Mikä on MFA eli kaksivaiheinen tunnistus

Tässä artikkelissa kerrotaan mikä on MFA tai monivaiheinen (tai kaksivaiheinen) tunnistus sekä miksi se on tarpeellinen.

MFA eli monivaiheinen tunnistus on tekniikka, jossa kirjautumisessa on nimensä mukaisesti, ainakin kaksi vaihetta. Ensimmäisessä vaiheessa annat esimerkiksi käyttäjätunnuksen ja salasanan. Mikäli nämä on syötetty oikein, pääset kirjautumisen toiseen vaiheeseen, jossa joudut käyttämään esimerkiksi omaa älypuhelintasi.

Yleinen MFA käyttötapaus

Esimerkiksi yrityksen käyttämä sähköpostijärjestelmä ei voi olla salaisuus. Aivan kuten perinteisen postin jakelun osalta, myös sähköposti pitää pystyä jakamaan oikeaan postilaatikkoon. Jotta meille ihmisille käyttäminen olisi mukavampaa, riittää että kirjoitamme vastaanottajan osoitteen loppuun esimerkiksi @jaloit.fi. Sähköpostin oikeaa jakelua varten jaloit.fi -osoitteeseen (eli domainiin) on täytynyt lisätä julkinen tieto mihin tänne lähetetty posti pitää kuljettaa.

Minkä tahansa yrityksen käytetty sähköpostijärjestelmä voidaan tarkastaa esimerkiksi tästä: MX Lookup Tool – Check your DNS MX Records online – MxToolbox (kirjoita tähän yrityksenne verkko-osoite ilman etuliitteitä, siis esimerkiksi jaloit.fi). Alla kuva miltä hakutulos näyttää Jalo IT:n tapauksessa.

Useimmiten suomalaisen organisaation kohdalla osoite näyttää että postilaatikko on löytyy joko Microsoft Corporationin tai Googlen järjestelmistä, käytännössä siis Microsoft 365 -palvelusta tai Google Workspace -palvelusta.

Näihin järjestelmiin voi (oletus asetuksin) kirjautua mistä tahansa maailmassa osoitteessa www.office.com tai www.google.com. Kumpaankin järjestelmään käyttäjätunnus on aina sama kun käyttäjän sähköpostiosoite ja näin ainoa ”ei julkinen tieto”, jota kirjautumiseen tarvitaan on enää käyttäjän salasana.

Mutta kukaan ei tiedä salasanaani

Salasana ei nykyisin suojaa käyttäjää kovin tehokkaasti. Sellaisen ohjelman tekeminen, joka käyttää sinun työpaikkasi jokaista käyttäjätunnusta ja arvaa vuorotellen jokaiselle yleisimmin käytettyjä salasanoja, kuten ”YhtiönNimiKuukausiVuosi!”, ei ole vaikea tehdä.

Salasanoja voidaan myös kalastella käyttäjiltä huijausviestein ja mikäli samaa salasanaa on käytetty muissa palveluissa, salasana voidaan jopa löytää internetin murrettujen palveluiden listoilta suoraan. Netti on pullollaan eri palveluista varastettuja tietokantoja. Esimerkiksi Kyberturvallisuuskeskus kertoo aiheesta tässä.

Ylivoimaisesti suurin osa tietomurroista nykyisin alkaa juuri murretun salasanan kautta.

Mutta minun sähköpostissani ei ole mitään salaista

Sähköpostin osalta täytyy vielä nostaa esiin tämä otsikon yleinen ja vaarallinen ajatus. Kun toimiva käyttäjätunnus ja salasana -pari on löytynyt, pyrkii hyökkääjä yleensä joko:

1. Aloittamaan tutkimukset että mihin on päästy ja kuinka suuret käyttöoikeudet sinulla onkaan. Hallintatunnukset ovat tietysti rötöstelijän ”jackpot”.
2. Myymään nämä toimivat käyttäjätunnukset jollekin toiselle, tai vaihtoehtoisesti aloitetaan tutkimukset millaisella petoksella / huijauksella teiltä voisi varastaa rahaa ja kuinka paljon.
3. Käytetään teidän nimeä kun haittaohjelmia levitetään muualle, näin. (Huom. juuri tästä tapauksesta meillä ei ole tarkkaa teknistä tietoa, ajatus kuitenkin aina sama.)

