Monivaiheinen tunnistautuminen

Mikä on MFA, monivaiheinen tunnistautuminen? – MFA tulee lyhenteestä multi factor authentication. Se tarkoitaa monivaiheista tunnistautumista, jossa käyttäjä käyttää kirjautumisessaan palveluun käyttäjätunnuksen ja salasanan lisäksi vielä lisävahvennusta. Lisävahvennus annetaan esimerkiksi puhelimen avulla.

Yrityksen käyttämä sähköpostijärjestelmä ei ole salaisuus. Se ei voi olla, sillä aivan kuten perinteisen postin myös sähköposti pitää pystyä jakamaan oikeaan postilaatikkoon. Käytetty sähköpostijärjestelmä voidaan tarkastaa esimerkiksi tästä: MX Lookup Tool – Check your DNS MX Records online – MxToolbox (kirjoita tähän yrityksenne verkko-osoite ilman etuliitteitä, siis esimerkiksi jaloit.fi).

Useimmiten suomalaisen yrityksen kohdalla osoite näyttää että oikea postilaatikko on löytyy Microsoft Corporationin tai Googlen järjestelmistä, käytännössä siis Microsoft 365 -palvelusta tai Google Workspacesta.

Kirjautuminen yritysjärjestlemiin

Näihin järjestelmiin voi kirjautua käytännössä mistä tahansa maailmassa osoitteessa www.office.com tai www.google.com. Käyttäjätunnus on aina sama kun käyttäjän sähköpostiosoite. Ainoa ei julkinen tieto, jota kirjautumiseen tarvitaan on usein käyttäjän salasana.

Salasanoja voidaan kuitenkin koneellisesti arvailla, kalastella käyttäjiltä huijausviestein tai mikäli samaa salasanaa on käytetty muualla murretussa palvelussa, löytää käytetty salasana valmiilta listalta.

Ylivoimaisesti suurin osa tietomurroista nykyisin alkaa juuri murretun salasanan kautta.

Hyvä tapa suojautua on monivaiheinen tunnistautuminen, eli MFA-kirjautuminen. Se esitellään Suomen liikenne- ja viestintäministeriön alaisen kybertuvallisuuskeskuksen toimesta kattavasti tässä: Monivaiheinen tunnistautuminen suojaa käyttäjätilejäsi | Kyberturvallisuuskeskus. Ministeriön suositus on että ominaisuus otetaan välittömästi käyttöön kaikissa niissä palveluissa, joissa se on mahdollista. Hyödyt ovat riskien pienentymisen kautta ilmeiset ja vastaavasti haitat minimaaliset.

Microsoft 365 -palveluissa MFA monivaiheisen tunnistautumisen vahvennus tulee esimerkiksi käyttäjän kännykkään tekstiviestillä, tai ”sallitaanko kirjautuminen Kyllä/Ei” kysymyksenä . Vahvennus annetaan uudestaan noin kuukauden välein tai aina kun käytät uutta laitetta, jolta et ole aikaisemmin kirjautunut.

Muuta MFA:han ja monivaiheiseen tunnistautumiseen liittyviä

Monivaiheisen tunnistukseen kohdistunut uusi hyökkäystekniikka MFA Fatigue

Tiedämme tapauksia, joissa käyttäjätunnus ja salasana on hyökkääjän tiedossa. Hyökkääjä pyrkii kirjautumaan sisään niin monta kertaa, että käyttäjä lopulta hyväksyisi kirjautumispyynnön. Tällaisessa tilanteessa oikea toimenpide on kuitenkin salasanan nollaaminen. Se lopettaa hyökkäyksen.

Ehdollistettu pääsy (Conditional Access) helpottaa monivaiheisen tunnistautumisen käyttöä

Ehdollistettu pääsy tarkoittaa, että järjestelmälle kerrotaan etukäteen säännöt minkä mukaan järjestelmiin saa kirjautua. Järjestelmälle voidaan kertoa esimerkiksi mitkä ovat yrityksenne omistamia laitteita ja mitä virustorjunta-ohjelmistoa käytätte. Kirjautuminen voidaan sallia vain yrityksenne omistamilta laitteilta ja monivaiheista tunnistautumista vaatia laitteilta jotka eivät ole yrityksenne omistamia.

Jalo IT Terävä Premium

Tuotteistamassamme Terävä Premium -kokonaisuudessa tietoturva on mietitty puolestanne valmiiksi. Monivaiheinen tunnistautuminen ja valmiiksi suunniteltu ehdollistetun pääsyn politiikka kuuluvat molemmat mukaan valmiiseen kokonaisuuteemme.

Lue lisää tukisopimuksistamme täältä.

Kirjoittaja: