Passkey – uusi helpompi tapa kirjautua ilman salasanoja

Passkeyt ovat uudenlainen kirjautumistapa, joka voi korvata perinteiset salasanat kokonaan.

Ne ovat salasanoja turvallisempia, helppokäyttöisiä ja yleistyvät nopeasti. Jo huhtikuuhun 2024 mennessä suuret teknologiayhtiöt, kuten Apple, Google ja Microsoft, olivat tuoneet passkey-tuen osaksi alustojaan. Myös keskeiset selaimet ja lukuisat verkkopalvelut tukevat niitä. Lisäksi johtavat salasananhallintaohjelmat, kuten 1Password ja Bitwarden, ovat siirtymässä passkey-pohjaiseen kirjautumiseen.

Jos passkey-kirjautuminen ei ole sinulle vielä tuttu, kohtaat sen todennäköisesti pian. Tässä artikkelissa käymme läpi, mitä sinun on hyvä tietää  tästä uudesta kirjautumismuodosta.

Mitä passkeyt ovat?

Passkey on laitteellesi tallennettu digitaalinen tunniste (esimerkiksi tietokoneelle tai älypuhelimelle). Toisin kuin salasana, sitä ei tarvitse muistaa tai kirjoittaa.

Passkeyn ydin on yksityinen avain, joka luodaan ja tallennetaan turvallisesti laitteellesi. Passkey luodaan tarvittaessa erikseen jokaiselle käyttämällesi välineelle, kuten tietokoneelle ja puhelimelle. Avaimen luomisen jälkeen pääset ilman erillistä kirjautumista palveluihin, jotka tukevat Passkeytä. Passkey aktivoidaan tarvittaessa samalla tavalla kuin avaat käyttämäsi laitteen, eli hyödyntämällä sormenjälkeä, kasvojentunnistusta tai PIN-koodia.

Kun laite on avattu, se käyttää automaattisesti yksityistä avainta tunnistautumiseen. Käyttäjä ei näe avainta, vaan tunnistautuminen tapahtuu taustalla, kun laite allekirjoittaa niin kutsutun tunnistautumishaasteen (tästä lisää myöhemmin).

Yksityinen avain säilyy aina laitteella, jolla passkey on luotu. Joissain tapauksissa käyttöjärjestelmä tai pilvipalvelu voi synkronoida passkeyn käyttäjän muihin laitteisiin. Tiedot synkronoidaan end-to-end-salauksella (päästä päähän -salaus), mikä tarkoittaa, että kukaan muu kuin lähettäjä ja vastaanottaja ei voi purkaa salausta eli päästä käsiksi tietoihin — ei edes palveluntarjoaja.

Miten passkeyt eroavat salasanoista?

Perinteinen salasana perustuu jaettuun salaisuuteen. Jaettu salaisuus tarkoittaa tietoa, jonka sekä käyttäjä että palvelu tietävät ja jota käytetään kirjautumiseen. Käyttäjälle tämä tarkoittaa käytännössä sitä, että salasana toimii “yhteisenä avaimena”, jolla palvelu tunnistaa hänet.

Passkeyt toimivat eri tavalla: ne hyödyntävät avainparin välistä matemaattista yhteyttä. Käyttäjän laite luo avainparin, ja julkinen avain jaetaan palvelulle rekisteröitymisen yhteydessä. Julkinen avain ei ole arkaluonteista tietoa. Yksityinen avain taas on osa passkeytä ja säilyy turvallisesti käyttäjän omalla laitteella.

Kirjautuessaan käyttäjän on todistettava hallitsevansa tätä yksityistä avainta. Palvelu lähettää kertakäyttöisen tunnistautumishaasteen, jonka käyttäjän laite allekirjoittaa yksityisellä avaimella. Näin palvelu voi varmistua käyttäjän henkilöllisyydestä ilman, että salasanaa tarvitsee lähettää tai käsitellä.

Miksi passkeyt ovat parempia kuin salasanat?

Passkeyt ratkaisevat monia salasanoihin liittyviä ongelmia. Käytännössä tämä tarkoittaa esimerkiksi seuraavia etuja:

• Ei heikkoja salasanoja tai monimutkaisia salasanavaatimuksia
• Ei salasanojen tai tunnusten kierrättämistä
• Turvallinen tallennus laitteelle
• Ei arkaluonteista tietoa verkossa
• Tehokkaampi suojaus tietojenkalastelua vastaan

Erityisesti tietojenkalastelu vaikeutuu merkittävästi, koska passkey toimii vain sillä verkkosivulla, jolle se on luotu. Toisin kuin salasanaa, sitä ei voi syöttää huijaussivustoille.

Miten autentikaattorit toimivat?

Passkeyt eivät edellytä tietynlaista laitetta, vaan ne voidaan luoda useille eri laitteille.

On myös mahdollista käyttää passkeytä laitteiden välillä, esimerkiksi kirjautua tietokoneella puhelimessa olevalla passkeyllä. Tällöin laitteet yhdistetään esimerkiksi Bluetoothin tai QR-koodin kautta.

