"Sanotaan esimerkiksi, että olen yövartiossa ja joku tulee portille. Silloin minun tulee kysyä 'Kuka tulee siellä, ystävä vai vihollinen?' Oikea vastaus siihen on tietysti 'Kyllä'." ... "Probleemi alkaa siitä, jos portin takana oleva henkilö vastaa 'Ystävä', sillä hän saattaa valehdella. Mutta pojat jotka ovat menneet yölliselle ovat todella nokkelasti kehittäneet oman tunnussanansa, jolla vastata kysymykseeni, ja se kuuluu: 'Nenä irti kirjasta, Preston, ja päästä meidät sisään heti paikalla!'"
(Terry Pratchett, "Keskiyö ylläni", 281)
Olemme ensi kuun alkupuolella menemässä pikkujoulumuotoisesti firman kanssa Tallinnaan. Jotta voisin osoittaa olevani luotettava ja vastuuntuntoinen ihminen juomaan aivoni pihalle, tarvitaan henkilöllisyyden todistamisväline. Minulla on teknisesti katsoen henkilökortti. Se on vain mennyt vuosia sitten vanhaksi. Olen siis "miltei laiton maahanmuuttaja", koska minun on teoriassa vaikeaa osoittaa henkilöllisyyttäni. Käytännössä kortti on toiminut muun muassa pankkiasioinneilla.
Nyt kuitenkin ajattelin päivittää tämän asian. Poliisit hoitivat asian mukavasti "kyselemällä vähän kysymyksiä joihin vain henkilö osaa vastata." Päädyin jo miettimään että jos kysymykset ovat oikeasti tämänlaisia, niin miten ihmeessä poliisit sitten osaisivat tarkistaa ne vastaukset. Mutta oikeasti he kysyivät kysymyksiä joihin likimain jokainen olisi osannut vastata luntaamalla facebookiani ja käyttämällä tätä ponnahduslautana lisäselvityksiin. He olisivat itse asiassa voineet opetella kysymykset sujuvammin. Kun he esimerkiksi kysyivät äitini nimeä, oli ensimmäinen reagointini "Mikä niistä?" Onhan hänellä tyttönimi, avioliittonimi ja avioeron jälkeen otettu täysin uusi nimi joka ei ole tyttönimi eikä avioliittonimi. Onneksi poliisien tarkoituksena ei ollut diagnosoida mielenterveyttäni vaan varmistaa että olen minä.
Niin huvittava kuin ylläoleva voikin olla, sen takana on itse asiassa turvallisuuteen liittyviä ongelmia:
Viestinnän luotettavuus on ollut ihmisille aina tärkeää. Vaikkapa silloin kun viestinnässä on turvauduttu salausmenetelmiin. Vaikka salausmenetelmissä keskittyy huomio helpotein siihen viestiin, on salauksessa myös se puoli että jos omalla avaimella avattu viesti on ymmärrettävä, se tarkoittaa sitä myös viestin alkuperä on oikeanlaatuinen. Viestin lähettäjähän on osannut rakentaa viestin joka avautuu selväkieliseksi, mikä vaatii vähintään valmistautumista. - Kuten viestin purkamista, salausavaimen selvittämistä. Mutta tämän epäilyn noustessa relevantille tasolle romahtaa viestin sisällön luotettavuuskin.) Salausmenetelmiä voidaan periaateessa käyttää varmistamaan että lähettäjä tuottaa jonkin ymmärrettävän viestin jonka vastaanottaja selvittää mutta kolmas osapuoli jää ulkopuoliseksi.
