Pääsemmekö pian eroon salasanoista Passkeyn avulla?

FIDO (Fast IDentity Online) Alliance on järjestö, joka on kehittänyt vaihtoehtoisia tekniikoita salasanojen korvaajiksi jo kymmenen vuoden ajan. Ratkaisu salasanan korvaajaksi on passkey, kulkuavain.

Kulkuavainta käytettäessä käyttäjä kirjautuu palveluun kännykän kasvontunnistuksella, kännykän PIN-koodilla tai salasanaohjelmiston salasanalla. Kulkuavain on salattu ja sitä ei ole mahdollista näppäillä. Se koostuu satunnaisesta merkkijonosta ja kahdesta avainparista. Avainparit muodostetaan käyttäjän rekisteröityessä uuteen palveluun. Julkinen avain tallennetaan palveluun ja yksityinen avain tallennetaan käyttäjän laitteeseen, selaimeen tai salasanasovellukseen.

Kirjautumisessa tarvitaan molempia avaimia, joka edistää tietoturvaa merkittävästi. Vaikka hakkeri murtautuisi verkkopalveluun, hän voi varastaa vain julkisen avaimen. Se on yksinään hyödytön. Tietojenkalasteluyritykset eivät tuota hedelmää, sillä yksityistä avainta ei voi syöttää haitalliselle verkkosivustolle. Käyttäjän ei tarvitse keksiä ja muistaa vaikeita salasanoja eikä hyökkääjän ole mahdollista arvata salasanaa.

Kulkuavaimen voi kirjautumisen yhteydessä tallentaa esimerkiksi kännykkään, jolloin kirjautuminen on sidottu laitteeseen. Käytännössä kulkuavaimet vaativat jonkun palveluntarjoajan käyttöä, jotta avaimia voi siirtää sujuvasti laitteelta toiselle. Google, Microsoft, Apple ja 1Password tarjoavat omia salasanapalveluitaan, joiden avulla kulkuavainten siirto onnistuu. Kaikki haluavat sitouttaa käyttäjiä omiin palveluihinsa. Kannattaa testata ja valita palvelu tarkkaan, jotta avaimet siirtyvät helposti myös eri käyttöjärjestelmien ja laitteiden välillä.

Kulkuavaimen edut:

  • Käyttäjän ei tarvitse keksiä tai muistaa avainta
  • Avain on riittävän vahva koostuen merkkijonosta
  • Käyttäjän yksityistä avainta ei tallenneta verkkopalveluun
  • Avainta ei voi syöttää tietojenkalastelusivustolle

Salasanan haitat:

  • Vaatii muistamista ja näppäilyä
  • Vahvuus riippuu täysin käyttäjän viitseliäisyydestä
  • Tallennetaan verkkopalveluun ja on altis verkkohyökkäyksille
  • Voidaan syöttää tietojenkalastelusivulle tai arvata kokeilemalla eri vaihtoehtoja

Kulkuavainta kehittävään FIDO- järjestöön kuuluu maailman isoimpia teknologiayrityksiä muun muassa Apple, Google, Meta ja Microsoft. Järjestössä on mukana yli 250 yritystä. Koko lista on osoitteessa https://fidoalliance.org/members/.

Passkeyn suomenkieliselle vastineelle on tarjolla monta vaihtoehtoa: avainkoodi (Google), pääsyavain (Apple), suojausavain, (Microsoft),  todennusavain (Adobe), kirjautumisavain ja salausavain. Oma ehdotukseni on kulkuavain, jonka nimi ei sekoitu aiempiin salasanatekniikoihin.

Kulkuavain on tullut käyttöön monessa palvelussa vaihtoehtoisena kirjautumistapana. Yhteisövetoinen https://passkeys.directory/ ylläpitää listaa palveluista, joissa on mahdollista käyttää kulkuavaimia. Kulkuavaimen toimintaa voi myös kokeilla osoitteessa https://webauthn.io/. Kokeillaan siis rohkeasti kirjautumisen tulevaisuutta.

Lähteet:

https://fidoalliance.org

https://1password.com/product/passkeys

https://developer.apple.com/passkeys

https://webauthn.guide

https://medium.com/@vladimir.prus/next-gen-web-authentication-59f487ea340

https://blog.google/technology/safety-security/passkeys-default-google-accounts