TUPAS-tunnistus loppui — salasanojen käyttö on edelleen merkittävä uhka!

Signicat uutisoi viime vuonna Tupas-kaaoksesta ja onnistui herättämään ison joukon uinuvia verkkopalveluiden tarjoajia.

”Signicatin vahvan tunnistautumisen tapahtumamäärät kolminkertaistuivat viime vuonna ja lujitti Signicatin asemaa markkinajohtajana. Erityisen positiivista oli havaita Mobiilivarmennetapahtumien raju kasvu. Seuraavaksi korjattava epäkohta on edelleen aivan liian laajasti käytetyt turvattomat salasanat.” kertoo Signicatin maajohtaja Antti Harsunen.

Vahva tunnistautuminen – vahva uusi rutiini heikon tilalle

"Käyttääksesi palvelua sinun on ensin luotava käyttäjätili " – hohhoijaa... ja pakollisten kenttien täytön jälkeen tulisi vielä luoda monimutkainen ja ainutlaatuinen salasana, joka pitäisi muistaa seuraavallakin kerralla. Kiusaus käyttää tuttua vakiosalasanaa on suuri, etenkin mobiililaitteella omalta sohvalta käsin. Onko tuttua?

Myös eri salasanojen hallintapalvelut (password managers) ovat hakkeroitavissa jo keskinkertaisilla hakkerointitaidoilla. Tämä johtaa pahimmillaan siihen, että hakkeri saa pääsyn käyttäjän kaikkiin tietoihin ja käyttämiin palveluihin.

2020-luvun kunniaksi voisimme pysähtyä miettimään hetkeksi - voisiko turvattomat kirjautumisrutiinit uudistaa tinkimättä kuitenkaan mukavuudesta?

Vahva tunnistautuminen on edelleen usein mielletty osaksi lähinnä verkkopankkiasiointia tai veroilmoituksen sähköistä jättämistä. Mielikuvaa on vahvistanut osaltaan se, että Suomessa vahvan tunnistautumisen käyttö on ollut verkkopalvelujen tarjoajille sekä työlästä että kallista. Tämä on jarruttanut vahvan tunnistautumisen yleistymistä tunnistautumisvaihtoehtona.

Nykypäivänä kuitenkin vahvan tunnistautumisen lisääminen verkkopalveluihin on varsin vaivatonta ja myös hintataso on laskenut kymmenesosaan viime vuosiin verrattuna. Ja kuluttajanhan ei tarvitse maksaa vahvan tunnistautumispalvelun käytöstä.

Kaksi syytä siirtyä vahvaan tunnistautumiseen ensisijaisena tunnistautumisvaihtoehtona

Käytön vaivattomuus:

Nykyisin Mobiilivarmenteen tai verkkopankkitunnistautumisen käyttäminen edellyttää vähemmän laitteen näppäilyä kuin normaalimittainen käyttäjätunnus – salasanayhdistelmä eikä edellytä salasanan muistamista. Tämä johtuu siitä, että pankit ovat siirtyneet tunnuslukulistoista helppokäyttöisiin tunnistussovelluksiin ja kuluttajat ovat vihdoin omaksuneet myös teleoperaattorien tarjoaman Mobiilivarmenteen käytön. Pohjoismainen kuluttaja käyttää tutkimusten mukaan keskimäärin jo neljä kertaa viikossa vahvaa tunnistautumista.

Tietoturvallisuus:

Vahvalla tunnistautumisella voidaan minimoida se, ettei käyttäjän nimissä kirjaudu kukaan muu verkkopalveluihin.

Suomessa vahvan tunnistautumisen käyttö tarkoittaa automaattisesti nimittäin sitä, että EU-tasolla säädetyt tietoturvakriteerit on täytetty. Keskeinen kriteeri on sanomatason salaus eri osapuolten välillä.

Mitä asialle voisi siis käytännössä tehdä? Vastaus ei ole vaikea:

• verkkopalvelujen tarjoajien tulisi nostaa vahva tunnistautumisvaihtoehto selkeämmin ykkösvaihtoehdoksi
• kotisohvilla tulisi ottaa rutiiniksi Mobiilivarmenteen tai verkkopankkitunnistautumisen valinta verkkopalveluihin kirjauduttaessa ja ottaa pala suklaata palkinnoksi