Salasanapäivän kunniaksi ajattelin pari päivää sitten kirjoittaa sanan jos toisenkin salasanoista, mutta sehän on jo historiaa. Omalla ristirektkelläni salasanoja vastaan – niin huonoja, kuten kuvassa yllä, kuin myös hyviäkin – pääsin viimein paratiisin porteille. Google julkisti eilen avainkoodit (eng. passkeys), joilla salasanaton kirjautuminen on mahdollista nyt ja heti kuluttaja-asiakkaille ja kohta myös yritysasiakkaille.
Mikä ihmeen passkey?
Passkey, tai avainkoodi (Googlen oma käännös, myös ”pääsyavain” ja jäljempänä ”yleisavain”), on aivan huikea loikka eteenpäin. Se parantaa vahvaa tunnistautumista ja sujuvoittaa samalla kirjautumisia.
Ensinnäkin pääset eroon salasanoista. Salasanat ovat parhammillaankin vain jaettua salaisuuksia, jotka odottavat paljastumistaan. Siirtymällä tunnistautumiseen, joka perustuu johonkin mikä sinulla on hallussasi, eli laite, ja johonkin mitä olet, eli kasvot, sormenjäki tai muu biometrinen tunniste, pääset viimein eroon heikkojen salasanojen, niiden suojausten ja niitä suojaavien tahojen muodostamista riskeistä.
Loppuu se salasanojen kanssa pelleily nyt
Toiseksi pääset eroon näppäilyvirheistä. Sormenjälki on monta kertaa nopeampi kuin salasanan nakuttelu. Lisäksi salasanan unohtamiset, nollaukset ja kaikki muu turha humppa häviää.
Kolmantena etuna on pienellä vaivalla yritystason tietoturva, joka on vihdoin kaikkien saatavilla ja vieläpä ilmaiseksi.
Tee tämä heti(!)
Jos sinulla on Google-tili yksityiskäytössä, niin ota puhelin esille, surffaa osoitteeseen g.co/passkeys ja lopeta salasanojen kanssa pelleily tässä ja nyt. Nosta samalla tietoturvasi tasoa ja ota puhelimesi käyttöön FIDO2-avaimena kaksivaiheista tunnistautumista varten niissä tapauksissa missä salasanaa vielä tarvitaan.
Kaikki turha humppa häviää
Helpompi ja turvallisempi arki
Tavalliselle kuluttaja-asiakkaalle vaikutus voi näyttää pieneltä, mutta kun otat käyttöön yleisavaimen ohella vielä Google-kirjautumisen lähes kaikkiin palveluihin, niin olet huomaamatta säästänyt muutamia sekunteja joka kirjautumisella, minuutteja päivässä ja useita tunteja kuukaudessa. Lisäksi loppuu jatkuva salasanojen nollaus ja uusien käyttäjäprofiilien luonti. Myös riski tilille murtautumisesta varastetun salasanan avulla jää unholaan, kun hyökkääjä ei pääse käsiksi tiliin ilman luotettua aikaan perustuuva laitteen ja tunnisteen yhdistelmää.
Laite ja ihminen ovat edelleen heikoimmat lenkit
Yleisavaimista vipuvoimaa tuottavuuteen yrityksille
Siinä missä salasanattomuus on normaalia arjen sujuvoittamista kuluttajalle, se on mahtava loikka yrityksille. Kirjatumissekoiluihin säästetty aika kääntyy heti tuottavaan työhön. Varovaisen arvion mukaan 10 hengen yritys, jossa työntekijät käyttävät päivittäin 20–30 eri kirjautumista vaativaa palvelua tai sovellusta, saa vuodessa yli 200 tuntia lisää tuottavaa työaikaa ottamalla käyttöön salasanattoman todentamisen, läpikirjautumisen ja itsepalvelutoimet. Lisäksi merkittävän säästön tuovat parantunut tietoturva ja vähentynyt teknisen ylläpidon työkuorma. Puhumattakaan siitä, että v-käyrä ei toimimattoman tekniikan takia enää jyrkkene.
Gartnerin tutkimuksen mukaan IT-tukipyynöistä 30–50 % kohdistuu salasanojen palauttamiseen. Vastaavasti hukatusta työajasta jopa 30 % kuluu tukitikettien laatimiseen ja niiden ratkaisun odottamiseen. Forrester Research puolestaan arvioi salasanan resetoinnin hinnaksi 70 euroa kertaa kohden ja vuosittaisen hukatun työajan olevan noin 11 tuntia työntekijää kohden. (ks [1] [2])
Tätä menetystä voidaan pienentää itsepalveluratkaisuilla kuten salasanan resetoinnilla, mutta juurisyyhyn, eli salasanojen ongelmiin ne eivät pure. Itsepalvelussakin työntekijä käyttää edelleen viikossa 10–15 minuuttia salasanojen syöttämiseen ja niiden nollaamiseen. Poistamalla salasanat 200 työntekijän yritys lisää yhdessä yössä vuosittaista tuottavuutta yhden asiantuntijan vuosipalkan verran, kun taas tuhannen hengen yritys vapauttaa pitkälti yli neljännesmiljoonan euron arvosta hukattua aikaa suoraan tuottavaan työhön. Yrityksen johtoa miellyttänee myös se, että investointi on suoraan laskettavissa rahana ja kohdistuu suoraan työpanokseen ilman toimintatapojen muutosta tai mittavaa koulutusta.