MFA, eli monivaiheinen tunnistautuminen on hyvä tapa suojautua

Jos etsit edelleen kattavampaa vastausta kysymykseen Mikä on MFA, tai Mikä on monivaiheinen tunnistautuminen, esitellään aihe Kybertuvallisuuskeskuksen toimesta kattavasti tässä: Monivaiheinen tunnistautuminen suojaa käyttäjätilejäsi | Kyberturvallisuuskeskus. Ministeriön nykyinen suositus on että ominaisuus otetaan välittömästi käyttöön kaikissa niissä palveluissa, joissa se on mahdollista. Hyödyt ovat riskien pienentymisen kautta ilmeiset ja vastaavasti haitat minimaaliset.

Usein kysyttyjä kysymyksiä:

Kiusaako MFA minua jatkuvasti, eli joudunko käyttämään kaivamaan kännykän taskusta joka kerta kun tarkastan sähköpostini?

– Hyvänen aika, ei sentään! Esimerkiksi Microsoftin sähköpostiin kirjautumisen yhteydessä annettu MFA vahvennus kysyy ”Haluatko että kirjautumisesi tällä laitteella muistetaan?”. Tällöin kirjautuminen tallentaa käyttämällesi laitteellesi avaimen (token), joka on noin kuukauden voimassa. Avain toki katoaa joka kerta, jos tyhjennät selaimen, tai käytät selaimen yksityistiloja ja tällöin MFA tunnistus annetaan uudestaan.

– Esimerkiksi verkkopankkiin kirjautuessa pitkäaikaisia kirjautumistietoja ei tallenneta koskaan. Verkkopankkiin joudut antamaan vahvennetun kirjautumisen jokainen kerta erikseen.

Mitkä ovat yleisimmät tavat MFA tunnistautumisen antamiseen?

– Millä tavalla MFA -vahvistus annetaan, riippuu siitä kuinka kyseinen ohjelmisto on rakennettu. Usein voidaan käyttää älypuhelimen ohjelmaa ”Microsoft Authenticator” tai ”Google Authenticator”. Näissä ajatus on että avaat itse omata älypuhelimestasi kyseisen ohjelman ja ohjelma näyttää sinulle numerosarjan joka kirjautumisen toisessa vaiheessa annetaan.

– Yksi yleinen tapa on saapuva tekstiviesti. Kirjautumisen ensimmäisen vaiheen jälkeen (olet syöttänyt oikean käyttäjätunnuksen ja salasanan), sinulle lähetetään tekstiviesti, jossa on numerosarja joka kirjautumiseen vaaditaan.

– Kolmas yleinen tapa on ns. vahva tunnistautuminen. Tällöin käytetään yleensä kansallista tunnistetta, jonka voi antaa esimerkiksi oman pankin taikka kotimaisen operaattorin mobiilivarmenteen kautta.

Entä jos MFA:ssa käytetään puhelintani, puhelinnumeroni vaihtuu, unohdan kännykän kotiin tai kadotan sen?

– Esimerkiksi Microsoftin ja Googlen palveluiden kohdalla, MFA tunnistautuminen voidaan resetoida tai ohittaa hetkellisesti ylläpitäjän toimesta.

Mistä saan MFA:n käyttöön?

– MFA:n käyttöönotto on nykyiseen ympäristöönne henkilöstötiedotteineen todennäköisesti noin kahden tunnin operaatio. Ota yhteyttä niin autamme asiassa mielellään!

Mitä muuta olisi hyvä huomioida MFA:n lisäksi?

– Tietoturva on yhtä vahva kun sen heikoin lenkki ja samalla ICT ympäristö on kokonaisuudessaan hyvin monimuotoinen. Jalo IT tarjoaa kolme erinomaista vaihtoehtoa tietoturvan parantamiseksi.

1. Tietoturvan nykytilanteen kartoittaminen – Lue lisää tästä!
2. Suora siirtyminen pk-yritykselle suunniteltuun kokonaisuuteen – Lue lisää tästä!
3. Ilmainen 30min konsultointi aiheesta Teams-palaverissa /bookings/" target="_blank" rel="noreferrer noopener">– Varaa aika tästä!

Kirjoittaja: