Perinteinen verkkopalvelun kirjautuminen tai tutummin “Syötä käyttäjätunnus ja salasana” -kirjautuminen on varmasti tuttu niin hyvässä kuin pahassa. Käyttäjätunnukset ja salasanat ovat aina hukassa ja ”Palauta salasana” on turhankin tuttu toimintatapa kaikille. Mielenkiintoista tässä yksivaiheisessa tunnistautumismallissa on, että se on vuosikymmeniä vanha toimintatapa ja lähtökohtaisesti melko helposti hakkeroitavissa.

Hyvä käyttäjäkokemus rakennetaan oletuksella, että loppukäyttäjän kärsivällisyys on mitätön ja hän on olemukseltaan laiska ja ärsyyntynyt.

Verkkopalvelua suunniteltaessa tavoitetilana on palvella loppukäyttäjää mahdollisimman hyvin. Usein tämä tarkoittaa sitä, että käyttäjältä poistetaan turha miettiminen, lukeminen ja tutustuminen. Käyttö perustuu visuaalisiin vinkkeihin, klikinsäästämiseen ja ohjauksiin, jolloin käyttö on intuitiivistä ja täten tuttua.

Yksi nykyaikaisen verkkopalvelun kulmakivi on käyttäjän tunnistaminen ja tämän myötä personoidun sisällön tarjoaminen. Tunnistautuminen voidaan tehdä erilaisten evästeiden tai tarkemmin henkilökohtaisen tunnistautumisen kautta. Valitettavan paljon oletusmalli jälkimmäisessä on perinteinen kirjautuminen käyttäjätunnuksen ja salasanan avulla.

Hyvät verkkopalvelut ja sovellukset erottuvat edukseen. Verkkopalveluun kirjautuminen ja käyttäjän tunnistaminen on yksi kriittisimmistä osa-alueista, minkä johdosta alle on kerätty muutamia vaihtoehtoisia malleja pölytteneelle käyttäjätunnus ja salasana -kirjautumiselle.

1. Toisen palvelun kautta kirjautuminen

Yksi käyttäjäprofiili, jonka myötä voit käyttää palvelua kuin palvelua. Esimerkiksi Facebook-profiilisi lisätietoineen on imettävissä verkkopalveluun, jolloin palvelun käyttönotto on nopeampaa esitäytön avulla.

Verkkopalvelun omistajan näkökulmasta tämä alentaa merkittävästi kirjautumiskynnystä. Käyttäjälle tämä on helppo ja hyväksyttävä kirjautumismenetelmä, kunhan luotu liitos ei kerää liian paljon tietoa profiilista ja ei julkaise käyttäjän puolesta mitään.

Osin aiheesta irtonainen, sillä käyttäjällä on edelleen vähintään yhdet tunnukset muistettavana. Käyttötapauksena kuitenkin validi sen korkean käyttöasteen takia.

Facebook google login

2. Tekstiviestisalasana

Kasvavana trendinä on käyttää tunnistautumiseen kaksivaiheista tunnistautumista. Tämä toimintatapa on tullut tutuksi useimmille meistä WhatsApp ja Snapchat -tyylisten sovellusten kautta. Syötät vain puhelinnumerosi ja saat tätä vasten tekstarilla esim. kuusinumeroisen kertakäyttökirjautumiskoodin. Tämän jälkeen oletkin sisällä evästeiden ja sessioiden avulla.

Pelkän puhelinnumeron lisäksi käyttäjän varmistamista voidaan tarkentaa myös lisäkysymysten avulla. Esimerkiksi Diners Club (ks. alla) käyttää lisätunnistautumiseen henkilötunnuksen ja puhelinnumeron yhdistelmää.

Käyttäjän näkökulmasta tämä on helppo tapa tunnistautua, jolloin muistettavana on vain henkilökohtaisia perustietoja. Palveluntarjoajan näkökulmasta kirjautumismalli on suoraviivaisempi, mutta viestipalvelimen toimintavarmuus nousee erittäin tärkeäksi osaksi hyvää käyttäjäkokemusta.

3. Kertakäyttölinkit

Kertakäyttölinkit toimivat melko samalla tavalla kuin tekstiviestisalasanat. Ajatuksena on, että palvelu lähettää käyttäjälle kertakäyttölinkin kirjautumiseen. Tämän jälkeen sessio on auki tietyn ajan tai uloskirjautumiseen saakka. Malli on usein käytetty malli salasanapalautuksissa sillä erotuksella, että sessio käynnistyy ja se ei vaadi vaihtamaan salasanaa. Tunnistautumisen turvallisuuteen liittyy oletus, että käyttäjä kirjautuu jo kerran yhteen palveluun – omaan sähköpostiinsa.

