Välty harmilta, kun vaihdat älypuhelinta – Näin varmistat, että kaksivaiheinen tunnistautuminen toimii: ”Yllättävän vaikeaa jopa it-ammattilaisille”
Kaksivaiheinen tunnistautuminen voi aiheuttaa yllättäviä ongelmia silloin, kun älypuhelin menee vaihtoon. Petteri Järvinen huomasi, että asia voi yllättää jopa it-asiantuntijan.
Kaksivaiheinen tunnistautuminen on arkipäivää monissa yrityksissä, joissa on haluttu parantaa tietoturvaa. Kaksivaiheisella tunnistautumisella tarkoitetaan verkkopalveluihin ja yrityksen verkossa oleviin sovelluksiin kirjautumista erillisen tunnistautumissovelluksen kuten Microsoftin tai Googlen Authenticatorin kautta.
Tietokirjailija Petteri Järvinen nosti asian esille Twitterissä pian sen jälkeen, kun it-asiantuntijatehtävissä olevat henkilöt olivat ottaneet häneen yhteyttä liittyen kaksivaiheisen tunnistautumisen aiheuttamiin ongelmiin puhelinta vaihdettaessa.
– Ihmettelen, mikä it-ihmisille tässä on vaikeaa. Luulisi olevan selvää, että kaksivaiheisen todennuksen täytyykin olla vaikeaa, muutenhan se olisi pelkkä salasana. Kaksivaiheinen todennus on sidottu fyysiseen laitteeseen, on ikäänkuin kotiavain. Kun puhelin vaihdetaan uuteen, avain täytyy saada siirrettyä uuteen laitteeseen. Homma on tarkoituksella tehty vaikeaksi, Järvinen kertoo.
Siirto tapahtuu Googlen Authenticatorilla QR-koodilla, mutta Microsoftin sovelluksessa käyttäjän on kirjauduttava Microsoftin tilille sen omassa verkkopalvelussa.
– Tämä on siinä mielessä mielestäni ikävää, että Microsoft sitoo Windows-käyttäjät itseensä yhä härskeimmillä tavoilla ja antavat siirtää tilitiedot vain oman palvelunsa kautta.
”Suurin osa jättänyt tekemättä”
Järvinen kehottaa jokaista käyttäjää ottamaan selvää kaksivaiheisen tunnistautumisen siirrosta jo ennen puhelimen vaihtamista, jotta yllätyksiltä vältytään.
– Pahimmassa tapauksessa käyttäjä ehtii resetoida laitteensa tehdasasetuksiin ennen kun huomaa, ettei pääse enää kirjautumaan tärkeisiin palveluihin. Moni olettaa, että riittää kun hakee tiedot jostakin pilvipalvelusta. Ollaan totuttu siihen, että kaikki on helppoa ja pilvessä.
Yrityksissä kaksivaiheinen tunnistautuminen alkoi yleistyä pari vuotta sitten, kun Office365-huijaukset alkoivat yleistyä ja aiheuttaa ongelmia.
– Nyt kesälomalla olisi hyvää aikaa hoitaa tietoturva-asiat kuntoon ja ottaa kaksivaiheinen tunnistautuminen käyttöön muuallakin. Suurin osa on jättänyt sen tekemättä, vaikka viranomaiset ovat tästä puhuneet jo pari vuotta.
Pankin yritystili voi aiheuttaa päänvaivaa
Järvinen haluaa muistuttaa yrittäjiä pankkisovellusten toiminnan varmistamisesta uuden älypuhelimen hankinnan jälkeen. Monella käyttäjällä kaksivaiheisen tunnistuksen käyttö painottuu nimenomaan mobiilipankin käyttöön.
– Itselläni on käytössä Nordean sovellus. Sieltä voi määritellä oikeudet useaan eri puhelimeen eli käyttäjä voi antaa toisella puhelimella käyttöön oikeuttavan koodin toiseen puhelimeen.
Järvinen on huomannut, että ainakin osalla pankeista yrityspankkipalvelun koodin asentaminen uuteen puhelimeen vaatii pankista saatavan valtuutuskoodin.
Ongelmia voi kuitenkin tulla yritystilin kohdalla. Järvinen on huomannut, että ainakin osalla pankeista yrityspankkipalvelun koodin asentaminen uuteen puhelimeen vaatii pankista saatavan valtuutuskoodin.
– Onnistuin tekemään siirron väärin kolme kertaa peräkkäin, minkä jälkeen täytyi olla puhelimitse yhteydessä pankin asiakaspalveluun. Kannattaa varmistaa, että henkilökohtaiset ja yrityksen pankkipalvelut eivät ole yhden puhelimen varassa. Jos puhelin menee rikki tai putoaa veteen firman kesäriennoissa, uuden valtuutuksen saaminen pankista voi olla hankalaa, koska henkilöllisyys on todennettava käymällä pankin konttorissa. Jokaisen kannattaa selvittää omasta pankista, miten uusi puhelin valtuutetaan vanhan tilin käyttöön. Asia kannattaa hoitaa etukäteen esimerkiksi varapuhelimen avulla, Järvinen opastaa.
Fyysinen avain yleistyy
Siinä missä kaksivaiheisessa tunnistautumisessa avain on yhtä kuin älypuhelin itse, jatkossa tunnistautuminen saatetaan tehdä yhä useammin fyysisellä avaimella, niin sanotulla Yubikeyllä.
Kyseinen avain kommunikoi langattomasti puhelimen nfc-sirun kanssa.
– Se on verrattavissa kotioven avaimeen. Siitä täytyy pitää samalla tavalla huolta. Itselläni on jo Yubikey liitettynä Google-tiliini. Jos haluan vaihtaa tietokonetta, avain täytyy käyttää uuden koneen usb-portissa tai valtuuttaa avain uuteen tiliin.
