Kertakirjautuminen (SSO) Osa 4. Hyödyt ja haitat

Artikkelisarjan viimeisessä osassa keskitytään kertakirjautumisen ja federoidun kirjautumisen hyötyihin ja haittoihin. Ensimmäisenä tuon esiin keskeisen haasteeseen, joka kohdataan kun mitä tahansa toimintoja keskitetään. Vasta sitten keskitymme etuihin.

Aiemmissa artikkelisarjan osissa käsittelimme:

  • kertakirjautumisen taustaa ja määrittelimme kertakirjautumisen termin
  • kertakirjautumisessa käytettäviä moderneja yhteyskäytänteitä
  • kertakirjautumisen hallinnointimalli

Liian iso rikkoutuakseen

Fraasi “too big to fail” (TBF) lienee paremmin tunnettu taloustieteessä, kuin tietojenkäsittelytieteissä. Sillä tarkoitetaan tilannetta, jossa yksi yritys kasvaa niin suureksi, että sillä on kuluttajien arjessa niin merkittävä rooli, että yrityksen epäonnistumisella olisi ympäröivään talouteen katastrofaalinen vaikutus. Tällaiseksi yritykseksi voitaneen luokitella tutut multimiljardiluokan yritykset, kuten Google, Apple, Amazon jne.

Myös kertakirjautumisen riskinä on, että yksi kirjautumiskäytäntö yleistyy yrityksessä tai verkostossa laajasti niin merkittävään rooliin, että yrityksen tai verkoston toiminta keskeytyy, jos kertakirjautuminen ei olekaan käytettävissä. Vuosien kuluessa voi käydä niin, että kertakirjautuminen on ainoa tapa käyttää palveluja.

Eräs yleinen pelko välityspalvelumallissa on kaiken tunnistamisen keskittäminen yhteen pisteeseen. Välityspalvelun vikaantuessa mitään palvelua ei voi käyttää, kun kaikkien palvelujen tunnistaminen hoidetaan välityspalvelussa.

Molemmat ovat selkeitä riskejä ja myös kertakirjautumiseen liittyen on tehtävä riskiarvio. Tunnistettuihin riskeihin on varauduttava.

Keskittämisen riskiin varautuminen

Nykyään palvelut tuotetaan pilviympäristöissä tai hybridimallilla tuotetuista luotettavista konesaleista, jolloin palvelin- tai tietoliikenneympäristöön liittyvät riskit ovat aiempaa paremmin hallittavissa. Palvelut on helppo kahdentaa koko arkkitehtuuripinon kattavuudelta. Välityspalvelumallissa onkin ehdoton edellytys, että välityspalvelu toteutetaan korkean saavutettavuuden (HA – High Availability) periaattein.

Välityspalvelun hallinnoinnissa on oltava suunnitellut prosessit palvelun perustamiseen ja ylläpitoon (devops) sekä poikkeamien hallintaan ( incident management/ disaster recovery ). Voi olla tarpeen tunnistaa organisaation keskeiset (IT:n) ylläpitotoiminnot erikseen ja eriyttää niiden tunnistaminen erilleen muista päivittäin käytettävistä palveluista.

Välityspalvelu vähentää tunnistamiseen liittyviä riskejä silloin, jos siihen on kytketty useita tunnistusmenetelmiä. Kytkiessään kertakirjautumisen yhteen tunnistusmenetelmään yritys on tämän tunnistusmenetelmän varassa. Välityspalveluun tunnistusmenetelmiä voidaan kytkeä useita ja yhden tunnistuspalvelun ongelmissa on mahdollista käyttää toista.

Hyvä analogia kertakirjautumisen keskeisyyden riskiin on kaupunkien kaukolämpö. Jos talviaikaan kaukolämpöjärjestelmään tulee vikaa, suuri joukko talouksia viilenee nopeasti. Kaukolämpöverkossa onkin pienempiä huippuvoimaloita, jotka tulevat avuksi, kun kapasiteetti on täydessä käytössä tai jos varsinaisten voimalaitosten kanssa on ongelmia.

Kertakirjautumisessa pitääkin noudattaa saman tyyppistä varautumista. On tunnistettava organisaation keskeisimmät palvelut ja suunniteltava, miten niitä käytetään poikkeuksellisen harvinaisten, mutta mahdollisten kertakirjautumisjärjestelmän ongelmien yhteydessä. Vakavaan poikkeamaan voi varautua kaukolämmön malliin vaihtoehtoisella erillisellä pisteratkaisulla, joka otetaan käyttään katastrofin sattuessa.

Lisäksi, kuten haja-asutusalueella taloihin rakennetaan varmuuden varana tulipesä, myös yrityksen tärkeimpiin palveluihin voi olla tarpeen lisätä vaihtoehtoinen kirjautumismenetelmä. Kertakirjautuminen on tavanomainen käyttötapa normaalioloissa, mutta poikkeusoloissa voidaan joutua turvautumaan hankalampiin menetelmiin.

Poikkeuksiin varautuminen on suhteutettava riskin todennäköisyyteen ja mahdollisen toteutuman aiheuttamaan vahinkoon. Riskien arvioinnissa auttaa, jos yrityksessä on erikseen kertakirjautumiseen paneutuneita osaajia ja aiemmin mainittu hallinnointimalli.

Yhdellä tunnuksella kaikkiin palveluihin

Toinen keskittämisen riski on yksittäisten käyttäjätunnusten kannalta tunnuksen päätyminen vääriin käsiin. Kun yhdellä tunnuksella pääsee kirjautumaan lukuisiin palveluihin, väärinkäytösten riski kasvaa vastaavasti.

Kun organisaatiot ovat alkaneet suojata palvelujaan verkon rajalla, tukeutumalla turvallisempiin pilvipalveluihin ja huolehtimalla aiempaa paremmin palvelujen päivityksistä, pahantahtoisen hyökkääjien hyökkäyspinta-ala kapenee. Seuraavaksi paras tapa iskeä järjestelmiin on käyttäjätunnusten varastaminen.

Olisi väärin perustella, että hajauttamalla tunnistaminen useiden tunnusten taakse olisi ratkaisu tunnusten väärinkäytölle. Tähän on kuitenkin poikkeus, samoin kuin tunnistusratkaisun keskittämisen riskiin varauduttaessa, ylläpitopalvelun tunnukset on hyvä eriyttää. Loppukäyttäjien tunnusten kohdalla hajauttaminen ei ole ratkaisu, sillä yleensä päädytään heikompaan tilanteeseen mm. siksi, että käyttäjät keksivät huonoja menetelmiä lukuisten eri tunnusten muistamiseen. Mitä useampi salasana, sitä heikompi kokonaisturva on.

Sen sijaan kirjautumistunnusten keskittämisen kasvattamaan kalasteluriskiin (phishing) valmistaudutaan vahvistamalla tunnistustekijöitä. Nykyään tunnuksia vahvennetaan monivaiheisella tunnistuksella, eli lisäämällä perinteisen käyttäjätunnuksen ja salasanan rinnalle kolmas tunnistustekijä. Miten kolmas tunnistustekijä toteutetaan, riippuu palvelun suojaustasovaatimuksesta. Selkeintä lisävaiheiden käyttöönotto on tehdä mahdollisimman lähellä varsinaista tunnistusmenetelmiä.

Kalasteluriskiin varautumiseksi verrattomin suojauskeino on myös käyttäjien kouluttaminen. Kun kirjautuminen on keskitetty, käyttäjät oppivat mikä on yrityksen kirjautumispalvelu ja miltä se näyttää. Käyttäjät opetetaan suojaamaan erityisesti juuri yrityksen keskitettyä kirjautumispalvelua ja siihen liittyviä tunnistustekijöitä parhaimmalla huolellisuudella. Lisäksi on paljon pienempiä tärkeitä yksityiskohtia, joihin organisaation pitää kiinnittää tietoturvassaan huomiota. Älä toista samoja keinoja organisaation prosesseissa, joita hyökkääjä käyttäisi. Esimerkiksi linkkejä palveluihin kirjautumiseen ei koskaan lähetetä sähköpostilla. Näin tekisi kalastelija. Sen sijaan kootaan yrityksen palvelujen linkit kirjautumisen taakse yhteen tuttuun paikkaan, josta käyttäjä ne löytää löytää.

Kertakirjautumisen etuja

Mikään asia ei ole mustavalkoinen ja niin on myös kertakirjautumisen suhteen. Palveluiden ottaminen kertakirjautumisen piiriin tuo riskeistä huolimatta niin suuria etuja, että kertakirjautumisen toteuttamista ei voi sivuuttaa vain riskeihin vedoten. Näin on etenkin kun riskeihin varautumiseen on keinoja.

Seuraavissa alakappaleissa esitetään joitain etuja, mutta edut saattavat olla hyvin paikallisia alkaen esimerkiksi käyttäjien tyytyväisyydestä ja työhyvinvoinnista. Tässä artikkelissa luetellut edut eivät siis ole tyhjentävä lista.

Eroon ylimääräisistä salasanoista

Keskeisin ja useimmin kertakirjautumisen eduksi luetaan ylimääräisistä salasanoista eroon pääseminen. Ja näin onkin, se on selvä etu. Sen sijaan, että käyttäjä joutuisi kirjautumaan palveluihin erillisellä salasanalla, kertakirjautumisen avulla hänelle riittää organisaatiossa kenties yksi ainoa salasana.

