FIDO2 suhteessa salasanapohjaisen tunnistautumisen ongelmiin webpalveluissa

Salasanapohjainen tunnistautuminen on säilyttänyt asemansa yleisimpänä tunnistautumismenetelmänä jo vuosikymmenien ajan. Uusi salasanaton tunnistautumisstandardi FIDO2 on osoittautunut salasanapohjaisen tunnistautumisen potentiaalisimmaksi syrjäyttäjäksi, jolla on myös edellytyksiä levitä laajasti k...

Täydet tiedot

Bibliografiset tiedot
Päätekijä: Hyttinen, Tuomas
Muut tekijät: Informaatioteknologian tiedekunta, Faculty of Information Technology, Informaatioteknologia, Information Technology, Jyväskylän yliopisto, University of Jyväskylä
Aineistotyyppi: Kandityö
Kieli:fin
Julkaistu: 2023
Aiheet:
Linkit: https://jyx.jyu.fi/handle/123456789/88202
Kuvaus
Yhteenveto:Salasanapohjainen tunnistautuminen on säilyttänyt asemansa yleisimpänä tunnistautumismenetelmänä jo vuosikymmenien ajan. Uusi salasanaton tunnistautumisstandardi FIDO2 on osoittautunut salasanapohjaisen tunnistautumisen potentiaalisimmaksi syrjäyttäjäksi, jolla on myös edellytyksiä levitä laajasti kuluttajakäyttöön. Tämän kirjallisuuskatsauksen tarkoituksena on selvittää salasanapohjaisen tunnistautumisen parhaita käytäntöjä ja erityisesti sen toteuttamiseen liittyviä toimenpiteitä. Toisena tavoitteena on tutkia mahdollisia FIDO2:n tarjoamia parannuksia näihin havaittuihin löydöksiin. Tutkimus aloitettiin keräämällä ja validoimalla aineisto tutkimuskysymysten perusteella. Lähteiden laadun varmistamiseksi luotiin lähdematriisi. Lopulliseen aineistoon valittiin 26 vertaisarvioitua tieteellistä julkaisua, sekä paljon standardin kehittäjien aineistoa. Tutkimuksen suurimmat ongelmat liittyivät suhteellisen vähäiseen ja uuteen FIDO2-standardin tutkimukseen. Tutkimuksen tulokset osoittavat, että ohjelmistokehittäjillä tulee olla laaja tietämys useista eri menettelytavoista salasanapohjaisien ratkaisujen toteutuksessa. Tiedeyhteisö on havainnut puutteita kehittäjien tiedoissa ja taidoissa käytettäessä salausrajapintoja salasanojen tallentamiseen. Myös salasanojen luomista ohjaavien toimenpiteiden toteutus on havaittu puutteellisiksi yleisesti web-palveluissa. FIDO2:n on todettu parantavan salasanapohjaisissa kirjautumismenetelmissä havaittuja puutteita, erityisesti tietovuotoja ja tietojenkalasteluhyökkäyksiä vastaan, poistamalla tarpeen tallentaa salasanoja web-palveluntarjoajien palvelimille. Standardi on todettu tietoturvaltaan paremmaksi ratkaisuksi, kuin mikään muu tunnistautumismenetelmä tähän asti. Menetelmän toteuttamiseen liittyy kuitenkin API-rajapintojen käyttämisen suhteen samoja haasteita kuin salasanapohjaisilla tunnistautumismenetelmillä. Toteutusmenetelmiin, dokumentaatioon ja kehittäjien koulutusmateriaaliin tulee kiinnittää huomiota, jotta salasanapohjaisien menetelmien toteutuksissa tunnistetut virheet eivät toistuisi tulevaisuuden FIDO2 implementoinneissa.