[Muokattu: 5.7.2017]

Kertakirjautuminen (2) [ < Autentikointi y... < Kryptoprotoko... ]

Yksi salasanoihin liittyvä käytännön ongelma on se, että sama käyttäjä joutuu muistamaan useita salasanoja autentikoituakseen eri tahoille. Tätä varten on kehitelty menetelmiä kertaalleen tehtävään autentikointiin, joka on voimassa jonkin istunnon ajan tai tietyn aikamäärän. Menetelmän nimitys on single sign-on eli kertakirjautuminen. Pyrkimyksenä on välttää se, että käyttäjät kirjoittavat salasanojaan lapuille, ja toisaalta vähentää unohtuneita salasanoja "avaavien" help-desk-toimintojen kuormaa. Luonnollisesti SSO-mekanismeilla myös saadaan parempi turvallisuus kuin sillä, että käyttäjällä vain olisi sama salasana kaikkiin palveluihin erikseen.

Yleisenä periaatteena eri toteutuksissa on se, että käyttäjän autentikoiduttua kertakirjauspalveluun palvelu lähettää eteenpäin häntä koskevaa valtuustietoa, jonka muut palvelut hyväksyvät ikäänkuin käyttäjä itse olisi sen takana. Salasanakin on tällaista valtuustietoa, mutta koska kertakirjautumistoiminta on koneidenvälistä, siinä voidaan käyttää turvallisempiakin menetelmiä. Valtuustieto on suomennos sanasta 'credentials', mutta myös termi 'authentication data' esiintyy tässä yhteydessä.

Kertakirjautumisessa voi olla ongelmana väärä turvallisuuden tunne. Erityisesti monen asian turvallisuus riippuu yhdestä jäljellä olevasta salasanasta ja myös siitä, miten turvallisesti palvelu on toteutettu. Toteutuksen turvallisuuden lisäksi käyttäjällä voi olla syytä huoleen palvelun luotettavuuden osalta -- siis ettei se itse käytä väärin käyttäjän tietoja, esim. tämän selaushistoriaa. Aivan käytännössä kertakirjautumisen protokollia hankaloittavat lukuisat erilaiset alustat, joihin mekanismilla pitäisi päästä, paitsi yrityksen sisällä myös internetin yli. Selkeänä uhkana on esimerkiksi yhteyden jääminen käyntiin vaikkapa yleiselle koneelle.

Yksi tunnettu kertakirjausjärjestelmä on Kerberos, jota on voinut käyttää Unix-järjestelmissä jo 1980-luvulta alkaen. Sittemmin sitä on sovellettu mm. Windows 2000:ssa. Kerberos on pohjimmiltaan salasanaan perustuva autentikaatioprotokolla, mutta lippujen soveltaminen tekee siitä käyttäjän kannalta joustavan kertakirjautumisjärjestelmän.

Kerberoksessa asiakas (=käyttäjän pyörittämä ohjelma) saa lippupalvelulta lipun ("tiketin"). Se kelpaa valtuustietona pyydettyyn palveluun ja pitää (salattuna) sisällään myös symmetrisen avaimen tulevaa asiointia varten. Kelpaamisen ehtona on, että asiakas liittää mukaan "autentikaattorin", joka osoittaa, että asiakas on lippupalvelun mielestä oikea. Sitä ei lippupalvelu oikeastaan tiedä, mutta asiakasohjelma ei saa auki autentikaattoriin tarvittavia kryptausavaimia, ellei käyttäjä ole syöttänyt oikeaa salasanaa.

Microsoftilla on www-käyttöön tarkoitettu Microsoft Account -järjestelmä (MSA). Aikaisemmin sillä oli nimi Windows Live ID ja sitä ennen Passport. Jälkimmäiseen liittyi Wallet, joka välitti enemmänkin tietoa käyttäjästä, nimittäin luottokorttitietoja. Jo Passportin ajoista alkaen kilpailevaa hanketta on ajanut Liberty Alliance ja sittemmin Kantara initiative .

Kertakirjautuminen on osa identiteetin hallinnan tehtäväkenttää. Siinä käsitellään monenlaisia pääsyyn ja oikeuksiin liittyviä ihmisten ja prosessien attribuutteja siten, että tietoverkon palveluiden käyttö ja ylläpito olisi mahdollisimman vaivatonta. Tärkeä identiteetin hallintaan liittyvä toteutus on Shibboleth, jonka avulla tapahtuu kertakirjautuminen mm. TTY:n järjestelmissä.