FIDO2 suhteessa salasanapohjaisen tunnistautumisen ongelmiin webpalveluissa
Authors
Date
2023Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Salasanapohjainen tunnistautuminen on säilyttänyt asemansa yleisimpänä tunnistautumismenetelmänä jo vuosikymmenien ajan. Uusi salasanaton tunnistautumisstandardi FIDO2 on osoittautunut salasanapohjaisen tunnistautumisen potentiaalisimmaksi syrjäyttäjäksi, jolla on myös edellytyksiä levitä laajasti kuluttajakäyttöön. Tämän kirjallisuuskatsauksen tarkoituksena on selvittää salasanapohjaisen tunnistautumisen parhaita käytäntöjä ja erityisesti sen toteuttamiseen liittyviä toimenpiteitä. Toisena tavoitteena on tutkia mahdollisia FIDO2:n tarjoamia parannuksia näihin havaittuihin löydöksiin.
Tutkimus aloitettiin keräämällä ja validoimalla aineisto tutkimuskysymysten perusteella. Lähteiden laadun varmistamiseksi luotiin lähdematriisi. Lopulliseen aineistoon valittiin 26 vertaisarvioitua tieteellistä julkaisua, sekä paljon standardin kehittäjien aineistoa. Tutkimuksen suurimmat ongelmat liittyivät suhteellisen vähäiseen ja uuteen FIDO2-standardin tutkimukseen.
Tutkimuksen tulokset osoittavat, että ohjelmistokehittäjillä tulee olla laaja tietämys useista eri menettelytavoista salasanapohjaisien ratkaisujen toteutuksessa. Tiedeyhteisö on havainnut puutteita kehittäjien tiedoissa ja taidoissa käytettäessä salausrajapintoja salasanojen tallentamiseen. Myös salasanojen luomista ohjaavien toimenpiteiden toteutus on havaittu puutteellisiksi yleisesti web-palveluissa. FIDO2:n on todettu parantavan salasanapohjaisissa kirjautumismenetelmissä havaittuja puutteita, erityisesti tietovuotoja ja tietojenkalasteluhyökkäyksiä vastaan, poistamalla tarpeen tallentaa salasanoja web-palveluntarjoajien palvelimille. Standardi on todettu tietoturvaltaan paremmaksi ratkaisuksi, kuin mikään muu tunnistautumismenetelmä tähän asti. Menetelmän toteuttamiseen liittyy kuitenkin API-rajapintojen käyttämisen suhteen samoja haasteita kuin salasanapohjaisilla tunnistautumismenetelmillä. Toteutusmenetelmiin, dokumentaatioon ja kehittäjien koulutusmateriaaliin tulee kiinnittää huomiota, jotta salasanapohjaisien menetelmien toteutuksissa tunnistetut virheet eivät toistuisi tulevaisuuden FIDO2 implementoinneissa.
...
Keywords
Metadata
Show full item recordCollections
- Kandidaatintutkielmat [5334]
Related items
Showing items with similar title or keywords.
-
Yksivaiheisen tunnistautumisen puutteet ja monivaiheisen tunnistautumisen vaihtoehdot yritysjärjestelmissä
Ryhänen, Noora (2023)Informaatioteknologian kehittyminen on lisännyt liiketoimintamahdollisuuksia, mutta samanaikaisesti kasvattanut tietoturvariskien määrää. Tietoturvavahingot voivat aiheuttaa yrityksille erilaisia vahinkoja ja jopa tuhota ... -
Tunnistautumismenetelmät tietojärjestelmissä
Taipale, Juho (2019)Tässä kandidaatin tutkielmassa tarkasteltiin erilaisia tunnistautumismenetelmiä tietojärjestelmissä. Tavoitteena oli selvittää, minkälaisia erilaisia tunnistautumismenetelmiä on olemassa ja mitkä tekijät vaikuttavat niiden ... -
Kohti parempaa tietoturvaa : tutkimus monivaiheisesta tunnistautumisesta
Tulisalo, Jooel (2020)Keskustelu tietoturvallisuudesta on lisääntynyt viime aikoina runsaasti. IT-alan ammattilaisten keskuudessa on vahva konsensus siitä, että salasana on riittämätön mekanismi tietoturvalliseen autentikointiin. Tässä pro gradu ... -
On aika unohtaa salasanat : salasanojen tietoturvahaasteita ja ratkaisuehdotuksia
Ojala, Joonas (2022)Salasanat ovat suosituin tunnistautumistapa, vaikka vaihtoehtoisia tunnistautumisjärjestelmiä on nykyään saatavilla. Tässä kirjallisuuskatsauksessa tarkastellaan yksivaiheisten salasanaa hyödyntävien tunnistautumisjärjestelmien ... -
Käyttäjän tunnistus verkkopalveluissa : FIDO-teknologian ja monivaiheisen tunnistautumisen turvallisuus ja käytettävyys
Karjalainen, Eetu (2024)Digitalisaation kiihtyessä arkipäiväiset palvelut ovat yhä useammin saatavilla verkkopalveluina. Näin ollen käyttäjän luotettavan tunnistuksen merkitys korostuu etenkin tietoturvakriittisissä prosesseissa, kuten ...