Onko OAuth sama asia kuin kirjautuminen salasanalla?

Ei. OAuth on valtuutusprotokolla, joka antaa sovelluksille rajoitetun pääsyn tileillesi ilman salasanasi jakamista. Sen sijaan, että luovuttaisit tunnistetietosi suoraan, OAuth myöntää väliaikaisia käyttötunnuksia, jotka määrittelevät tarkalleen, mitä kolmannen osapuolen sovellus saa tehdä puolestasi.

Voiko OAuth-tunnuksen varastaa?

Kyllä, mutta niiden vaikutus on rajallinen. OAuth-tunnuksilla on lyhyt voimassaoloaika ja rajattu laajuus, joten varastettu tunnus antaa hyökkääjälle vain väliaikaisen ja rajatun pääsyn — ei salasanaasi tai täyttä tilinhallintaa. VPN:n käyttö julkisissa verkoissa vähentää tunnusten sieppausriskiä entisestään.

Kuinka voin peruuttaa sovellukselle myönnetyn OAuth-pääsyn?

Voit peruuttaa pääsyn suoraan identiteetintarjoajasi kautta. Googlella mene osoitteeseen myaccount.google.com ja valitse "Turvallisuus" > "Kolmansien osapuolten sovellukset". Applella mene osoitteeseen appleid.apple.com. Pääsyn peruuttaminen mitätöi sovelluksen tunnuksen välittömästi ilman salasananvaihtoa.

Onko OAuth turvallisempi kuin erillisten tilien luominen jokaiselle sovellukselle?

Tietyissä tilanteissa kyllä. OAuth eliminoi riskin, että heikot tai uudelleenkäytetyt salasanat altistuvat kolmansien osapuolten sivustoilla. Kuitenkin koska OAuth yhdistää useita palveluja yhteen päätiliin, yhden identiteetintarjoajan murto voi vaikuttaa kaikkiin linkitettyihin sovelluksiin. Paras käytäntö on yhdistää OAuth vahvaan salasanaan ja kaksivaiheiseen todennukseen päätilillä.

OAuth

OAuth: Kuinka turvallinen valtuutus toimii ilman salasanan jakamista

Olet nähnyt sen kymmeniä kertoja: "Kirjaudu Googlella", "Jatka Facebookilla" tai "Kirjaudu Applella". Tämä saumaton napin painallus on OAuth käytännössä. Mutta mitä taustalla oikeastaan tapahtuu — ja miksi sillä on merkitystä yksityisyytesi ja tietoturvasi kannalta?

Mitä OAuth on

OAuth tulee sanoista Open Authorization. Se on avoin standardiprotokolla — tarkoittaen, että kuka tahansa voi toteuttaa sen — joka käsittelee valtuutusta (mitä sinulla on oikeus tehdä) eikä todennusta (henkilöllisyytesi todistamista). Nykyistä versiota, OAuth 2.0:aa, käyttää käytännössä jokainen merkittävä alusta internetissä.

Yksinkertaisesti ilmaistuna OAuth antaa sinulle mahdollisuuden antaa yhdelle sovellukselle luvan käyttää tiettyä dataa tai toimintoja toisessa sovelluksessa — ilman että luovutat salasanaasi. Sinä hallitset, mitä jaetaan, eikä kolmannen osapuolen sovellus näe tunnistautumistietojasi koskaan.

Kuinka OAuth toimii

Tässä yksinkertaistettu kuvaus siitä, mitä tapahtuu, kun klikkaat "Kirjaudu Googlella" kolmannen osapuolen sovelluksessa:

Pyydät pääsyä. Klikkaat kirjautumispainiketta, ja sovellus ohjaa sinut Googlen kirjautumissivulle.
Todennat itsesi suoraan. Syötät Google-tunnuksesi Googlen omille palvelimille — kolmannen osapuolen sovellus ei näe mitään.
Myönnät luvan. Google kysyy, haluatko antaa sovellukselle pääsyn tiettyihin tietoihin (kuten nimeesi ja sähköpostiosoitteeseesi). Hyväksyt.
Tunnus myönnetään. Google lähettää sovellukselle lyhytikäisen käyttötunnuksen — merkkijonon, joka toimii tilapäisenä avaimena. Tällä tunnuksella on määritelty laajuus (mihin se voi käyttää pääsyä) ja vanhentumisaika.
Sovellus käyttää tunnusta. Sovellus esittää tämän tunnuksen hakiessaan tietojasi. Se ei koskaan tarvitse varsinaista salasanaasi.

