Joka kerta, kun kirjaudumme sisään tilille tai avaamme laitteen lukituksen, meidän on osoitettava, että meillä on oikeus käyttää sitä. Perinteisesti tämä todiste on ollut salasana: salainen merkkijono, joka meidän on muistettava tai tallennettava salasananhallintaan.
Pääsyavain eroaa salasanasta siinä, että se sitoo käytön johonkin, jonka fyysisesti omistatte — puhelimeenne, kannettavaanne tai suojausavaimeen tallennettuun kryptografiseen tunnisteeseen — yhdessä biometrisen tekijän, kuten sormenjäljen tai kasvojen skannauksen, kanssa.
Yleinen tapa kuvata ero on seuraava:
- Salasana = jotain, minkä tiedätte
- Pääsyavain = jotain, mikä teillä on + se, kuka olette
Vaikka molemmat menetelmät antavat teille pääsyn, tavat, joilla ne saavuttavat tämän tavoitteen, eroavat toisistaan ja voivat vaikuttaa merkittävästi turvallisuuteen ja käytettävyyteen.
Mikä on pääsyavain?
Pääsyavain on kuin laitteellanne oleva salasana, jonka tileille, joille kirjaudutte sisään, voidaan tarkistaa kryptografian avulla. Pääsyavaimet perustuvat FIDO2-standardiin (jonka on määritellyt FIDO Alliance(uusi ikkuna)) ja WebAuthn API:in.
Näin se toimii:
Kun pääsyavain luodaan, salasananhallintanne luo parin kryptografisia avaimia: julkisen avaimen ja yksityisen avaimen.
- Julkinen avain jaetaan palvelulle, johon rekisteröidytte.
- Yksityinen avain pysyy salasananhallinnassanne tai laitteellanne eikä koskaan poistu sieltä.
Kirjautumisyrityksen aikana palvelu lähettää satunnaisen haasteen. Laitteenne käyttää laitteellanne olevaa yksityistä avainta tämän haasteen allekirjoittamiseen ja tuottaa vastauksen, jonka vain vastaava yksityinen avain voi luoda. Palvelu varmistaa sitten allekirjoituksen aiemmin tallennetulla julkisella avaimella ja vahvistaa, että olette tilin oikeutettu haltija.
Koska yksityinen avain ei koskaan poistu laitteeltanne, tietojenkalastelusivusto ei voi huijata teitä luovuttamaan sitä, mikä tekee pääsyavaimista luontaisesti tietojenkalastelua kestäviä.
Turvallisuusvertailu: pääsyavain vs. salasana
Se, käytättekö salasanaa vai pääsyavainta, riippuu monista tekijöistä. Kaikki verkkosivustot eivät tarjoa pääsyavaimia vaihtoehtona. Mutta niillä verkkosivustoilla, jotka tarjoavat, on useita syitä harkita vaihtoa.
Pääsyavaimia pidetään salasanoja turvallisempina, koska salainen avain ei koskaan poistu laitteeltanne. Vaikka joku huijaisi teitä väärennetyllä sivustolla, varastaisi verkkoliikennettä tai yrittäisi raa’an voiman hyökkäystä, hän ei saa yksityistä avainta — se säilytetään puhelimessanne, tietokoneessanne tai suojausavaindonglessa. Niin kauan kuin suojaatte laitteen PIN-koodilla, sormenjäljellä tai muulla kaksivaiheisen tunnistautumisen (2FA) muodolla ja käytössänne on luotettava palautusmenetelmä, pääsyavain tarjoaa vahvemman ja tietojenkalastelua paremmin kestävän turvallisuusratkaisun kuin tavallinen salasana.
| Ominaisuus | Pääsyavaimet | Salasanat |
| Tunnistautumismenetelmä | Julkisen avaimen kryptografia (yksityinen avain tallennettu laitteelle) | Käyttäjän muistama salainen merkkijono |
| Tietojenkalastelun kestävyys | Korkea | Alhainen |
| Palautusvaihtoehdot | Laitteen varmuuskopio, tilin palautusprosessi | Palautus sähköpostitse, turvakysymykset |
| Käyttökokemus | Biometria tai PIN | Kirjoittaminen tai automaattitäyttö |
| Yhteensopivuus | Kasvava | Yleinen tuki |
| Uudelleenkäytön haavoittuvuus | Aina yksilöllinen sivustokohtaisesti | Yleinen ongelma |
Pääsyavainten käytettävyys ja käyttökokemus
Pääsyavaimen turvallisuusetujen lisäksi sillä on muitakin hyötyjä:
- Pääsyavaimet nopeuttavat sisäänkirjautumista, koska tunnistautumisprosessi supistuu yhteen napautukseen tai katseeseen, mikä poistaa kitkaa, jota salasanojen manuaalinen syöttäminen tai unohtuneiden salasanojen palauttaminen aiheuttaa.
- Monet salasananhallinnat voivat synkronoida pääsyavaimia turvallisesti laitteidenne välillä. Tämän ansiosta älypuhelimella luotua pääsyavainta voidaan käyttää kannettavalla tietokoneella, tabletilla tai toisella puhelimella ilman uutta rekisteröitymistä. Proton Pass toimii millä tahansa alustalla tai laitteella, joten voitte käyttää pääsyavaimia kaikilla niitä tukevilla verkkosivustoilla.
Pääsyavainten haittapuolet ja poikkeustapaukset
Vaikka pääsyavaimet tarjoavat vahvan turvallisuuden ja kitkattoman kirjautumiskokemuksen, ne eivät ole yleisratkaisu kaikkeen. On edelleen tilanteita, joissa pääsyavaimen käyttäminen voi aiheuttaa haasteita.
Laitteen katoaminen ja palautus
Jos laite, johon pääsyavaimenne on tallennettu, katoaa, varastetaan tai vahingoittuu, teidän on turvauduttava varmuuskopiomekanismeihin saadaksenne pääsyn takaisin. Pääsyavaimen palauttaminen edellyttää usein toissijaista laitetta tai palautuslausetta, joten jos käytössänne ei ole hyvin suunniteltua palautusprosessia, vaarana on menettää pääsy tileihinne.
Käyttöönoton puutteet
Jotkin verkkosivustot ja sovellukset eivät ole ottaneet käyttöön pääsyavainten mahdollistavia WebAuthn-/FIDO2-standardeja. Niissäkin, jotka ovat, pääsyavainten tuki voi olla rajoitettu tiettyihin ekosysteemeihin tai käyttöjärjestelmiin.
Vanhemman laitteiston rajoitukset
Vanhat laitteet, kuten vanhemmat älypuhelimet, kannettavat tietokoneet ilman biometrisiä tunnistimia tai selaimet, joista puuttuu WebAuthn-tuki, eivät voi luoda tai tallentaa pääsyavaimia.
Milloin tarvitsen edelleen salasanan?
Sen lisäksi, että salasana kannattaa määrittää varavaihtoehdoksi, on tilanteita, joissa perinteinen salasana on tarpeen ensisijaisena käyttömenetelmänä.
1. Sivustot ilman pääsyavaintukea
Kunnes pääsyavainten käyttöönotto yleistyy laajasti, saatatte edelleen tarvita salasanoja joillakin sivustoilla. Tässä tapauksessa voitte määrittää 2FA-menetelmiä, kuten OTP:n, turvallisuuden parantamiseksi.
2. Julkiset tai jaetut tietokoneet
Jos ette käytä omaa laitettanne, salasanan syöttäminen (mieluiten yhdistettynä 2FA:han) mahdollistaa tilapäisen pääsyn jättämättä pysyviä kirjautumistietoja jälkeensä.
3. Organisaation käytännöt ja vaatimustenmukaisuusvaatimukset
Yritysten säädökset, mukaan lukien viranomaisten tai rahoitusalan standardit, voivat edellyttää monivaiheisia asennuksia, jotka sisältävät edelleen salasanaosion, tai vaatia salasanojen säännöllistä vaihtoa auditointitarkoituksiin. Lisäksi yritysten kertakirjautumisratkaisut (SSO) integroivat joskus pääsyavaimet vain valinnaisena tekijänä, jolloin salasanat jäävät ensisijaisiksi kirjautumistiedoiksi.
Kuinka ottaa pääsyavaimet käyttöön
Siirtyminen pääsyavaimiin on suhteellisen yksinkertaista.