Nykyään salasanan käyttämisen yhteydessä on noudatettava hankalia käytänteitä, että salasana voi olla turvallinen tunnistusmenetelmä. Salasanoja on vaihdettava säännöllisesti, niiden on oltava riittävän monimutkaisia, että niitä ei tarvitse arvata ja eri palveluihin on oltava erilaiset salasanat. Salasana onkin hyvin epätoivottu menetelmä käyttäjän tunnistamiseen.

Salasanaa ei pitäisikään missään enää käyttää. Aiemmassa artikkelin osassa esiteltiin Fido ja WebAuthn, joiden eräs piirre on mahdollisuus luopua salasanasta. Sikäli salasanasta eroon pääseminen ei pitäisi olla nimenomaisesti kertakirjautumisen käyttöönoton argumentti, vaan salasanojen käytöstä luopumisen pitäisi olla yleinen tietoturvaa kohentava oma tavoitteensa.

Identiteettien hallinnan keskittäminen

Salasanasta eroon pääsemisen sijasta tarkempi argumentti kertakirjautumiselle on identiteettien hallinnan keskittäminen. Vaikka organisaatiolla ei olisi kattavaa identiteettien hallintajärjestelmää (IdM), panostaminen kertakirjautumiseen tuo jo apua identiteettien hallintaan.

Jos käyttäjät rekisteröidään erikseen jokaiseen organisaatiossa käytettyyn palveluun, on käyttöoikeuksien poistaminen työlästä käyttäjän poistuessa organisaatiosta. Jos kirjautuminen on keskitetty kertakirjautumisen piiriin, käyttäjä ei organisaatiosta poistuessaan ja tunnuksen sulkemisen jälkeen enää pääse kirjautumaan palveluihin, vaikka käyttäjäprofiilit niissä vielä olisivatkin aktiivisena.

Tietysti tavoitteena käyttäjätilien prosesseissa pitää olla tavoitteena identiteettien hallinnan keskittäminen yhteen paikkaan. Yritykset kehittyvät kuitenkin omia polkujaan ja kertakirjautumisen toteuttaminen on parempi, kuin ei mitään prosesseja.

Tietosuoja

Kertakirjautumisjärjestelmän piirissä voidaan toteuttaa käyttäjien tietosuojaa parantavia toimintoja. Yleisesti heikosti ymmärretty kertakirjautumisen piirre on, että käyttäjä voidaan tunnistaa palvelun käyttäjäksi myös identifioimatta hänen henkilöllisyyttään.

On palveluja, joihin pääsyä halutaan rajoittaa esimerkiksi osajoukkoon käyttäjiä, mutta palvelun luonteen kannalta ei ole tarpeen tietää käyttäjien henkilöyttä, keitä käyttäjät ovat. Näin voi esimerkiksi olla yrityksen intranetissä, johon halutaan päästää vain yrityksen jäsenet lukemaan artikkeleita. Intranetin kannalta ei kuitenkaan ole merkitystä käyttäjän identiteetillä nykyään, kun varsinaiset viestimet on erikseen.

Kertakirjautumispalvelussa voidaan käyttäjästä luovuttaa vain tieto, että hän on yrityksen käyttäjä ja kerrotaan käyttäjästä vain yksittäiselle palvelulle luovutettava opaakki tunniste, jota ei voi yhdistää käyttäjän henkilöyteen.

Kertakirjautumispalvelu siis suojaa käyttäjän tietosuojaa siten, että käyttäjästä luovutetaan palvelulle vain ja ainoastaan se määrä tietoa, joka on palvelun kannalta tarpeellista. Tällainen henkilötietojen määrän rajoittaminen on uuden eurooppalaisen tietosuoja-asetuksen keskiössä ja itseasiassa organisaation velvollisuus.

Yleisesti parantunut tietoturvallisuus

Kertakirjautumiseen liittyy lukematon määrä tietosuojaa ja tietoturvallisuutta parantavia piirteitä. Jos se, että tunnistuspalveluja on monen sijasta yksi, mahdollistaa organisaatiolle keskittää tietoturvaavat toiminnot yhteen palveluun sen sijasta, että suojattaisiin monta eri palvelua.

Tunnistuspalvelun teknisessä suojaamisessa pitää muistaa myös keskitetyn palvelun riskit ja noudattaa sipulipuolustusta. Tunnistuspalvelua täytyy siis suojata kaikilla mahdollisilla kerroksilla eri vaaroja vastaan, esimerkiksi: tietoliikenne on suojattava, hallinnointimalli on oltava turvallinen, palvelu on auditoitava säännöllisesti, käyttäjiä on koulutettava sosiaalista tiedon kalastelua vastaan jne.