Laajennuksena tähän on esimerkiksi sähköpostiosoitteiden ”whitelistaus”. Tällöin palvelun omistaja määrittää, mitkä sähköpostit voivat kirjautua palveluun. Jos käyttäjällä on sähköpostiosoite, jota ei ole rekisterissä, niin kirjautuminen ei onnistu. Tämäntyylinen rekisteröityminen on toimiva malli esimerkiksi palveluille, joiden käyttäjät tiedetään ja ns. uusia käyttäjiä palveluun ei hyväksytä ilman erillistä rekisteröitymistä ja hyväksymistä.

4. Sovelluksen kautta todentaminen

Sovelluksen kautta todentamisessa käyttäjä käyttää erillistä sovellusta, joka liittää käytettävän palvelun ja tunnistautumisen yhteen. Tästä hyvänä esimerkkinä on esimerkiksi Nordean Tunnuslukusovellus, jonka myötä fyysisiä avainlukulistoja ei tarvitse kantaa mukanaan.

Tunnistautumisen toimintatapana tämä on hyvä ja jättää tilaa myös pienemmille yrityksille käyttäjien haalimisen ja hallinnan osalta. Varjopuolena käytössä on erillisen todennussovelluksen hankkimis- ja kirjautumistarve, minkä takia tähän ei välttämättä kannata siirtyä kertasysäyksellä. Vaihtoehtoisia kirjautumismenetelmiä kannattaa tarjota useampi kuin yksi.

5. Mobiilivarmenne

PKI-teknologiaan perustava mobiilivarmenne on kovaa vauhtia tulossa suomalaisten käyttäjien keskuuteen. Palvelun käyttöönotto vaatii käyttäjän rekisteröitymistä operaattorin sivuilla vahvan tunnistautumisen kautta, jonka jälkeen puhelinnumeron ja pin-koodin yhdistelmällä kirjautuminen on mahdollista. Mobiilivarmenteen avulla et tarvitse pankkitunnuksia, joka itsessään on tervetullut arkipäivän lisä.

Tunnistautuminen on turvallista, mutta vaatii hieman käyttäjän aktiivisuutta ennen käyttöönottoa. Tällä hetkellä mobiilivarmenteella pystyy rekisteröitymään erilaisiin pankki-, vakuutus- ja julkisiin palveluihin, mutta käyttöaste on vielä maltillista. Alla kuvakaappaus S-kanava.fi -sivulta.

6. Sormenjälkitunnistus

Mobiililaitteista tutut sormenjälkitunnistukset tunnistavat käyttäjän yksilöllisen sormenjäljen avulla. Sormenjälkitunnisteita on ollut jo pidemmän aikaa käytössä erilaisissa kulkutunnisteissa, mutta viimeisten vuosien aikana hiipinyt myös osaksi mobiili- ja verkkopalveluita.

Tunnistautumismenetelmänä sormenjälki on melko turvallinen, sillä jokaisen käyttäjän sormenjälki on ainutlaatuinen. Sormenjälkikuvio tallennetaan lähtökohtaisesti numeerisena sarjana, joissakin tapauksissa kuvallisena. Tällä hetkellä sormenjälkitunnistusta pidetään erittäin turvallisena tapana tunnistautua, mutta missään nimessä tähän ei pidä luottaa sokeasti.

Sormenjälkitunnistusta voidaan käyttää kaksivaiheisena samalla tavoin kuin myös muita tekstiviesti- tai mobiilivarmennetapoja. Esimerkiksi tietokoneelta skannataan QR-koodi tai saman käyttäjätunnuksen ekosysteemi tunnistaa eri käyttöjärjestelmät (esim. Apple ID), minkä jälkeen toinen vaihe suoritetaan mobiililaitteen sormenjälkitunnistemella.

Verkkopalvelun kirjautuminen – Tulevaisuus?

Tunnistautumisen megatrendit ovat melko pitkälti isojen yrityksien aikaansaannoksia, jolloin yksittäisten pienempien toimintatapojen vakiintuminen on melko haastavaa. Käyttäjätieto on nykypäivän öljy ja tämän takia isot vaikuttavat yritykset kuten Facebook, Google, Apple ja muut vastaavat pyrkivät ajamaan ihmisiä omiin ekosysteemeihinsä ja toimintamalleihin.

Tunnistautuminen on tällä hetkellä vahvassa murroksessa ja täten myös salaliittoteoreetikot ovat entistä enemmän varpaillaan. Käyttäjätunnus ja salasana -malli siirtyy voimakkaasti kohti käyttäjän yksilöllisiä piirteitä (esim. sormenjälki, iiristunnistus, jne.), minkä myötä isoveli tuntee sinut entistäkin paremmin. Vastaavasti myös identiteettivarkaudet hakevat uusia muotoja, mikä aiheuttaa omat harminsa.

Henkilötieto ja tunnistautuminen ovat tulevien vuosien pääpuheenaiheita tulevan Tietosuoja 2018 -lakimuutosten osalta. Olisiko siis aika tarkistaa, miten sinä tunnistat käyttäjäsi?