Jo tietotekniikan alkumetreillä kävi nopeasti selväksi, että salasana on huono tapa tunnistaa käyttäjä. Pitkään tunnistautumishaastetta yritettiin ratkaista pitkillä, monimutkaisilla salasanoilla, jotka aiheuttivat käyttäjilleen päänvaivaa ja kiusauksen kehittää luovia tapoja helpottaa eri salasanojen muistamisen ja hallinnoinnin tuskaa. Vasta myöhemmin kuvaan astuivat paremmat ja vahvemmat tavat tunnistaa käyttäjä. Yleisesti jälkimmäisiin nykyään viitataan termillä Multi Factor Authentication (MFA). Nykyään tarjolla onkin varsin laaja kirjo tapoja tunnistaa käyttäjä paremmin kuin pelkän salasanan voimin.
Identiteetin vaaliminen on niitä viimeisiä puolustettavia linnakkeita digitalisaation aikakaudella.
Onko tunnistautumiseen olemassa kaiken pelastavaa hopealuotia?
Nykyisessä hektisessä, jatkuvasti yhdistetyssä maailmassa asiat tuppaavat sekoittumaan helposti. Peruskysymys siitä, mitä ongelmia MFA oikeasti ratkaisee, on varsin hämärtynyt. Usein MFA-ratkaisua näkee kaupattavan kuin universaalia hopealuotia, jolla suojata liiketoiminta. Kaukaa katsottuna tältä se näyttääkin, sillä onhan identiteetin vaaliminen niitä viimeisiä puolustettavia linnakkeita digitalisaation aikakaudella. Totuus kuitenkin on, että yksittäisten osa-alueiden painottaminen tietoturvassa johtaa vääristymiin ja valheelliseen turvallisuuden tuntuun.
Voiko vahvastikin tunnistettu käyttäjä olla tahallaan tai tahattomasti uhka tietoturvalle? Voiko vahvasti tunnistettu identiteetti ollakin jotain muuta kuin käyttäjä? Kyllä voi. Yleinen ongelma on, että identiteetin suojaaminen vahvalla tunnistuksella koetaan liian kattavana tapana suojata liiketoimintaa ja vastaavasti identiteetti itsessään koetaan liian suppeana määritelmänä. Mitä tämä tarkoittaa käytännössä?
Vaikkapa arkipäiväistä tilannetta, jossa vahvasti tunnistettu käyttäjä kopioi tiedoston koneelleen pilvipalvelusta ja päättää jatkaa työtään siirtämällä tiedoston kokonaan toiseen pilvipalveluun. Tämä on hyvä esimerkki kuvaamaan ongelmaa, joka syntyy suppeasta identiteetin määrittelystä ja liiasta luotosta yhteen teknologiaan. Vahvan tunnistautumisen rooli tässä esimerkissä on se, että tekijästä voidaan lopulta olla varmoja vain suurin piirtein. Miksi vain suurin piirtein? Taustalla on voinut käydä vaikka niin, että käyttäjän kirjatuessa pilvipalveluun vahvalla tunnistautumisella, tunnistamaton haittaohjelma työasemassa aktivoituu. Se varastaa, tuhoaa tai muuttaa tiedostoa ja tekijä on todellisuudessa joku aivan muu kuin käyttäjä.
Identiteetin merkitys ja muoto pilvimaailmassa
Identiteetin tulee siis vähintään muodostua käyttäjästä ja suuremmasta luotosta hänen identiteettiinsä, mutta myös laitteesta ja luottamuksesta sen eheyteen. Haittaa ei myöskään ole siitä, että käyttäytymismalleja seulotaan automaattisesti ja luotto identiteettiin on dynaaminen. Se, että ohjelmistot ovat tänä päivänä pilvessä, ei poista tarvetta verkon pääsynhallintaan. Nyt verkko on vain internet ja pilvi se palvelinkeskus. MFA on hyvä alku mutta huono loppu.