Kun käyttäjät oppivat tuntemaan hyvin yhden kirjautumistavan, heidän edellytykset suojata kirjautumistapaan liittyviä tunnisteita on keskeisesti parempi. Jos käyttäjä käyttää monenlaisia eri tunnisteita tai palveluja kirjautuakseen, hän ei suhtaudu niihin yhtä huolellisesti. Kun hän oppii käyttämään yhtä keskeistä palvelua kirjautumisessa, käyttäjäkin ymmärtää menetelmän suojaamisen tarpeen ja suhtautuu suojaamiseen vaadittavalla huolellisuudella.

Parantunut käyttömukavuus

Käyttömukavuuden kannalta on aivan eri mittaluokassa, jos hän pystyy kirjautumaan eri palveluihin käyttäen samoja tunnisteita, kuin jos tunnisteita on useita ja kirjautumistapoja on useita. Jos lasketaan kirjautumistapahtumaan käytettyä aikaa, on helppo tulla lopputulokseen, että kirjautumisen keskittäminen lisää työntekijöiden tehokkuutta.

Useiden eri tunnisteiden muisteleminen, opetteleminen ja käyttö vaatii paitsi aikaa, myös uuvuttaa työntekijöitä. Uusien työntekijöiden on huomattavasti helpompi perehtyä yhden, kuin useiden tunnistusmenetelmien käyttöön

Tunnistamisen merkityksen hahmottaminen

Monesti tunnistamista ei nähdä keskeiseksi tekniikaksi ja kokonaisuudeksi organisaatiossa. Kun tunnistaminen keskitetään kertakirjautumisen piiriin, alkaa organisaatiossa hahmottua toiminto, jota ei ennen nähty: tunnistaminen.

Kun edellisen vuosituhannen loppuessa organisaatioissa alettiin tunnistaa tietoverkkojen suojaamisen tarve, selkeästi nyt kolmannen vuosituhannen päästyä hyvään vauhtiin on nähtävissä trendi, jossa tunnistaminen nousee samalla tavoin keskeiseksi aiheeksi, kuin palomuurit, tietoverkkojen suojaaminen ja tietoturva yleisesti aiemmin.

Tietohallinto ja tietotekniikka ovat vaikeita lajeja. Kun yritys kasvaa, on tietohallinnosta löydettävä selkeitä vastuualueita, joihin organisaation tietohallinnon ammattilaiset voivat keskittyä. Tietohallinto on yhtenä kokonaisuutena liian iso pala hahmotettavaksi kerrallaan.

Tunnistaminen on entistä useammin erityinen sellainen osio missä tahansa yrityksessä, johon pitää olla oma asiantuntijansa, mahdollisesti jopa oma asiantuntijatiimi. Haasteeksi tiimin kasaamisessa on osoittautunut, että etenkin tunnistamisen alan asiantuntijoita on hyvin vaikea löytää ehkä siksi, että sellaisia ei erityisesti kouluteta erikseen. Tunnistamisen asiantuntijaksi opitaan kokemuksen kautta.

Kertakirjautuminen yrityksen branditekijänä

Vahva kertakirjautumistoteutus voi näkyä myös yrityskuvaa vahventavana tekijänä. Paitsi, että kertakirjautuminen näyttäytyy huolellisena suhtautumisena tietoturvaan ja tietosuojaan, se näyttäytyy myös käyttäjien identiteettinä yrityksen palveluihin.

Artikkelissa on katsottu kertakirjautumista organisaation sisäisenä toimintona, mutta ei pidä unohtaa yrityksien asiakkaita, jotka ovat monessa yrityksessä myös käyttäjiä. Monet yritykset ovat lisänneet asiointipalveluihinsa some-tunnisteita, jotka ovat federoidun tunnistamisen eräs piirre.

Asiakaskäyttäjät eivät halua opetella uusia käyttäjätunnuksia ja salasanoja yrityksien asiointipalveluihin ja niille on nykypäivänä löydettävä vaihtoehto. Yritys joutuu kuitenkin sosiaalisen median tunnistusmenetelmiä käyttöön ottaessaan sulkemaan pois muut, kuin sosiaalisten medioiden käyttäjät tai toteuttamaan vaihtoehtoisen menetelmän. Lisäksi on pohdittava, mitkä tunnistusmenetelmät käyttöön otetaan ja miten niiden käyttäminen näyttäytyy yrityksen julkisuuskuvassa.

Ei ole yhdentekevää, miten yritys järjestää kertakirjautumisen asiointipalveluihinsa.

Yhteenveto

Olemme tulleet tällä erää artikkelisarjan päätökseen. Toivottavasti jaksoit lukea koko artikkelisarjan tai ainakin silmäilit otsikot ja syvennyit eniten kiinnostaviin aiheisiin.

Tämä artikkelisarja ei ole kaiken kattava, valmis ja virheitäkin esiintyy. Odotamme mielellämme teiltä palautetta ja kommentteja aihepiiristä mieluisinta kanavaa käyttäen.

Facebook
Twitter
LinkedIn

Aikaisemmat osat