OpenAI esitteli torstaina 30. huhtikuuta uuden Advanced Account Security -suojauksen, joka korvaa salasanapohjaisen kirjautumisen passkey- tai laiteavaimilla ChatGPT- ja Codex-tileillä. Suojaus on vapaaehtoinen ja saatavilla heti tilin asetuksista.

Lanseeraus on osa OpenAI:n laajempaa kyberturvasuunnitelmaa ja tähtää erityisesti henkilöihin, joiden ChatGPT-keskustelut voivat kiinnostaa hyökkääjiä. Samalla yhtiö julkisti yhteistyön Yubicon kanssa kahdesta räätälöidystä laiteavaimesta.

Lisäys vastaa toimialalla nopeasti kiristynyttä keskustelua siitä, miten LLM-keskusteluiden sisältö pitäisi suojata. Anthropic julkaisi muutamaa viikkoa aiemmin kyberturvamallinsa Mythoksen, ja OpenAI vastaa nyt sekä uudella turvakäytännöllä että digitaalipuolustuksen kehyksellä.


Kohderyhmänä erityisen alttiit käyttäjät


OpenAI:n virallisen blogin mukaan Advanced Account Security on suunniteltu toimittajille, valituille luottamushenkilöille, tutkijoille ja poliittisille toisinajattelijoille, joiden tileihin kohdistuu kohonnut hyökkäysriski. Yhtiö korostaa, että kuka tahansa turvallisuustietoinen käyttäjä voi ottaa suojauksen käyttöön.

ChatGPT-tilit keräävät pitkän käyttöajan kuluessa arkaluontoista henkilökohtaista ja ammatillista tietoa. Tili kytkeytyy tyypillisesti myös työkaluihin ja muistiin, jotka kulkevat keskusteluiden mukana. Tästä syystä tilin haltuunotto voi paljastaa hyökkääjälle huomattavasti enemmän kuin pelkkä yksittäinen sähköposti.

Yritysasiakkaille suojausta ei ole vielä avattu, mutta OpenAI lupasi laajentaa työtä myöhemmin myös yritysympäristöihin. Tähän asti enterprise-tileillä on tukeuduttu organisaation omiin SSO-ratkaisuihin.

TechCrunchin haastattelussa Yubicon toimitusjohtaja Jerrod Chong totesi yhteistyön tarkoitukseksi vähentää tunnistautumiseen liittyvää tietomurtoriskiä OpenAI-tileillä koko maailmassa. Lausunto kuvaa hyvin, miksi suojaus on saatu liikkeelle juuri nyt: chatbottien käyttäjät ovat nousseet kasvavaksi kalastelukohteeksi.



Toimittaja työpöydällään hämärässä uutishuoneessa, laiteavain riippuu lanyardissa.


Mitä Advanced Account Security sisältää


Suojaus koostuu neljästä toisiaan tukevasta osiosta. Ensimmäinen on vahvempi kirjautumismenetelmä: salasanapohjainen sisäänkirjautuminen poistetaan käytöstä, ja tilalle vaaditaan passkey tai fyysinen laiteavain. Käytännössä kalasteluyrityksiltä putoaa pohja pois.

Toinen osio koskee tilin palautusta. Tavallinen sähköposti- tai SMS-pohjainen palautus on hyökkääjien suosima väylä, joten se kytketään pois. Tilalle tulevat varapasskey, varalaiteavain ja palautuskoodi. OpenAI:n asiakaspalvelu ei voi enää auttaa, jos käyttäjä menettää nämä tunnisteet.

Kolmas osio lyhentää sisäänkirjautumisistuntoja ja tuo selkeämmän hallinnan aktiivisille laitteille. Käyttäjä saa heräteilmoituksen jokaisesta uudesta kirjautumisesta ja näkee samasta valikosta kaikki avoimet istunnot. Neljäs osio sulkee suojauksen piiriin kuuluvat keskustelut automaattisesti pois mallin koulutuksesta.

