Kaksivaiheinen tunnistautuminen
Kaksivaiheinen tunnistautuminen (eli two-factor authentication, tunnetaan myös nimellä 2FA) on vuonna 1984 patentoitu tekniikka,[1] jonka tarkoitus on varmentaa henkilön identiteetti kahta eri tunnistautumismenetelmää hyödyntäen. Tällä tavalla voidaan yrittää estää käyttäjätilin luvaton käyttäminen.
Toteutustavat
muokkaaJoitakin kaksivaiheisen tunnistautumisessa käytettäviä menetelmiä käyttäjän tunnistamiseksi ovat:
- Fyysinen esine, tavara tai väline, kuten USB-tikku salausavaimella, pankkikortti tai avain
- Jokin salaisuus, kuten salasana, PIN-koodi tai kullakin kirjautumiskerralla vaihtuva numerosarja
- Jokin fyysinen ominaisuus henkilössä, kuten sormenjälki, silmän värikalvo, henkilön ääni tai kirjoitusnopeus.[2]
Kaksivaiheista tunnistautumista käytetään esimerkiksi, kun maksetaan sirullisella pankkikortilla. Ilman pankkikorttia ja PIN-koodia ei voi maksutapahtumaa tehdä, sillä maksajalla pitää olla sekä pankkikortti hallussaan (jokin esine) että koodi tiedossaan (jokin salaisuus), jotta maksutapahtuma hyväksytään.
Kaksivaiheinen tunnistautuminen on käytössä tai ainakin vaihtoehtona useissa verkko- ja onlinepalveluissa. Toteutustapa on esimerkiksi kirjautumisen jälkeinen vahvistus sähköpostiin tai tekstiviestillä lähetettävällä koodilla, joka on syötettävä kirjautumisen lisäksi, tai Googlen tapauksessa suoraan Android-puhelimeen tuleva varmistus.
Mobiililaitteissa
muokkaaKaksivaiheisen tunnistautumisen haittapuolia on, että käyttäjän on aina pidettävä mukanaan tunnistautumisvälinettä (USB-tikkua, pankkikorttia, avainta.) Jos tunnistautumisvälinettä ei ole, kaksivaiheista tunnistautumista vaativa palveluun, toimintoon tai rakennukseen ei ole pääsyä.
Kaksivaiheisen tunnistautumisen tuoma epämukavuus ja sen aikaan saama tietoturvan lisääntyminen ovat asioita, joiden keskinäistä suhdetta punnitaan jatkuvasti. Ongelman ratkaisuksi keksittiin tekniikan tuominen mobiililaitteisiin. Tälloin käyttäjän mobiililaite on se tunnistusvaiheen osa, joka käyttäjällä on aina mukanaan. Käyttäjä voi kirjautua salasanan lisäksi esimerkiksi puhelimeen lähetettävällä, jokaisella kirjautumiskerralla vaihtuvalla PIN-koodilla tai matemaattiseen algoritmiin perustuvalla tunnisteella. Myös monia muita mobiililaitteisiin perustuvia ratkaisuja on kehitetty.
Mobiililaitteen hyötynä kaksivaiheisessa tunnistautumisessa on ylimääräisten avaimien ja muiden tunnistautumisvälineiden poisjääminen. Mobiililaite useimmiten seuraa käyttäjäänsä kaikkialle. Haittapuolia mobiililaitteissa on kuitenkin monia, joista keskeisimmät tässä:
- Kaikki eivät omista soveltuvaa mobiililaitetta, ja uuden puhelimen ja/tai liittymäsopimuksen hinta voi olla hyvinkin korkea suhteessa saavutettuun hyötyyn.
- Tekstiviesti saattaa maksaa käyttäjälle tai palvelun tuottajalle erityisesti silloin kun käyttäjä vierailee ulkomailla.
- Puhelimen tulee kulkea käyttäjän mukana akku ladattuna. Lisäksi sen pitää joissakin tunnistautumismenetelmissä olla yhteydessä verkkoon, mikä ei ole kaikkialla maailmassa mahdollista. Mikäli tunnistautumista ei voi puhelimella tehdä, on käytettävä vaihtoehtoisia kirjautumismenetelmiä jos käyttäjälle sellaisia tarjotaan.
- Käyttäjä saattaa joutua luovuttamaan puhelinnumeronsa palvelun tuottajalle, jolloin tietoturvan taso saattaa madaltua tai käyttäjän liittymä voi joutua roskapostin kohteeksi.
- Käyttäjälle tekstiviestinä lähetetty avainkoodi on mahdollista saada ulkopuolisen haltuun kaappaamalla viesti.[3]
- Tekstiviestien toimittaminen käyttäjän mobiililaitteeseen saattaa kestää kauan tai epäonnistua ja aiheuttaa turhia viivästyksiä kirjautumisprosessiin.
Katso myös
muokkaaLähteet
muokkaaTämän artikkelin tai sen osan viitteitä on pyydetty muotoiltavaksi. Voit auttaa Wikipediaa muotoilemalla viitteet ohjeen mukaisiksi, esimerkiksi siirtämällä linkit viitemallineille. |
- ↑ http://www.google.com/patents/US4720860
- ↑ What is 2FA? virtualdcs.co.uk. Viitattu 19 February 2015.
- ↑ SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems, Proceedings of the 13th IEEE Symposium on Computers and Communications (ISCC'08), pp. 700–705, July 2008 arXiv:1002.3171