Kaksivaiheinen tunnistautuminen

digitaalisten tietojärjestelmien tunnistautumismenetelmä, jossa henkilön identiteetti varmennetaan kahta eri tunnistautumismenetelmää hyödyntäen

Kaksivaiheinen tunnistautuminen (eli two-factor authentication, tunnetaan myös nimellä 2FA) on vuonna 1984 patentoitu tekniikka,[1] jonka tarkoitus on varmentaa henkilön identiteetti kahta eri tunnistautumismenetelmää hyödyntäen. Tällä tavalla voidaan yrittää estää käyttäjätilin luvaton käyttäminen.

Pankkikortin sirulla maksaminen on arkipäiväisin tapa hyödyntää kaksivaiheista tunnistautumista.
YubiKey on käyttäjän mukana kulkeva USB-porttiin liitettävä laite, joka luo kaksivaiheisessa tunnistautumisessa käytettäviä muuttuvia koodeja. Kuvassa Neo- ja Nano-mallit.
Monien muiden palveluiden tapaan Twitter tarjoaa tavan vastaanottaa kaksivaiheisessa kirjautumisessa käytettävä koodi tekstiviestinä puhelimeen.

Toteutustavat

muokkaa

Joitakin kaksivaiheisen tunnistautumisessa käytettäviä menetelmiä käyttäjän tunnistamiseksi ovat:

Kaksivaiheista tunnistautumista käytetään esimerkiksi, kun maksetaan sirullisella pankkikortilla. Ilman pankkikorttia ja PIN-koodia ei voi maksutapahtumaa tehdä, sillä maksajalla pitää olla sekä pankkikortti hallussaan (jokin esine) että koodi tiedossaan (jokin salaisuus), jotta maksutapahtuma hyväksytään.

Kaksivaiheinen tunnistautuminen on käytössä tai ainakin vaihtoehtona useissa verkko- ja onlinepalveluissa. Toteutustapa on esimerkiksi kirjautumisen jälkeinen vahvistus sähköpostiin tai tekstiviestillä lähetettävällä koodilla, joka on syötettävä kirjautumisen lisäksi, tai Googlen tapauksessa suoraan Android-puhelimeen tuleva varmistus.

Mobiililaitteissa

muokkaa

Kaksivaiheisen tunnistautumisen haittapuolia on, että käyttäjän on aina pidettävä mukanaan tunnistautumisvälinettä (USB-tikkua, pankkikorttia, avainta.) Jos tunnistautumisvälinettä ei ole, kaksivaiheista tunnistautumista vaativa palveluun, toimintoon tai rakennukseen ei ole pääsyä.

Kaksivaiheisen tunnistautumisen tuoma epämukavuus ja sen aikaan saama tietoturvan lisääntyminen ovat asioita, joiden keskinäistä suhdetta punnitaan jatkuvasti. Ongelman ratkaisuksi keksittiin tekniikan tuominen mobiililaitteisiin. Tälloin käyttäjän mobiililaite on se tunnistusvaiheen osa, joka käyttäjällä on aina mukanaan. Käyttäjä voi kirjautua salasanan lisäksi esimerkiksi puhelimeen lähetettävällä, jokaisella kirjautumiskerralla vaihtuvalla PIN-koodilla tai matemaattiseen algoritmiin perustuvalla tunnisteella. Myös monia muita mobiililaitteisiin perustuvia ratkaisuja on kehitetty.

Mobiililaitteen hyötynä kaksivaiheisessa tunnistautumisessa on ylimääräisten avaimien ja muiden tunnistautumisvälineiden poisjääminen. Mobiililaite useimmiten seuraa käyttäjäänsä kaikkialle. Haittapuolia mobiililaitteissa on kuitenkin monia, joista keskeisimmät tässä:

  • Kaikki eivät omista soveltuvaa mobiililaitetta, ja uuden puhelimen ja/tai liittymäsopimuksen hinta voi olla hyvinkin korkea suhteessa saavutettuun hyötyyn.
  • Tekstiviesti saattaa maksaa käyttäjälle tai palvelun tuottajalle erityisesti silloin kun käyttäjä vierailee ulkomailla.
  • Puhelimen tulee kulkea käyttäjän mukana akku ladattuna. Lisäksi sen pitää joissakin tunnistautumismenetelmissä olla yhteydessä verkkoon, mikä ei ole kaikkialla maailmassa mahdollista. Mikäli tunnistautumista ei voi puhelimella tehdä, on käytettävä vaihtoehtoisia kirjautumismenetelmiä jos käyttäjälle sellaisia tarjotaan.
  • Käyttäjä saattaa joutua luovuttamaan puhelinnumeronsa palvelun tuottajalle, jolloin tietoturvan taso saattaa madaltua tai käyttäjän liittymä voi joutua roskapostin kohteeksi.
  • Käyttäjälle tekstiviestinä lähetetty avainkoodi on mahdollista saada ulkopuolisen haltuun kaappaamalla viesti.[3]
  • Tekstiviestien toimittaminen käyttäjän mobiililaitteeseen saattaa kestää kauan tai epäonnistua ja aiheuttaa turhia viivästyksiä kirjautumisprosessiin.

Katso myös

muokkaa

Lähteet

muokkaa
  1. http://www.google.com/patents/US4720860
  2. What is 2FA? virtualdcs.co.uk. Viitattu 19 February 2015.
  3. SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems, Proceedings of the 13th IEEE Symposium on Computers and Communications (ISCC'08), pp. 700–705, July 2008 arXiv:1002.3171
  NODES
twitter 1