Salasanan tuntemisesta ei ole tietysti pitkää matkaa henkilöntunnustukseen. Se kun näyttää olevan tietotekniikan puolella yleensä sidottu jonkinlaiseen salasanantunnistamiseen. Nimen alla on siksi tila merkkijonolle joka toimii jonkinlaisena tunnussanana. Ihmiset ovat keksineet tässä huonoja ratkaisuja, kuten L337 -kielisen salasananrakentamisen. Sen kanssa on kuten Jouni Vilkka vinkkaa ; L33t -salasanan muistaminen on ihmiselle vaikeutunut, mutta sen ratkaiseminen ei ole olennaisesti vaikeutunut tietokoneelle. Toisin sanoen salasanan muistettavuus on alentunut mutta tietoturva ei ole tällä panoksella kohentunut. Lopputuloksena on huono mutta vaikeasti muisttettava salasana. Tämä tarkoittaa sitä että salasanan käytettävyys ja käyttökelpoisuus ovat huonontuneet.
Usein tilanne onkin sellainen että tietoturvallisuuden lisäämine tekee sen harjoittamisesta työläämpää. Esimerkiksi monet verkkopankit käyttävät turvallisuutta lisäävää kertakäyttösalasanakorttia. Tämä muistuttaa vanhaa salausjärjestelmää jossa salauksessa on yksi kertakäyttösivu. Se lisää turvallisuutta kovasti, mutta kortin käyttäminen on hankalaa koska korttia ei hevillä opettele ulkoa. Näin heikoimmaksi lenkiksi muodostuukin inhimillinen käytettävyydenlisääminen ; Tämän kortin säilyttäminen jossain paikassa joka on sujuvasti lähellä omaa tietokonetta.
Poliisit olivat kyselyissään selvästi panostaneet ensi sijassa siihen että käytettävyys on sujuvaa kuin että testaus olisi erityisen pomminvarma. Syynä on varmasti se, että kaltaisiani haihattelijoita jotka joko (a) hukkaavat korttinsa (b) unohtavat päivittää sen on enemmän kuin niitä (c) jotka yrittävät varastaa toisen identiteetin hämäriin tarkoitusperiinsä.
Siksi poliisit kyselivät jotain jonka tietäminen ei ole aivan ilmiselvää, eli vaaditaan sentään hieman taustatyötä ja vaivaa. Ja ennen kaikkea he käyttivät niitä tietoja joita poliiseilla on ihmisestä käytössä. Ne vain sattuvat olemaan likimain samoja (mutta poliiseilla vähempiä) kuin mitä facebookisa nykyään on tarjolla. Ennen kysely on varmaan ollut tehokkaampi kun ei ole ollut hirmuisen tehokkaita keinoja arvailla tietyn henkilön sisaren syntymäpäivää - sitä on vain pitänyt selvittää kaverin kavereita ja mutkien kautta asiaa kyselemällä vaivalloisesti. Nyt kaikki on sekunnin ja pienen vaivan päässä samalla kun toisessa kädessä on kahvikuppi.
Onkin erikoista huomata, miten ihmiset ovat kovasti huolissaan vaikkapa yleisestä poliisin sormenjälkirekisteristä ja muista vastaavista asioista. Mutta he kuitenkin tunkevat samantapaista tietoa avoimesti kaikkien tarjolle internettiin, miettimättä että kenties joku rikostutkija-poliisi olisikin kenties kehittänyt urbaanin legendan mukaan poliiseille ylimaallisen kyvyn sekä lukea että kirjoittaa (googlen hakupalkkiin).
On jotenkin luontevampaa pelätä viranomaisten vallan väärinkäyttöä kuin hätäillä sitä että varsin epämiellyttävän ihmisen kehittämä internet-imperiumi voisi mahdollisesti vaikka rahanhalun takia levittää näitä tietoja vaikka mainostajille, joista osa saattaa ollakin vähemmän rehellisiä kuin haluamme uskoa.
Kirjoittaja on sitä mieltä että Pratchettin oivallus on hyvä. Avain on salasananvalvojan tunteminen ; Varmin että käyttömukavuudeltaan paras tapa saada henkilöllisyydenvarmistus hoitumaan on tuntea kyselevä poliisi henkilökohtaisesti. Mutta tässä kohden kannattanee silti pitää huoli siitä että ei ole ns. "poliisin vanha tuttu". Koska silloin voi olla että sinua "pyydetään olemaan lähtemättä matkoille lähiaikoina".
Ei kommentteja:
Lähetä kommentti