Opas: Passkeys, näin se toimii ja tätä se tarkoittaa
Google on yhdessä muiden teknologiajättien, kuten Applen ja Microsoftin, kanssa kehittänyt jo pidempään ratkaisua, jolla käyttäjät saataisiin irrotetuksi salasanoista pysyvästi. Ratkaisun nimi on Passkeys ja sille on kehitetty avoin standardi, jota kaikki suurimmat teknologiayhtiöt aikovat käyttää palveluissaan.
Googlesta tulee nyt ensimmäinen suuri toimija, joka niin sanotusti alkaa syödä omaa koiranruokaansa, eli ottaa ratkaisun käyttöön myös kaikissa omissa palveluissaan. Eli tästä päivästä lähtien kaikki Googlen palvelut tukevat salasanatonta kirjautumista. Mukana ovat siis Gmail, Google Kuvat, Google Docs ja lukemattomat muut Googlen palvelut.
Mutta mistä on oikein kyse..?
Mikä oikein on Passkeys?
Passkeys poistaa siis täysin verkkopalveluiden salasanat, jos sen haluaa ottaa käyttöön. Tietysti vain niiden verkkopalveluiden osalta, jotka passkeys-ratkaisua tukevat.
Jokaiselle verkkosivustolle luotavan salasanan sijaan passkeys luottaa puhtaasti siihen, että ihminen on päässyt kirjautumaan sisään laitteelleen. Eli järjestelmä laskee sen varaan, että kun olet päässyt kirjautumaan puhelimeesi tai tietokoneeseesi itsessään sisään, olet tarpeeksi vahvasti tunnistettu.
Yksinkertaistettuna: Kun avaat puhelimesi sormenjäljellä, kasvojentunnistuksella tai pin-koodilla, passkeys-järjestelmässä katsotaan, että sinut on tunnistettu. Tällöin mihin tahansa verkkopalveluun, johon olet yhdistänyt laitteesi, kirjaudutaan automaattisesti sisään, ilman salasanan kyselyä.
Miksi ihmeessä salasanoista pitäisi siirtyä Passkeysin käyttöön?
Tärkein syy on tietoturva. Miljoonat ihmiset käyttävät samaa salasanaa kaikissa mahdollisissa verkkopalveluissa. Kun yhteen verkkopalveluun tapahtuu tietomurto, on valtava riski siitä, että myös salasanat vuotavat samalla. Näitä salasanoja testataan rikollisten toimesta välittömästi kaikkiin tärkeimpiin verkkopalveluihin, josko ne toimisivat niissäkin. Valitettavan usein näin onkin - ja pahimmillaan ihmisen verkkoidentiteetti kaapataan rikollisten käyttöön.
Toinen syy on tietysti se, että iso osa ihmisistä kirjoittaa salasanansa ylös paperilapulle tai tekstitiedostoon. Tällöin eri salasanan käyttö eri palveluissa ei auta sekään mitään, jos tuo salasanoja sisältävä muistivihko päätyy vääriin käsiin.
Miten Passkeys voi olla turvallinen?
Passkeys ei välitä sormenjälkitietoja, kasvojen kuvaa tai edes pin-koodia yhdellekään verkkopalvelulle. Sen sijaan käyttäjän omaan laitteeseen luodaan salaustekniikalla salausavain kullekin passkeysia käyttävälle verkkosivustolle. Tuo avain saadaan käyttöön vain, kun laitteeseen kirjaudutaan sisään - eli kun vaikkapa puhelimen lukitus avataan. Tuon salausavaimen sisältö tarkistetaan paikallisesti, käyttäjän omalla tietokoneella, kun käyttäjä siirtyy passkeys-kirjautumista vaativalle sivustolle.
Tietoturva-asiantuntijoiden ja teknologiajättien mukaan ratkaisu on merkittävästi turvallisempi kuin salasanat. Passkeys on myös tietoturvallisempi kuin tekstiviestivarmennukseen pohjautuva 2FA-sisäänkirjautuminen. Samoin myös erilliseen autentikointisovellukseen pohjautuvat kaksivaiheiseen tunnistautumiseen pohjautuvat ratkaisut ovat turvattomampia kuin Passkeys.
Lisäksi Googlen tapauksessa käyttäjä voi nähdä suoraan listan kaikista laitteista, joilla hän on kirjautunut passkeysin avulla sisään ja joissa kirjautumistiedot ovat edelleen voimassa. Nämä voi pyyhkiä verkkosivun kautta pois käytöstä, etänä. Eli jos puhelin katoaa tai vaikka vain epäilee että kakkospuhelinta saattaisikin käyttää joku muukin, sen oikeudet voi poistaa näppärästi etänä. Tällöin kyseiselle laitteelle luotu salausavain mitätöidään - ja sen yhdistäminen tiliin vaatii uuden salausavaimen luonnin.
Salausavainta ei voi kirjoittaa muistiin ja se on laitekohtainen, eli sitä ei voi myöskään kopioida toiselle laitteelle.
Mitä riskejä Passkeysissä on?
Passkeysin käyttöön liittyy käytännössä kaksi riskiä. Tärkein niistä on se, että tietokoneelle tai puhelimeen ei saisi koskaan luoda jaettuja profiileja eli jokaisen käyttäjän pitäisi kirjautua laitteeseen omilla tunnuksillaan. Muutoin koko järjestelmän tietoturva romahtaa - eli jos lainaat puhelintasi kaverille ja avaat puhelimen lukituksen, on kaverillasi käytännössä pääsy kaikkiin passkeysia käyttäviin palveluihin.
Toinen riski piilee tilin palauttamisessa. Koska passkeys on laitesidonnainen, on se myös altis sille, että laite hajoaa. Tämän vuoksi passkeysin käytössä suositellaan aina, että palveluihin on kirjauduttu sisään kahdella eri laitteella. Google myös erikseen muistuttaa siitä, että tilin palautusta varten sekä puhelinnumero että palautuksen sähköpostiosoite kannattaa olla ajan tasalla.
Passkeys ei tietenkään poista salasanoja täysin, sillä useimmilla verkkosivustoilla sisäänkirjautuminen tehdään ensimmäistä kertaa salasanalla ja vasta sen jälkeen tiliin yhdistetään laitekohtainen passkeys-salausavain. Tämä ei kuitenkaan ole pakollista, sillä verkkosivustot voivat mahdollistaa uusien tunnusten luonnin myös täysin salasanattomasti, pelkästään Passkeysia käyttäen.
Miten Passkeysin saa käyttöön?
Googlen tileille passkeysin voi ottaa käyttöön jo saman tien, palvelu avattiin toukokuussa 2023. Kirjautumalla ensin Googlen tiliin perinteisesti salasanalla ja siirtymällä sen jälkeen Googlen Passkeys -sivulle voi luoda itselleen, sen hetkiselle laitteelleen oman salausavaimen. Tämän jälkeen kyseiseltä laitteelta Googlen palveluihin siirryttäessä ei salasanoja enää kysellä. Toisinaan Google saattaa silti vaatia laitteen tasolla tapahtuvan tunnistautumisen - eli vaikkapa sormenjäljen lukemisen - ennen tietyn toiminnon suorittamista.
Yritysten Google-tileille Passkeys ei ole vielä saatavilla.
Passkeysin voi myös lisätä mille tahansa kirjautumista tukevalle verkkosivustolle tai vaikkapa mobiilisovellukseen. Ohjeet Passkeysin käyttöönottoon verkkosivustoilla löytyvät sekä Googlelta että Applelta.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT