Bittimaailmasta löytyy joukko vakiopuheenaiheita, joiden ääreen palataan säännöllisin väliajoin. Kuten salasanakäytännöt. Pitääkö salasana vaihtaa 90 päivän välein vai ei? Sekasotkua vaiko useista satunnaisista sanoista koostuva kokonaisuus? Mikä on hyvä pituus salasanalle? Voiko biometrinen autentikointi korvata salasanat? Kuinka kaksi- tai useampivaiheinen tunnistautuminen olisi mahdollisimman turvallista, mutta helppokäyttöistä?

Hyvä, että puhutaan. Samaan aikaan meillä ja muualla maailmassa on eräänlainen salasana, jonka saamme syntyessä ja jota ei niin vain vaihdetakaan. Silti tätä salasanaa, sosiaaliturvatunnusta, kysytään milloin missäkin ja se myös on painettuna mitä virallisimpiin asiakirjoihin.

Taitava sosiaalinen hakkeri saa halutessaan kohdehenkilöstä kaikenmoisia tietoja irti ja/tai kohdehenkilölle paljon pahaa aikaan vain tämän perustietojen ja sosiaaliturvatunnuksen avulla.

Ennen vanhaan laajamittainen sosiaaliturvatunnusten kahmiminen olisi ollut kova urakka, mutta kuten taannoinen luottotietoyhtiö Equifaxin tietomurto Yhdysvalloissa osoitti, mittakaavat voivat nykyään olla katastrofaalisia: 145 miljoonan yhdysvaltalaisen luottotiedot ja sosiaaliturvatunnukset vuotivat vääriin käsiin.

Nyt Yhdysvallat pohtii jo seuraajaa perinteisille sosiaaliturvatunnuksille. Seuraajaa ei vielä tiedetä, mutta niin Yhdysvalloissa kuin meilläkin olisi syytä ottaa käyttöön dynaamisempi vaihtoehto ja mahdollisimman pian.

Yksi vaihtoehto vahinkojen minimoimiseksi voisi olla, jos käyttäjä voisi generoida uuden, jopa kertakäyttöisen, mutta virallisesti hyväksytyn sosiaaliturvatunnuksen jokaiselle palvelulle. Pankkiin yksi, sairaaloihin toinen, passia varten kolmas ja niin edelleen. Vahingon sattuessa käyttäjä voisi kuolettaa maailmalle vuotaneen tunnuksensa. Näin sosiaaliturvatunnuksesta tulisi ikään kuin luottokortti.

Pitäisikö tulevaisuuden sosiaaliturvatunnuksissakin olla kaksivaiheinen tunnistautuminen käytössä? Kun kertomasi sosiaaliturvatunnus sattuu osumaan oikein, onko se tarpeeksi, vai lähteekö tässä vaiheessa käyttäjän puhelimessa olevaan sossusovellukseen ilmoitus ”Taho XXXXX pyytää sosiaaliturvatunnustasi. Mikäli tämä kuuluu asiaan, vahvista pyynnön asianmukaisuus syöttämällä salasanasi”, samaan tapaan kuin vaikkapa Nordean Tunnusluku-sovellus toimii.

Tällä tavoin ehkäistäisiin se, ettei kuka tahansa turjake voi esiintyä juuri sinuna, oli kyseessä verkko tai oikea maailma.

Oli perinteisen kovakoodatun sosiaaliturvatunnuksen seuraaja mikä hyvänsä, olisi toivottavaa että sellainen saataisiin käyttöön pian ja se olisi käyttäjälähtöinen. Eikä niin, että ongelmatilanteissa pyöritellään papereita virastoissa viikkojen tai kuukausien ajan. Nykymaailmassa löytyy mahdollisuudet reaaliaikaiseenkin toimintaan.

Kirjoittaja on työskennellyt MBnetin ylläpitäjänä 1999–2013 ja on nykyään järjestelmäsuunnittelija Forcepoint-tietoturvayrityksen maailmanlaajuisissa projekteissa.