Tässä artikkelissa kerromme mikä on MFA tunnistautuminen, eli kaksivaiheinen tunnistautuminen ja mitä tarkoittaa monivaiheinen tunnistautuminen. Miksi nämä tunnistautumismenetelmät ovat tärkeitä?
Kaksivaiheinen tunnistautuminen on tekniikka, jossa kirjautumisessa on nimensä mukaisesti, ainakin kaksi vaihetta. Ensimmäisessä vaiheessa annat esimerkiksi käyttäjätunnuksen ja salasanan. Mikäli nämä on syötetty oikein, pääset kirjautumisen toiseen vaiheeseen, jossa joudut käyttämään esimerkiksi omaa älypuhelintasi.
kaksivaiheinen tunnistautuminen (2FA) ja monivaiheinen tunnistautuminen (MFA) ovat periaatteessa synonyymejä, ja niitä käytetään usein keskenään vaihdellen.
Kaksivaiheinen tunnistautuminen on monivaiheisen tunnistautumisen alatyyppi. MFA on yleisluonteisempi termi, joka tarkoittaa mitä tahansa todennusjärjestelmää, joka vaatii kaksi tai useampaa eri todennuskerrointa. 2FA viittaa nimenomaisesti järjestelmään, joka vaatii täsmälleen kaksi eri kerrointa. Käytännössä nämä kaksi termiä tarkoittavat samaa asiaa: tiliin kirjautumiseen tarvitaan salasana (jotain, mitä tiedät) ja esimerkiksi puhelimeen lähetetty koodi (jotain, mitä omistat).
Nykyään on yleisempää käyttää termiä MFA, koska se kuvaa tarkemmin järjestelmiä, joissa voi olla käytössä useampi kuin kaksi todennusmenetelmää, vaikka käytännössä käyttäjän tarvitsee käyttää vain kahta.
Jotain, mitä tiedät: Esimerkiksi salasana tai PIN-koodi.
Jotain, mitä omistat: Esimerkiksi matkapuhelin, johon lähetetään kertakäyttökoodi tekstiviestillä tai mobiilisovelluksella (esim. Microsoft Authenticator tai Google Authenticator).
Jotain, mitä olet: Esimerkiksi sormenjälki tai kasvojentunnistus.
Tämän tavoitteena on parantaa tilin turvallisuutta merkittävästi, koska pelkän salasanan tietäminen ei riitä.
Esimerkiksi yrityksen käyttämä sähköpostijärjestelmä ei voi olla salaisuus. Aivan kuten perinteisen postin jakelun osalta, myös sähköposti pitää pystyä jakamaan oikeaan postilaatikkoon. Jotta meille ihmisille käyttäminen olisi mukavampaa, riittää että kirjoitamme vastaanottajan osoitteen loppuun esimerkiksi @jaloit.fi. Sähköpostin oikeaa jakelua varten jaloit.fi -osoitteeseen (eli domainiin) on täytynyt lisätä julkinen tieto mihin tänne lähetetty posti pitää kuljettaa.
Minkä tahansa yrityksen käytetty sähköpostijärjestelmä voidaan tarkastaa esimerkiksi tästä: MX Lookup Tool – Check your DNS MX Records online – MxToolbox (kirjoita tähän yrityksenne verkko-osoite ilman etuliitteitä, siis esimerkiksi jaloit.fi). Alla kuva miltä hakutulos näyttää Jalo IT:n tapauksessa.
Useimmiten suomalaisen organisaation kohdalla osoite näyttää että postilaatikko on löytyy joko Microsoft Corporationin tai Googlen järjestelmistä, käytännössä siis Microsoft 365 -palvelusta tai Google Workspace -palvelusta.
Näihin järjestelmiin voi (oletus asetuksin) kirjautua mistä tahansa maailmassa osoitteessa www.office.com tai www.google.com. Kumpaankin järjestelmään käyttäjätunnus on aina sama kun käyttäjän sähköpostiosoite ja näin ainoa ”ei julkinen tieto”, jota kirjautumiseen tarvitaan on enää käyttäjän salasana.
Salasana ei nykyisin suojaa käyttäjää kovin tehokkaasti. Sellaisen ohjelman tekeminen, joka käyttää sinun työpaikkasi jokaista käyttäjätunnusta ja arvaa vuorotellen jokaiselle yleisimmin käytettyjä salasanoja, kuten ”YhtiönNimiKuukausiVuosi!”, ei ole vaikea tehdä.
