Tuplatunnistuksen tarpeen oppii kantapään kautta
Quora-visailupalvelu tahtomattaan havainnollistaa, kuinka toimia silloin, kun tietokannasta livahtaa kyberrikollisille muutama sata miljoonaa käyttäjäprofiilia mahdollisine profiilin sisältämine yksityistietoineen.
Vahinkojen minimoimiseksi kaikki potentiaaliset uhrit kirjataan ulos palvelusta, jos nämä yrittävät ottaa käyttöön kybermurrossa saaliiksi päätynyttä salasanaa tunnistuksessa. Silloin sisäänkirjautuminen epäonnistuu ja järjestelemä pyytää luomaan uuden salasanan.
Quora tiedottaa tietävänsä senkin, miten moinen megaluokan tietomurto pääsi tapahtumaan, mutta palvelu ei kehuskele asialla. Tarkkailijoista taas vaikuttaa siltä, että vahinko on yksinkertaisin mahdollinen: käyttäjätietokantaan päästiin käsiksi yhden pääkäyttäjäsalasanan korkkaamisen kautta.
Moninkertaisen todennuksen puuttuminen tulisi luokitella haavoittuvuudeksi palvelussa. Tietosuojaa parantavan tuplatunnistusominaisuuden tehtävänä on varmistaa, että vain käyttäjä itse voi käyttää tiliä, vaikka joku muu olisi saanut haltuunsa salasanan.
Kaksiosainen todennus toimii jo muun muassa Apple ID:n suojauksessa iPhonella, iPadilla ja Macilla. Lisäksi tekninen mahdollisuus kaksoistunnistukseen löytyy muun muassa Samsungin uusista älypuhelinmalleista. Käytössä on vahvistuskoodi, joka on hyvä varmenne, mutta silmän iiris lienee paras tunnettu tunnistustapa.
Vähempikin kuin iiristunnistus riittää nyt ensihätään. Tili on aina paremmin suojattu, kun sisäänkirjautuminen edellyttää salasanaa ja vahvistuskoodia, esimerkiksi Googlesta löytyy suhteellisen hyvin toimiva ominaisuus vahvistinkoodin käyttöön.
Kun kaksivaiheinen vahvistus otetaan käyttöön, tilille kirjautuminen tapahtuu kahdessa vaiheessa ja edellyttää sekä salasanaa että erillistä suojausavainta.
Google varmistaa, että kirjautuja on se joka pitääkin, ja lähettää tekstarina kuusinumeroisen koodin puhelimeen. Myös sen voi valita, haluaako vastaanottaa koodin tekstiviestinä vai puheluna (mikä on turvallisinta).
Tekstariprotokolla tosin kehitettiin aikanaan juuri tämän tyyppiseen varmentamiseen, ja siinä se toimii yhä hyvin. Käytän tekstaria yhä muun muassa kiinteistötekniikan ohjauksessa.
Vaativampaan käyttöön löytyy suojausavain, pieni ostettava laite, joka toimii henkilöllisyyden todentajana kirjautumisen yhteydessä. Sen voi yhdistää avaimen puhelimeen, tablettiin tai tietokoneeseen tai kelloon.
Avaimet parantavat tilin suojausta. Ratkaisu ei edellytä jatkuvaa koodin syöttämistä laitteisiin.
Myös Microsoftin tileissä näkyy olevan mahdollista käyttää suojauskoodia, mutta konsepti vaikuttaa luvalla sanoen hieman huteralta. Vahvistuskoodin hukkaaminen MS:n mukaan lukitsee tilin vähintään 30 vuorokaudeksi, tai tili voi olla myös kokonaan menetetty.
Eniten toimivia vahvistuskoodeja tarvittaisiin, kun tiedostoja jaetaan pilvipalvelujen kautta. Sähköpostin asemesta pilveä käytetään jakeluun esimerkiksi tiedostokoosta johtuen.
Niin, pilvi on edelleen liian helppo murtaa siihen suhteutettuna, miten tärkeää dataa siellä jaetaan.
