Jyväskylän yliopiston tutkijat ovat kehittäneet uuden monivaiheisen tunnistautumismenetelmän, jolla pyritään ratkaisemaan salasanoihin liittyviä käytettävyys- ja turvallisuusongelmia.
Alustasta riippumaton ratkaisu pyrkii korvaamaan perinteiset salasanat, ja sitä voi käyttää useiden digitaalisten tilien kanssa. Hanke kehitettiin Business Finlandin Research to Business -rahoituksella. Menetelmän kehittäneen SAFE-tiimin mukaan kyseessä on yksi ensimmäisistä inklusiivisista tunnistautumisratkaisuista maailmassa. Hanke on nyt päättynyt, ja tiimi on rakentanut sen aikana konseptin nimeltään SalaLogin.
– Tällä hetkellä salasanat ovat maailman käytetyin tunnistautumismenetelmä. Niihin liittyy kuitenkin paljon ongelmia sekä käytettävyyden että turvallisuuden suhteen. Tavoitteenamme oli luoda turvallisempi ja helppokäyttöisempi menetelmä, joka voisi korvata salasanojen käytön kokonaan, SAFE-projektin johtava tutkija Naomi Woods sanoo tiedotteessa.
Koronapandemian jälkeen salasanojen määrä on kasvanut merkittävästi, nousten keskimäärin 168 salasanaan internetin käyttäjää kohti vuonna 2024.
– Salasanojen suuri määrä käyttäjää kohden johtaa osaltaan riskialttiiseen turvallisuuskäyttäytymiseen, kuten heikkojen salasanojen käyttöön ja samojen salasanojen käyttämiseen useilla tileillä. Tästä aiheutuu vuosittain lukemattomia tietoturvaloukkauksia ja taloudellisia menetyksiä. Tätä vastaan me haluamme taistella, Woods kertoo.
Yli 80 prosentin tietoturvaloukkauksista arvellaankin aiheutuvan heikoista tai uudelleen käytetyistä salasanoista.
SalaLogin-ratkaisussa perinteiset salasanat korvataan luotetun laitteen, biometriikan sekä vihjeiksi ja salaisuuksiksi nimettyjen koodien avulla. Tarkoituksena on, että samaa ratkaisua voidaan käyttää yhtäaikaisesti useilla digitaalisilla tileillä niin henkilökohtaisessa elämässä kuin työelämässä. Tällöin useiden salasanojen muistaminen ja vanhojen salasanojen uudelleen käyttäminen tulee tarpeettomaksi.
– SalaLogin-tilin rekisteröitymisen yhteydessä käyttäjä luo itselleen vihjeitä ja salaisuuksia. Työlästä uuden salasanan luomista ei tarvitse käydä läpi jokaisella kerralla, kun uutta verkkopalvelua otetaan käyttöön, vaan käyttäjän tarvitsee tehdä rekisteröityminen ainoastaan yhden kerran, Woods kertoo.
Rekisteröitymisen yhteydessä luodaan yhteensä kuusi salaista koodia, jotka käyttäjä muistaa lopun elämäänsä. Kun käyttäjä haluaa kirjautua jollekin tilille, hän antaa ensin sähköpostiosoitteensa, tekee sitten biometrisen tunnistautumisen ja lopuksi syöttää laitteen antamaan vihjeeseen oikean vaihtoehdon kuudesta salaisesta koodista.
– Käyttäjätestauksen aikana monet osallistujat kertoivat odottaneensa, että he unohtavat salaiset koodinsa. He kuitenkin yllättyivät siitä, miten helppo ne oli muistaa vihjeen nähtyään. Lisäksi moni piti tunnistautumista hauskana, Woods toteaa.
Menetelmä on kehitetty sekä kyberturvallisuuden että käyttäjäpsykologian pohjalta. SAFE-tiimin mukaan prosessi on testeissä osoittautunut vähemmän stressaavaksi kuin perinteisten salasanojen käyttäminen. Samalla se synnyttää positiivisia tunteita herättämällä muistoja tärkeistä kokemuksista.
– SalaLogin voidaan lisäksi mukauttaa vastaamaan korkeatasoisiin turvallisuusvaatimuksiin esimerkiksi organisaatioissa, joissa on vaativia tunnistautumistarpeita, Woods sanoo.
Kaksivuotinen hanke tuotti myös kokonaan uuden startup-yrityksen, Sala Secure Oy:n.
– Sala Secure on käyttäjäkeskeinen yritys, jonka toiminnan ytimessä ovat inklusiivisuus ja yksityisyys. Suojelemme yksityisyyttä ja keräämme käyttäjiltämme vain minimaalisesti tietoa. Tavoitteena on varmistaa sekä käyttäjien yksityisyys että turvallisuus, Woods kertoo tutkijoiden perustamasta yrityksestä.
Woodsin mukaan ratkaisu voidaan helposti mukauttaa erilaisten käyttäjien, kuten vammaisryhmien ja ikääntyneiden, tarpeisiin ilman, että ratkaisun turvallisuudesta tarvitsee tinkiä.
– Tämä tekee menetelmästä yhden ensimmäisistä inklusiivisista tunnistautumisratkaisuista maailmassa, Woods sanoo.