Jos myöhemmin peruutat pääsyn, tunnus mitätöityy. Kolmannen osapuolen sovellus menettää välittömästi oikeutensa — ilman salasanan vaihtamista.

Miksi OAuth on tärkeä tietoturvan kannalta

OAuth:n keskeinen tietoturvahyöty on tunnistautumistietojen eristäminen. Jos kolmannen osapuolen sovellus kärsii tietomurrosta, hyökkääjät saavat pahimmassa tapauksessa vanhentuneen käyttötunnuksen — ei varsinaista Google- tai Apple-salasanaasi. Päätilisi pysyy suojattuna.

OAuth myös rajoittaa laajuutta. Sovellus saattaa pyytää lupaa ainoastaan sähköpostiosoitteesi lukemiseen, ei sähköpostien lähettämiseen puolestasi. Tämä tarkka lupamalli tarjoaa merkittävän suojakerroksen verrattuna täyden tilin käyttöoikeuden luovuttamiseen.

OAuth ja VPN-käyttäjät

Jos käytät VPN:ää, OAuth liittyy yksityisyyteesi muutamalla tärkeällä tavalla.

Tunnuksen kaappausriskit. Suojaamattomissa verkoissa hyökkääjät voivat yrittää man-in-the-middle-hyökkäyksiä OAuth-tunnusten sieppaamiseksi uudelleenohjausprosessin aikana. VPN salaa liikenteesi ja vähentää tätä altistumista merkittävästi — erityisesti julkisessa Wi-Fi-verkossa lentokentillä, hotelleissa tai kahviloissa.

OAuth HTTPS:n kautta. OAuth 2.0 vaatii HTTPS:n toimiakseen turvallisesti. VPN lisää ylimääräisen salauskerroksen, mutta se ei korvaa HTTPS:ää. Molemmat yhdessä tarjoavat vahvemman suojan.

Tilien yhdistämisen yksityisyys. Kun käytät "Kirjaudu Googlella" tai vastaavaa, Google tietää, mitä palveluja käytät ja milloin. VPN peittää IP-osoitteesi tämän prosessin aikana, mutta tunnistautumispalveluntarjoaja (Google, Apple jne.) kirjaa silti kyseisen valtuutustapahtuman. Tiukan yksityisyyden vaatimusten käyttäjien tulisi punnita tätä kompromissia.

Yritys-VPN-ympäristöt. Monet yritykset yhdistävät VPN-yhteyden OAuth-pohjaisiin kertakirjautumisjärjestelmiin (SSO). Työntekijät todentavat itsensä kerran tunnistautumispalveluntarjoajan kautta — usein OAuth:n tai siihen liittyvän OpenID Connect -protokollan avulla — ja saavat pääsyn VPN:n suojaamiin sisäisiin resursseihin.

Käytännön käyttötapaukset

Sovellusintegraatiot: Projektinhallintatyökalun salliminen julkaista päivityksiä Slack-työtilassasi.
Sosiaalinen kirjautuminen: Kirjautuminen Spotifyyn Facebook-tilisi avulla.
API-käyttö: Budjetointisovellukselle myönnetty vain luku -oikeus pankkitapahtumiin.
Kehittäjätyökalut: Koodin julkaisupalvelun valtuuttaminen siirtämään päivityksiä GitHub-repositorioihisi.

OAuth vs. salasanat: laajempi näkökulma

OAuth ei korvaa salasanoja — se vähentää sitä, kuinka usein sinun täytyy käyttää niitä kolmansien osapuolten palveluissa. Yhdistettynä vahvoihin salasanoihin, kaksivaiheiseen todennukseen ja luotettavaan VPN:ään OAuth on osa kerroksellista tietoturvalähestymistapaa, joka vähentää merkittävästi hyökkäyspintaasi verkossa.

OAuthKeskitaso