Autentikaattoreita on kahta tyyppiä:

• Alustakohtaiset autentikaattorit (esim. iCloud Keychain, Google Password Manager)
• Siirrettävät autentikaattorit (esim. turva-avaimet tai puhelin toisella laitteella käytettynä)

Terminologia – mitä passkeyt oikeastaan tarkoittavat?

Passkeyihin liittyy muutamia keskeisiä termejä, jotka voivat ensi silmäyksellä tuntua teknisiltä. Ymmärtämisen kannalta riittää kuitenkin muutama perusajatus.

Passkeyt perustuvat siihen, että käyttäjän laitteelle luodaan kaksi toisiinsa liittyvää avainta: julkinen ja yksityinen avain. Tätä kutsutaan julkisen avaimen salaukseksi.

• Julkinen avain jaetaan palvelulle, eikä se ole arkaluonteinen
• Yksityinen avain säilyy käyttäjän laitteella eikä poistu sieltä

Tämä malli on laajasti käytössä internetin tietoturvassa, esimerkiksi HTTPS-yhteyksissä.

Passkey-kirjautumisen taustalla toimii joukko standardeja, joista tärkeimmät ovat:

• FIDO (Fast IDentity Online)
  Kansainvälinen standardi, joka määrittelee, miten salasanaton kirjautuminen toteutetaan turvallisesti.
• WebAuthn (Web Authentication)
  Selainrajapinta, jonka avulla verkkopalvelut voivat käyttää passkey-kirjautumista käytännössä.

Teknisesti taustalla toimii myös FIDO2, joka yhdistää nämä standardit ja mahdollistaa passkeyjen käytön eri palveluissa ja laitteissa.

Miten WebAuthn toimii käytännössä?

Vaikka taustalla toimiva teknologia on monimutkainen, käyttäjän näkökulmasta prosessi on yksinkertainen. Mukana on kolme osapuolta:

• Palvelu – Passkeytä tukeva verkkosivusto tai sovellus, johon kirjaudutaan
• Selain tai käyttöjärjestelmä – välittää tiedot
• Laite (autentikaattori) – luo ja säilyttää avaimet

Rekisteröityminen (ensimmäinen kerta)

Kun käyttäjä kirjautuu palveluun ensimmäistä kertaa passkeylla:

• Laite luo avainparin
• Yksityinen avain tallennetaan turvallisesti laitteelle
• Julkinen avain tallennetaan palveluun

Näin palvelu saa “lukon”, jota vain käyttäjän laitteella oleva “avain” voi käyttää.

Kirjautuminen jatkossa

Kun käyttäjä kirjautuu palveluun uudelleen, palvelu lähettää hänelle kertakäyttöisen tunnistautumishaasteen.

Käyttäjän laite vastaa tähän haasteeseen automaattisesti käyttämällä laitteen sisällä olevaa yksityistä avainta. Näin palvelu voi varmistaa, että kyseessä on oikea käyttäjä.

Näin prosessi etenee:

1. Käyttäjä aloittaa kirjautumisen
2. Palvelu lähettää kertakäyttöisen haasteen
3. Käyttäjä vahvistaa henkilöllisyytensä laitteellaan (esim. sormenjäljellä tai PIN-koodilla)
4. Laite käyttää yksityistä avainta haasteen “allekirjoittamiseen”
5. Vastaus lähetetään takaisin palvelulle
6. Palvelu varmistaa, että vastaus on oikea

Oheisessa kaaviossa näet koko prosessin havainnollistettuna:

Jos allekirjoitus voidaan varmistaa onnistuneesti, palvelu tietää kaksi asiaa: viestiä ei ole muutettu vahvistuksen jälkeen, ja sen on allekirjoittanut oikea käyttäjä.

Toisin sanoen käyttäjä osoittaa hallitsevansa laitteellaan olevaa yksityistä avainta.

Käyttäjä ei kuitenkaan koskaan näe tai käsittele tätä avainta itse. Hän vain tunnistautuu laitteellaan esimerkiksi sormenjäljellä tai PIN-koodilla, ja laite hoitaa loput automaattisesti.

Passkeyt ja SSO / OpenID Connect

Passkeyt muuttavat kirjautumistapaa, mutta eivät sitä, miten kirjautumisen jälkeen syntyvää istuntoa hallitaan.

Kun käyttäjä on tunnistettu passkeyllä, palvelu voi jatkaa aivan kuten ennenkin: käyttäjän istunto voidaan toteuttaa esimerkiksi evästeillä, JWT-tokeneilla tai muilla tutuilla mekanismeilla.

Passkeyt eivät siis korvaa SSO:ta (Single Sign-On) tai identiteettiprotokollia, kuten OpenID Connectia tai OAuth 2.0:aa, vaan toimivat niiden rinnalla. Ne tuovat uuden, turvallisemman tavan todentaa käyttäjä, jonka jälkeen nykyiset ratkaisut voivat hoitaa käyttöoikeudet ja istunnon hallinnan.

Yhteenveto

Passkeyt ovat merkittävä kehitysaskel tunnistautumisessa. Ne yhdistävät korkean tietoturvan ja helppokäyttöisyyden tavalla, johon perinteiset salasanat eivät pysty.

Vaikka salasanat eivät vielä ole katoamassa, siirtymä kohti salasanatonta kirjautumista on jo käynnissä.