Authentication is a critical part of Internet services. Traditionally authentication is handled with usernames and passwords. However, nowadays passwords are not reliable enough as the only authentication method when handling sensitive information, such as health data. Multi-factor authentication has been proposed as a solution for making authentication stronger.
In this thesis, I selected and implemented a new method for multi-factored authentication into the palse.fi-portal that is maintained by Polycon Oy. The portal is for connecting patients, welfare services counties and their service providers. First, a literature survey was performed to discover possible multi-factor authentication schemes. Then, the requirements for the scheme selection were formed. After this, the different schemes were compared with the help of the requirements to select the scheme that was implemented. Next, the scheme was implemented and finally reviewed against the requirements.
FIDO2 was selected as the multi-factor authentication scheme. WebAuthn API was implemented to support the FIDO2 authentication method. FIDO2 offers support for wide range of authentication devices, including smartphones and physical security tokens.
The implementation fulfilled most of the requirements, with the exception of usability. Usability of FIDO2 depends heavily on the combination of authentication device and platform. The user can influence the usability of this method by selecting a combination with better usability. The implementation of the WebAuthn API does not affect the usability. In ideal conditions, authentication using FIDO2 is fast and easy, but with specific combinations the process can be challenging, especially to an unexperienced user.Tunnistautuminen on oleellinen osa Internet-palveluita. Perinteinen käyttäjätunnukseen ja salasanaan perustuva tunnistautuminen on jäänyt riittämättömäksi erityisesti käsiteltäessä arkaluontoisia tietoja, kuten henkilö- tai terveystietoja. Tästä johtuen on kehitetty monenlaisia vahvempia, monivaiheisia tunnistautumismenetelmiä.
Tässä työssä valittiin ja toteutettiin uusi tunnistautumistapa hyvinvointialueiden palveluntuottajille Polycon Oy:n ylläpitämään palse.fi-portaaliin. Ensin suoritettiin katsaus erilaisiin monivaiheisiin tunnistautumismenetelmiin, joista sitten valittiin vaatimusten perusteella yksi menetelmä toteutettavaksi. Sen jälkeen toteutettiin kyseinen menetelmä. Lopuksi vielä arvioitiin toteutettua menetelmää suhteessa aiemmin asetettuihin vaatimuksiin.
Toteutettavaksi menetelmäksi valikoitui FIDO2. Jotta menetelmä saatiin käyttöön, palse.fi-portaaliin toteutettiin WebAuthn-rajapintatoteutus tunnistavan osapuolen osalta. Menetelmä mahdollistaa pääsyavaimella tunnistautumisen. Nämä pääsyavaimet voivat olla säilöttynä useille erityyppisille laitteille, esimerkiksi älypuhelimille ja fyysisille tietoturva-avaimille.
Toteutus täyttää työssä asetetut vaatimukset lukuunottamatta käytettävyyttä, joka riippuu vahvasti käytetyn tunnistautumisvälineen ja -alustan yhdistelmästä. Käyttäjä pystyy itse vaikuttamaan tähän tunnistautumisvälineen ja -alustan yhdistelmään, esimerkiksi rekisteröimällä uuden tunnistautumisvälineen tililleen. Käytettävyys riippuu täten käyttäjän vallinnoista sekä käytettävissä olevista laitteista, mutta ei tässä työssä toteutetusta palvelinpuolen ohjelmistosta. Käytettävyys on parhaassa tapauksessa erittäin hyvä ja tunnistautumisprosessi nopea, mutta eri yhdistelmällä prosessi voi olla hyvinkin haastava, erityisesti kokemattomalle käyttäjälle.