Yhdessä nämä neljä osiota muodostavat tilin haltuunottoa torjuvan kerrostetun puolustuksen. Kalastelu, sähköpostin tunnusten varastaminen ja istuntojen kaappaaminen ovat kaikki yleisimpiä tapoja päästä tilille käsiksi, ja jokaiseen niistä OpenAI tarjoaa nyt konkreettisen vasta-toimen samasta valikosta.



Hehkuva passkey-tunniste leijuu sormenjälkitunnistimen yläpuolella, ympärillä turvarenkaita.


Yubico-kumppanuus tuo räätälöidyt laiteavaimet


Fyysinen laiteavain on vakiintunut yhdeksi tehokkaimmista suojista kalastelua vastaan. OpenAI valitsi kumppanikseen Yubicon, joka on alan tunnetuin valmistaja, ja yhtiöt julkistivat yhteismerkkiset YubiKey C NFC- ja YubiKey C Nano -avaimet.

Nano-versio on suunniteltu pysymään kannettavan USB-C-portissa jatkuvaa kirjautumista varten. NFC-malli soveltuu varmuuskopioksi ja toimii myös mobiililaitteilla. Käyttäjät saavat avaimet OpenAI:n neuvottelemilla kumppanihinnoilla suoraan tilin asetussivulta.

Vaihtoehdoiksi kelpaavat myös muut FIDO-yhteensopivat avaimet sekä ohjelmistopohjaiset passkeyt. Painopiste on siinä, että vahva kalastelunkestävä todennus tulee saataville myös sellaisille käyttäjille, jotka eivät ole aiemmin tottuneet laiteavainten käyttöön.



Kaksi USB-C-laiteavainta valkoisella työpöydällä modernin kannettavan vieressä.


Trusted Access for Cyber pakottaa suojauksen käyttöön


OpenAI laajensi samalla Trusted Access for Cyber -ohjelmaa, joka antaa varmennetuille puolustajille pääsyn yhtiön kyvykkäimpiin ja sallivimpiin malleihin. Ohjelmaan kuuluvien yksittäisten jäsenien on otettava Advanced Account Security käyttöön 1. kesäkuuta 2026 alkaen.

Organisaatiot voivat halutessaan vakuuttaa OpenAI:lle, että niiden SSO-kirjautuminen täyttää kalastelunkestävän todennuksen vaatimukset. Tämä antaa joustavuutta yrityksille, jotka käyttävät esimerkiksi Oktan tai Microsoftin ratkaisuja.

Linjaus on osoitus siitä, miten OpenAI suhtautuu kyberturvamallien jakeluun. Kun mallit pystyvät yhä syvempään offensiiviseen analyysiin, yhtiö haluaa varmistua siitä, että pääsy on yksiselitteisesti puolustustarkoituksissa.

Ohjelma vastaa myös laajempaan huoleen siitä, että samaa kyvykästä mallia voitaisiin käyttää myös offensiivisesti. Tunnistetut puolustajat saavat lisätyökaluja vastineeksi siitä, että heidän tilinsä on lukittu kalasteltavalta hyökkääjältä.



Kyberturva-analyytikon työpiste, näytöt täynnä uhkadashboardeja ja koodia.


Yhteenveto


Advanced Account Security on selvä askel ChatGPT-ekosysteemin kovettamisessa. Salasanojen poistaminen, palautusvektorien kapeneminen ja istuntojen lyhentäminen yhdessä siirtävät hyökkääjälle koituvaa työmäärää selvästi ylöspäin. Hinta tulee mukavuudessa: kadonnutta laiteavainta ei voi enää ratkaista tukipyynnöllä.

Suojaus on saatavilla heti webissä, ja Yubico-bundle laajenee kaikille soveltuville käyttäjille. Trusted Access for Cyber -käyttäjille suojaus tulee pakolliseksi kesäkuun alusta. OpenAI on lupaillut laajennusta myös yritysympäristöihin, mutta aikataulua ei toistaiseksi ole annettu.