Yksi-, kaksi- ja kolmitoiminen todennus

Olen taas törmännyt siihen. Taas yksi organisaatio, joka luulee, että kaksi käyttäjätunnusta ja salasanaa muodostavat kaksitekijätodennuksen ja täyttävät PCI DSS:n vaatimuksen 8.3.. Kun internetissä on niin paljon dokumentaatiota saatavilla, luulisi tämän aiheen olevan kylmiltään käsitelty. Vaikuttaa kuitenkin siltä, että on edelleen epäselvyyttä siitä, mikä on yhden, kahden ja kolmen tekijän todennus, joten ajattelin käyttää tämän hetken selittääkseni näitä käsitteitä.

Keskustellaanpa kolmen tekijän todennuksen määritelmistä.

• Ykköstekijän todennus – tämä on ”jotain, minkä käyttäjä tietää”. Tunnetuin yhden tekijän todennusmenetelmä on salasana.
• Kahden tekijän todennus – ensimmäisen tekijän lisäksi toinen tekijä on ”jotain, mitä käyttäjällä on”. Esimerkkejä jostain, mikä käyttäjällä on, ovat fob, joka tuottaa ennalta määritetyn koodin, allekirjoitettu digitaalinen varmenne tai jopa biometrinen tunniste, kuten sormenjälki. Tunnetuin kaksitekijätodennuksen muoto on kaikkialle levinnyt RSA SecurID fob.
• Kolmitekijätodennus – kahden edellisen tekijän lisäksi kolmas tekijä on ”jotain, mitä käyttäjä on”. Esimerkkejä kolmannesta tekijästä ovat kaikki biometriset, kuten käyttäjän ääni, käden kokoonpano, sormenjälki, verkkokalvon skannaus tai vastaava. Tunnetuin kolmen tekijän todennuksen muoto on yleensä verkkokalvon skannaus.

Tärkeää huomata edellä mainituissa määritelmissä, että missään ei mainita kahden salasanan tai salasanalauseen, kahden sormenjäljen tai kahden verkkokalvon skannauksen käyttöä. Tällaista kahden saman tekijän käyttöä pidetään monitekijätodennuksena, eikä se liity mihinkään edellä mainituista määritelmistä. Ne teistä, jotka käyttävät kahta eri käyttäjätunnusta ja salasanaa, eivät siis käytä kaksitekijätodennusta vaan monitekijätodennusta. PCI DSS:n vaatimus 8.3 on hyvin täsmällinen, ja siinä vaaditaan kaksitekijätodennusta tai parempaa. Monitekijätodennusta ei siis voida hyväksyä.

Toinen asia, joka on mainittava, on se, että tietoturvapuristit väittävät, että biometrisen tunnisteen käyttäminen toisena tekijänä rikkoo kolmannen tekijän sääntöjä. Toiset turvallisuusalan ammattilaiset sanovat kuitenkin, että jokin, mikä käyttäjällä on tai mitä hän on, voi olla joko merkki tai biometrinen tunniste. Heidän logiikkansa mukaan käyttäjällä on sormenjälki tai verkkokalvo, joten se kelpaa kummaksi tahansa tekijäksi. Tärkeintä on käyttää tiettyä biometristä tunnistetta vain kerran. Jos siis käytät sormenjälkeä toisena tekijänä, et voi käyttää sormenjälkeä kolmantena tekijänä.

Loppujen lopuksi, vaikka tämä on itsestäänselvyys, monet ihmiset eivät huomaa tätä kohtaa. Yhden tekijän tunnistus on vähemmän turvallinen kuin kahden tekijän tunnistus, joka on vähemmän turvallinen kuin kolmen tekijän tunnistus. Jos käyttäjät kuitenkin rakentavat salasanansa tai tunnuslauseensa oikein ja muut kirjautumisrajoitukset ovat käytössä, yhden tekijän todennus voi olla melko tehokas tietoturvaloukkauksia vastaan, mahdollisesti 90 prosentin luokkaa. Kaksitekijätodennuksen tehokkuus nousee yleensä noin 97-98 prosenttiin. Kolmen tekijän todennus nostaa tehokkuuden todennäköisesti kuuden sigman tasolle. Huomaa, että jopa kolmitekijätodennuksella päästään vain 99,9999 prosentin tehokkuuteen. Kuten olen toistuvasti huomauttanut, tietoturva ei ole täydellistä.