- Ottakaa pääsyavaintuki käyttöön käyttöjärjestelmässänne
- Ladatkaa salasananhallinta
- Valitkaa salasananhallinta, joka tukee pääsyavainten tallennusta, kuten Proton Pass.
- Lisätkää pääsyavaimet salasananhallintaanne
- Tuokaa olemassa olevat pääsyavaimet tai luokaa uusia suoraan sovelluksessa.
- Rekisteröikää pääsyavaimet tuetuissa palveluissa
- Kun rekisteröidytte tai kirjaudutte sisään sivustolle, joka tarjoaa vaihtoehdon “Kirjaudu sisään pääsyavaimella”, valitkaa kyseinen vaihtoehto.
- Määrittäkää palautusmenetelmä
- Ottakaa käyttöön toissijainen laite pääsyavaimen kopion tallentamista varten ja merkitkää ylös mahdollinen palvelun tarjoama palautuslause.
UKK
Voinko käyttää pääsyavainta, jos minulla ei ole salasananhallintaa?
Kyllä, voitte. Useimmat nykyaikaiset käyttöjärjestelmät tallentavat pääsyavaimet paikallisesti (iCloud Keychain Apple-laitteilla, Google Password Manager Androidissa, Windows Hello Windowsissa). Erillinen salasananhallinta voi helpottaa synkronointia laitteiden välillä ja tarjota ylimääräisen varmuuskopiokerroksen, mutta sitä ei vaadita pääsyavainten käyttämiseen.
Voinko käyttää pääsyavaimia vanhemmilla laitteilla?
Pääsyavaimet edellyttävät, että käyttöjärjestelmä ja selain tukevat WebAuthn-/FIDO2-standardeja. Nykyaikaiset alustat (iOS 15+, Android 14+, uudet macOS-versiot, Windows 10 1903+ ja ajan tasalla olevat Chrome/Edge/Firefox/Safari) toimivat suoraan. Vanhemmista puhelimista, vanhentuneista selaimista tai iOS 15:tä/Android 13:a edeltävistä laitteista puuttuu tämä tuki, joten ette voisi käyttää pääsyavainta niissä laitteissa.
Mitä eroa on pääsyavaimella ja fyysisellä tunnisteella?
Pääsyavain on laitteelle tai salasananhallintaan tallennettu kirjautumistieto, joka synkronoidaan turvallisesti laitteidenne välillä. Fyysinen tunniste (esimerkiksi YubiKey) on erillinen laiteavain, joka täytyy lisätä laitteeseen. Fyysinen tunniste ei tallenna yksityistä avainta isäntälaitteelle, mikä tarjoaa eristystä, mutta edellyttää, että kannatte tunnistetta mukana ja hallitsette varmuuskopioita. Molemmat vaihtoehdot tarjoavat salasanattoman, tietojenkalastelua kestävän tunnistautumisen, mutta pääsyavaimissa painottuvat helppokäyttöisyys ja synkronointi, kun taas fyysisissä tunnisteissa painottuu laitteistotason eristys.
Voinko käyttää pääsyavainta Windows-PC:lläni?
Kyllä, nykyaikaiset Windows 10/11 -versiot tukevat pääsyavaimia Windows Hellon kautta. Kun olette ottaneet käyttöön “Salasanattoman sisäänkirjautumisen” asetuksissa, voitte rekisteröityä ja tunnistautua sormenjäljellä, kasvojentunnistuksella tai PIN-koodilla, joka avaa luotetun alustan moduuliin (TPM) tallennetun yksityisen avaimen. TPM on pieni, peukaloinnin kestävä siru, joka on sisäänrakennettu useimpiin nykyaikaisiin pöytätietokoneisiin, kannettaviin tietokoneisiin ja joihinkin tabletteihin. Sen tarkoitus on tarjota laitteistopohjainen luottamuksen juuri turvallisuuskriittisiä toimintoja varten.
Mitä tapahtuu, jos kadotan puhelimeni?
Jos puhelimessanne on pääsyavaimen ainoa kopio, tarvitsette etukäteen määritetyn varmuuskopiointimenetelmän pääsyn palauttamiseksi. Tämä on yleensä toinen laite, salasananhallinta tai palvelun tarjoama palautuslause. Ilman varmuuskopiota teidän on seurattava palvelun tilin palautusprosessia.