Salasanoja voidaan myös kalastella käyttäjiltä huijausviestein ja mikäli samaa salasanaa on käytetty muissa palveluissa, salasana voidaan jopa löytää internetin murrettujen palveluiden listoilta suoraan. Netti on pullollaan eri palveluista varastettuja tietokantoja. Esimerkiksi Kyberturvallisuuskeskus kertoo aiheesta tässä.
Ylivoimaisesti suurin osa tietomurroista nykyisin alkaa juuri murretun salasanan kautta.
Sähköpostin osalta täytyy vielä nostaa esiin tämä otsikon yleinen ja vaarallinen ajatus. Kun toimiva käyttäjätunnus ja salasana -pari on löytynyt, pyrkii hyökkääjä yleensä joko:
Jos etsit edelleen kattavampaa vastausta kysymykseen Mikä on MFA, tai Mikä on monivaiheinen tunnistautuminen, esitellään aihe Kybertuvallisuuskeskuksen toimesta kattavasti tässä: Monivaiheinen tunnistautuminen suojaa käyttäjätilejäsi | Kyberturvallisuuskeskus. Ministeriön nykyinen suositus on että ominaisuus otetaan välittömästi käyttöön kaikissa niissä palveluissa, joissa se on mahdollista. Hyödyt ovat riskien pienentymisen kautta ilmeiset ja vastaavasti haitat minimaaliset.
Kiusaako MFA minua jatkuvasti, eli joudunko käyttämään kaivamaan kännykän taskusta joka kerta kun tarkastan sähköpostini?
– Hyvänen aika, ei sentään! Esimerkiksi Microsoftin sähköpostiin kirjautumisen yhteydessä annettu MFA vahvennus kysyy ”Haluatko että kirjautumisesi tällä laitteella muistetaan?”. Tällöin kirjautuminen tallentaa käyttämällesi laitteellesi avaimen (token), joka on noin kuukauden voimassa. Avain toki katoaa joka kerta, jos tyhjennät selaimen, tai käytät selaimen yksityistiloja ja tällöin MFA tunnistus annetaan uudestaan.
– Esimerkiksi verkkopankkiin kirjautuessa pitkäaikaisia kirjautumistietoja ei tallenneta koskaan. Verkkopankkiin joudut antamaan vahvennetun kirjautumisen jokainen kerta erikseen.
Mitkä ovat yleisimmät tavat MFA tunnistautumisen antamiseen?
– Millä tavalla MFA -vahvistus annetaan, riippuu siitä kuinka kyseinen ohjelmisto on rakennettu. Usein voidaan käyttää älypuhelimen ohjelmaa ”Microsoft Authenticator” tai ”Google Authenticator”. Näissä ajatus on että avaat itse omata älypuhelimestasi kyseisen ohjelman ja ohjelma näyttää sinulle numerosarjan joka kirjautumisen toisessa vaiheessa annetaan.
– Yksi yleinen tapa on saapuva tekstiviesti. Kirjautumisen ensimmäisen vaiheen jälkeen (olet syöttänyt oikean käyttäjätunnuksen ja salasanan), sinulle lähetetään tekstiviesti, jossa on numerosarja joka kirjautumiseen vaaditaan.
– Kolmas yleinen tapa on ns. vahva tunnistautuminen. Tällöin käytetään yleensä kansallista tunnistetta, jonka voi antaa esimerkiksi oman pankin taikka kotimaisen operaattorin mobiilivarmenteen kautta.
Entä jos MFA:ssa käytetään puhelintani, puhelinnumeroni vaihtuu, unohdan kännykän kotiin tai kadotan sen?
– Esimerkiksi Microsoftin ja Googlen palveluiden kohdalla, MFA tunnistautuminen voidaan resetoida tai ohittaa hetkellisesti ylläpitäjän toimesta.
Mistä saan MFA:n käyttöön?
– MFA:n käyttöönotto on nykyiseen ympäristöönne henkilöstötiedotteineen todennäköisesti noin kahden tunnin operaatio. Ota yhteyttä niin autamme asiassa mielellään!
Mitä muuta olisi hyvä huomioida MFA:n lisäksi?
– Tietoturva on yhtä vahva kun sen heikoin lenkki ja samalla ICT ympäristö on kokonaisuudessaan hyvin monimuotoinen. Jalo IT tarjoaa kolme erinomaista vaihtoehtoa tietoturvan parantamiseksi.
Kirjoittaja:
Toimitusjohtaja
Ville on kokenut tietotyön tehostaja ja Microsoft-tuottavuustyökalujen osaaja.