Monet ihmiset eivät ymmärrä, että he käyttävät kaksitekijätodennusta säännöllisesti. Käyttääksesi pankkiautomaattia tarvitset kortin (jotain, mikä sinulla on) ja nelinumeroisen henkilökohtaisen tunnistenumeron tai PIN-koodin (jotain, minkä tiedät). Toinen nykyään yleinen esimerkki on se, että turvattuihin tiloihin päästäkseen valtuutetun käyttäjän on käytettävä HID-korttiaan ja syötettävä PIN-koodi näppäimistöön, ennen kuin ovi aukeaa. On huomattava, että tekijöiden käyttöjärjestyksellä ei ole merkitystä. Pankkiautomaatti- ja sisäänkäyntiesimerkkien tapauksessa ensin pyyhkäistään kortti (jotain, mikä on hallussa) ja sitten syötetään PIN-koodi (jotain, minkä tietää).

Jopa se, että toinen tekijä on jotain, mikä käyttäjällä on hallussaan, ei tarkoita, että käyttäjän on tiedettävä, että hänellä on se. Hyvä esimerkki on digitaalinen varmenne. Monet organisaatiot myöntävät digitaalisen varmenteen VPN-ohjelmistonsa mukana tarjotakseen kaksitekijätodennuksen. Useimmat käyttäjät eivät tiedä, että he tarvitsevat digitaalisen varmenteen saadakseen VPN:n toimimaan. Digitaalinen varmenne on yleensä sidottu käyttäjään tai tietokoneeseen, ja se asennetaan osana VPN-ohjelmiston asennusta. Käyttäjä saa tietää digitaalisesta varmenteesta vain, jos se on joskus vioittunut tai vanhentunut, mikä aiheuttaa virheen, kun käyttäjä yrittää muodostaa yhteyden VPN:ään. (HUOMAUTUS: Neuvoston vuonna 2017 julkaisemassa monitekijätodennusta koskevassa täydennysosassa (Multi-Factor Authentication Information Supplement) kiellettiin tässä käsiteltyjen digitaalisten varmenteiden käyttö PCI-yhteensopivan kaksitekijätodennuksen täyttämisessä.)

Muuten tärkeä seikka on se, että tapauksissa, joissa käytetään vain HID-kulkukorttia, käytetään yksitekijätodennusta. Tekijöiden määritelmät on laadittu oppimisen ja muistamisen helpottamiseksi. Minkä tahansa tekijän käyttäminen yksinään on kuitenkin yhden tekijän todennusta. Kunkin tekijän käyttäminen yhdessä toisen tekijän kanssa johtaa kaksi- ja kolmitekijätodennukseen. Voit siis käyttää kaikkien tekijöiden erilaisia yhdistelmiä vähentämään vaaratilanteen todennäköisyyttä. Esimerkiksi monissa vakoojaelokuvissa on erittäin turvallinen huone, johon pääsemiseksi tarvitaan esimerkiksi henkilökortti, PIN-koodi, verkkokalvoskannaus ja salasana. Tämä ei ole esimerkki nelitekijätodennuksesta, vaan kyseessä on kolmitekijätodennus, jossa käytetään kahta biometristä tekijää (eli monitekijätodennus).

Loppujen lopuksi biometristen tekijöiden käyttöön liittyy riski, josta useimmat ihmiset eivät halua puhua, mutta joka on tärkeää ottaa huomioon. Ihmisille sattuu koko ajan onnettomuuksia. Sormet leikataan tai jopa poistetaan. Kädet murtuvat tai vammautuvat. Silmät vahingoittuvat. Ihmiset menettävät äänensä. Jos siis aiot käyttää biometriikkaa tunnistautumiseen, varmista, että varaudut tällaisiin vaaratilanteisiin.

Toivottavasti ymmärrät nyt tunnistautumisen eri tekijät ja ymmärrät, miten niitä käytetään.