Tutkijat kehittivät salasanoja miellyttävämmän ja turvallisemman tavan kirjautumiseen

Jyväskylän yliopiston tutkijoiden kaksivuotisen Business Finlandin rahoittaman Research to Business -hankkeen tavoitteena on ollut kehittää uusi monivaiheisen tunnistautumisen (MFA) menetelmä, joka ratkaisisi salasanoihin liittyviä käytettävyys- ja turvallisuusongelmia. 

SAFE-nimellä kulkenut hanke on nyt päättynyt, ja tiimi on rakentanut sen aikana toimivaksi osoittautuneen konseptin nimeltään SalaLogin.  

– Tällä hetkellä salasanat ovat maailman käytetyin tunnistautumismenetelmä. Niihin liittyy kuitenkin paljon ongelmia sekä käytettävyyden että turvallisuuden suhteen. Tavoitteenamme oli luoda turvallisempi ja helppokäyttöisempi menetelmä, joka voisi korvata salasanojen käytön kokonaan, SAFE-projektin johtava tutkija Naomi Woods sanoo.

Koronapandemian jälkeen salasanojen määrä on kasvanut merkittävästi, nousten keskimäärin 168 salasanaan internetin käyttäjää kohti vuonna 2024.  

– Salasanojen suuri määrä käyttäjää kohden johtaa osaltaan riskialttiiseen turvallisuuskäyttäytymiseen, kuten heikkojen salasanojen käyttöön ja samojen salasanojen käyttämiseen useilla tileillä. Tästä aiheutuu vuosittain lukemattomia tietoturvaloukkauksia ja taloudellisia menetyksiä. Tätä vastaan me haluamme taistella, Woods kertoo.  

Yli 80 %:n tietoturvaloukkauksista arvellaankin aiheutuvan heikoista tai uudelleen käytetyistä salasanoista.  

Uusi menetelmä perustuu käyttäjäpsykologiaan ja on stressitön, inklusiivinen ja hauska käyttää

Tutkijoiden kehittämässä SalaLogin-nimisessä ratkaisussa perinteiset salasanat korvataan luotetun laitteen, biometriikan sekä vihjeiksi ja salaisuuksiksi nimettyjen koodien avulla.

Tarkoituksena on, että samaa ratkaisua voidaan käyttää yhtäaikaisesti useilla digitaalisilla tileillä niin henkilökohtaisessa elämässä kuin työelämässä. Tällöin useiden salasanojen muistaminen ja vanhojen salasanojen uudelleen käyttäminen tulee tarpeettomaksi.

– SalaLogin-tilin rekisteröitymisen yhteydessä käyttäjä luo itselleen vihjeitä ja salaisuuksia. Työlästä uuden salasanan luomista ei tarvitse käydä läpi jokaisella kerralla, kun uutta verkkopalvelua otetaan käyttöön, vaan käyttäjän tarvitsee tehdä rekisteröityminen ainoastaan yhden kerran, Woods kertoo.

Rekisteröitymisen yhteydessä luodaan yhteensä kuusi salaista koodia, jotka käyttäjä muistaa lopun elämäänsä.

Kun käyttäjä haluaa kirjautua jollekin tilille, hän antaa ensin sähköpostiosoitteensa, tekee sitten biometrisen tunnistautumisen ja lopuksi syöttää laitteen antamaan vihjeeseen oikean vaihtoehdon kuudesta salaisesta koodista.  

– Käyttäjätestauksen aikana monet osallistujat kertoivat odottaneensa, että he unohtavat salaiset koodinsa. He kuitenkin yllättyivät siitä, miten helppo ne oli muistaa vihjeen nähtyään. Lisäksi moni piti tunnistautumista hauskana, Woods toteaa. 

Menetelmä on kehitetty sekä kyberturvallisuuden että käyttäjäpsykologian pohjalta. SAFE-tiimin mukaan prosessi on testeissä osoittautunut vähemmän stressaavaksi kuin perinteisten salasanojen käyttäminen. Samalla se synnyttää positiivisia tunteita herättämällä muistoja tärkeistä kokemuksista.  

–  SalaLogin voidaan lisäksi mukauttaa vastaamaan korkeatasoisiin turvallisuusvaatimuksiin esimerkiksi organisaatioissa, joissa on vaativia tunnistautumistarpeita, Woods sanoo.

Työ jatkuu uuden startup-yrityksen parissa

Kaksivuotinen hanke tuotti sekä akateemisia julkaisuja että toimivaksi osoittautuneen konseptin, mutta myös kokonaan uuden startup-yrityksen, Sala Secure Oy:n.

–  Sala Secure on käyttäjäkeskeinen yritys, jonka toiminnan ytimessä ovat inklusiivisuus ja yksityisyys. Suojelemme yksityisyyttä ja keräämme käyttäjiltämme vain minimaalisesti tietoa. Tavoitteena on varmistaa sekä käyttäjien yksityisyys että turvallisuus, Woods kertoo tutkijoiden perustamasta yrityksestä.

Woodsin mukaan ratkaisu voidaan helposti mukauttaa erilaisten käyttäjien, kuten vammaisryhmien ja ikääntyneiden, tarpeisiin ilman, että ratkaisun turvallisuudesta tarvitsee tinkiä.

–  Tämä tekee menetelmästä yhden ensimmäisistä inklusiivisista tunnistautumisratkaisuista maailmassa, Woods toteaa ylpeänä.  

Tiimin seuraavat askeleet liittyvät rahoituksen turvaamiseen ja kaupallisesti kannattavan tuotteen kehittämiseen markkinoille. 

- Toivomme vakiinnuttavamme Sala Secure Oy:n aseman inklusiivisen ja käyttäjäystävällisen kyberturvallisuuden kärjessä, Woods summaa.