Uskon kuitenkin, että jokainen tietotyöläinen on nykyisin valmis tinkimään paljonkin tästä luksuksesta seuraamuksien pelossa. Oleelliseksi muuttuu kysymys, kuinka usein tunnistautuminen pitää tehdä? Tässä piileekin isoin MFA:n kompastuskivi. Teknisesti erilaisilla algoritmeillä tunnistautumistarpeen päättely on yllättävän hankalaa. Tilanne on yksinkertainen, jos geolokaatio huomaa käyttäjän IP-osoitteesta yhteyden tulevan toisesta maasta tai jos edellinen kirjautuminen tapahtui yli 8 tuntia sitten, eri työpäivänä. Haasteelliseksi tilanteen tekee lähinnä mobiilius. Työpäivän aikana kannettava kone vaihtaa verkkoa useita kertoja, ja matkapuhelimen sijaintitietokaan ei välttämättä paljon kerro. Lopputulos on monesti se, että sähköposti kyselee tunnistautumista aivan jatkuvasti ja jo viidettä kertaa tekstiviestejä kaiveleva käyttäjä hylkää vahvan tunnistautumisen tarpeettomana.

Teknisistä ratkaisuista

Viitaten edellisiin artikkeleihin, kuluttajatuotteista paras käyttökokemus on ehdottomasti Googlen tuotteilla. Moni on tämän käytännössä jo testannut, ja esimerkiksi Facebookin tietoturvassa kaksinkertainen tunnistautuminen toimii erinomaisesti. Ikävä kyllä, Microsoftin tuotteissa tilanne on vielä melko toisenlainen. Puhtaassa O365-ympäristössä toiminta on siedettävä ja hybridiratkaisuissa teknikolta vaaditaan jo melkoista ammattitaitoa, että ratkaisu toimii. Yritysverkkoratkaisuissa moni luottaa edelleen operaattorin APN-tyyppiseen ratkaisuun mieluummin kuin lähtee riskeeraamaan vaeltavan käyttäjäjoukon VPN-kirjautumisten epäonnistumisesta aiheutuvaa päivystystarvetta. Kovaa tekniikkaa mukaan kaipaavalle voin kertoa, että jo 80-luvulla kehitetty ja käytetty Radius on yllättäen taas tarpeellinen tai vilahtelee ainakin erilaisten kirjautumisvaihtoehtojen joukossa – ei siis kovin modernia tai ihmeellistä. Foliohattuisempi käyttäjä saattaa miettiä brute force -laskentavaihtoehtoja tai kvanttitietokoneiden suomia mahdollisuuksia. Mutta ohitetaan aihe mainitsemalla, että presidenttejä lukuun ottamatta meillä muilla ei varmankaan ole mitään niin mielenkiintoista, että kukaan allokoisi tuollaisia resursseja tietoja saadakseen.

Teknisen ratkaisun avaimet

Mistä siis löytyy ratkaisu, johon voi luottaa ja jonka tarjoaa riittävän pitkään markkinoilla ollut uskottava ja luotettava tekniset resurssit omaava taho. Palvelun helppo käyttöönotto on meidän tyyppisen kumppanin avustuksella kustannustehokasta, eikä ylläpito vaadi dedikoitua asiantuntijaa. Olemme suosineet palomuuri- ja tietoturvatalo WatchGuardin kesällä 2018 julkaiseman ratkaisun käyttämistä. Syy on yksinkertaisesti se, että valmistajan ratkaisu on täysin verkosta palveluna hankittava, mutta integroituu silti jo saapuessaan yllättävän monen tahon kanssa luontevasti. Mikä tärkeintä, testatuista ratkaisuista tämä on ollut labrassa ja toisaalta käyttäjien päivittäisessä työssä kaikkein luotettavin.

Ratkaisun avain on lyhyesti: toimiva mobiiliapplikaatio ja helppo käyttöönotto.
Kutsu meidät kahville niin esittelemme ratkaisun käytännössä!

PS. Mikäli joku sattuu tuntemaan pankin tietoturvapäällikön, jonka kanssa voimme jatkaa keskustelua PaTun korvaamisesta, niin otan kutsun mielelläni vastaan!