FIDO2 suhteessa salasanapohjaisen tunnistautumisen ongelmiin webpalveluissa

Abstract

Salasanapohjainen tunnistautuminen on säilyttänyt asemansa yleisimpänä tunnistautumismenetelmänä jo vuosikymmenien ajan. Uusi salasanaton tunnistautumisstandardi FIDO2 on osoittautunut salasanapohjaisen tunnistautumisen potentiaalisimmaksi syrjäyttäjäksi, jolla on myös edellytyksiä levitä laajasti kuluttajakäyttöön. Tämän kirjallisuuskatsauksen tarkoituksena on selvittää salasanapohjaisen tunnistautumisen parhaita käytäntöjä ja erityisesti sen toteuttamiseen liittyviä toimenpiteitä. Toisena tavoitteena on tutkia mahdollisia FIDO2:n tarjoamia parannuksia näihin havaittuihin löydöksiin. Tutkimus aloitettiin keräämällä ja validoimalla aineisto tutkimuskysymysten perusteella. Lähteiden laadun varmistamiseksi luotiin lähdematriisi. Lopulliseen aineistoon valittiin 26 vertaisarvioitua tieteellistä julkaisua, sekä paljon standardin kehittäjien aineistoa. Tutkimuksen suurimmat ongelmat liittyivät suhteellisen vähäiseen ja uuteen FIDO2-standardin tutkimukseen. Tutkimuksen tulokset osoittavat, että ohjelmistokehittäjillä tulee olla laaja tietämys useista eri menettelytavoista salasanapohjaisien ratkaisujen toteutuksessa. Tiedeyhteisö on havainnut puutteita kehittäjien tiedoissa ja taidoissa käytettäessä salausrajapintoja salasanojen tallentamiseen. Myös salasanojen luomista ohjaavien toimenpiteiden toteutus on havaittu puutteellisiksi yleisesti web-palveluissa. FIDO2:n on todettu parantavan salasanapohjaisissa kirjautumismenetelmissä havaittuja puutteita, erityisesti tietovuotoja ja tietojenkalasteluhyökkäyksiä vastaan, poistamalla tarpeen tallentaa salasanoja web-palveluntarjoajien palvelimille. Standardi on todettu tietoturvaltaan paremmaksi ratkaisuksi, kuin mikään muu tunnistautumismenetelmä tähän asti. Menetelmän toteuttamiseen liittyy kuitenkin API-rajapintojen käyttämisen suhteen samoja haasteita kuin salasanapohjaisilla tunnistautumismenetelmillä. Toteutusmenetelmiin, dokumentaatioon ja kehittäjien koulutusmateriaaliin tulee kiinnittää huomiota, jotta salasanapohjaisien menetelmien toteutuksissa tunnistetut virheet eivät toistuisi tulevaisuuden FIDO2 implementoinneissa.