Ihmiset ja laitteet täytyy suojata paremmin
Salasanattomuuteen ja hyvään sekä vaivattomaan vahvaan tunnistautumiseen siirtyminen mahdollistaa siis heti pääsyn pois turhien helpdesk-tikettien oravanpyörästä.
Muutoksessa tulee keskittyä laitteisiin ja ihmisiin (jäljelle jääneiden salasanojen tappamisen lisäksi). Laite ja ihminen ovat edelleen heikoimmat lenkit ja niiden suojaaminen on siksi erityisen tärkeää. Korkean tietoturvan yhteisöissä laitteet ovat usein toiminnallisuuksiltaan vajaita ja käytetävyydeltään tiiliskiviä. Usein tämä johtuu resurssien puutteesta. Mikä tahansa laite on helppo ”lukita” näennäisesti hyvin turvalliseksi, mutta paljon vaikeampi avata käytettäväksi ja toimivaksi.
Tai näin oli ennen. Nykyään digitaaliset biometriset tunnisteet, laitteissa olevat eriytetyt tietosäilöt ja kehittynyt laitehallinta ovat tuoneet käyttäjäystävälliset, turvalliset ja aina ajantasaiset ratkaisut pk-yritystenkin saataville.
Esteenä on enää IT:n ”mindset”, joka tietysti tylsistyy kun 40 % ajasta menee salasanan palautuksiin. Nyt on korkea aika muuttaa tämä ja tuoda helppous ja turvallisuus yhteen pakettiin sekä valjastaa IT-tuki tekemään koulutustaan vastaavaa työtä.
Ihminen on aina laitteen ja sen sisältämän tiedon ja yhteyksien käyttäjä. Mitä sujuvammin hän pystyy tekemään työtään, sen tuottavampi ja tyytyväisempi hän on. Ihmistäkin suojaamme parhaiten, kun teemme laitteista helposti käytettäviä, emme pakota häntä etsimään porsaanreikiä ja oikopolkuja, pidämme 20-sivuiset tekniset ohjeet IT:n omassa pöytälaatikoissa ja kysymme säänöllisin väliajoin – vaikka parin kysymyksen ”pulssikyselynä” kerran kvartaalissa – että miten laitteet ja annettu tuki palvelee työn tekemistä ja miltä tuntuu. Kun kaikki vastaukset ovat ”kaikki toimii loistavasti”, niin tiedämme että olemme tehneet oikeita asioita oikealla tavalla, jonka jälkeen onkin aika tehdä seuraava työn tuottavuuden digiloikka.
Toisto ei tapa – eli rautalanka parempaan tietoturvaan ja helpompaan elämään
- Mene osoitteeseen g.co/passkeys ja käytä kaksi minuuttia aikaasi. Tee se nyt heti. Investointi maksaa itsensä takaisin kahdessa päivässä. Aseta yksi laiteriippumaton varatunnistautumiskeino.
- Yksi huoli mielestä pois – metsästä ja tapa jäljelle jääneet salasanat yksi kerrallaan läpikirjautumisella ja salasananhallintasovelluksella.
- Suojaa laitteesi erityisen hyvin – aseta lukitus aikakatkaisulla ja salaa laitteen muisti (device encryption, HDD encryption, BitLocker jne).
- Päivitä jäljelle jääneet salasanat vahvoiksi yksi kerrallaan, ks esim blogipostaukseni Ajateltavaa tietoturvasta.
- Nauti. Hankit juuri paremman tietoturvan ja sujuvamman arjen kuin moni isolla rahalla iiteetä ostava yritys. 🏝️
//James
* * *
P.S. Tässä esittämäni mielipiteet ovat omiani, eivätkä ne heijasta minkään julkisen tai yksityisen yhteisön kantaa. Säännöt: Kommentointi vain omalla nimellä, ellei minun kanssani ole muuta sovittu. Keskustelu asiasta. Asiattomuudet poistetaan ja bannataan. Sama koskee keskustelua somessa. Ollaan ihmisiksi. ❤️
An institutional approach on a new European security architecture oversimplifies a complex problem and brings about untenable compromises that only Russia stands to gain from. Dealing with current challenges in the security environment requires both a long term strategic vision and a thorough understanding of the core causes of disagreements and conflict, writes Henri Vanhanen. Henri is an author for the Finnish Foreign Policy publication The Ulkopolitist and has written expert articles on Finnish Foreign and Security policy, international relations and analyses of the security environment. Currently Henri is finishing his master’s degree in contemporary history. He is also a student in the 
Random thoughts 