Monivaiheinen tunnistautuminen, eli MFA

Viime aikoina on ollut paljon uutisia tietomurroista ja kalasteluviestikampanjoista. Askarruttaako sinuakin, kuinka voit suojata tilisi paremmin näiltä? Tässä blogissa kerron MFA:sta, keinosta, jolla voit suojata tilisi tietovarkailta.

Internetpalveluihin kirjauduttaessa käyttäjän henkilöllisyys vahvistetaan perinteisesti käyttäjätunnuksen ja salasanan avulla. Tämä tarkoittaa sitä, että käyttäjän on osoitettava palvelulle olevansa se henkilö, joka hän väittää olevansa. Käyttäjätunnuksen ja salasanan käyttö ei kuitenkaan ole ihanteellinen tapa suorittaa todennus. Käyttäjätunnuksen (varsinkin työhön liittyvissä palveluissa) arvaaminen on helppoa, erityisesti kun käyttäjätunnus on usein henkilön sähköpostiosoite. Lisäksi käyttäjät voivat valita helposti muistettavan salasanan, jota käyttävät useilla eri palveluilla, kuten klassinen Salasana1 tai Salasana1!.

Salasanojen "kierrättäminen" ei ole suositeltavaa, koska jos salasana vuotaa yhdestä palvelusta, muut henkilöt kuin sinä voivat käyttää sitä yrittäessään kirjautua muihin palveluihin. He käyttävät yhdestä paikasta vuotanutta käyttäjätunnusta ja salasanaa, ja kokeilevat onneaan, josko ne avaisivat pääsyn myös muuallekin. Onneksi erilaiset salasanapalvelut, esimerkiksi Google, ilmoittaa vuotaneista salasanoista. Jos Google-tilille on tallennettu tai yritetään tallentaa vuotanutta salasanaa, Google pyytää vaihtamaan kyseisen salasanaa johonkin toiseen, vahvempaan salasanaan. Salasana on kuitenkin jo kerennyt pääsemään jonkun toisen käsiin, ja tilisi, joilla on ollut sama salasana käytössä, voivat olla vaarassa.

Voit lukea kollegani blogista lisätietoja salasanoista ja niiden historiasta täältä: Salasanojen historiaa ja nykypäivää: Näin luot tietoturvallisen salasanan - Marskidata

Mikä ihmeen kaksivaiheinen tunnistautuminen?

Kaksi tai monivaiheisella tunnistautumisella tarkoitetaan sitä, että käyttäjätunnuksen ja salasanan lisäksi tarvitaan kolmas tai vielä useampi todennuskeino, jotta sisäänkirjautuminen onnistuu. Sisään kirjauduttaessa palvelu lähettää esimerkiksi tekstiviestin määritettyyn puhelinnumeroon, joka pitää syöttää palveluun. Microsoft on ilmoittanut vuonna 2019, että monivaiheinen tunnistautuminen estää 99.9 % tilien kaappauksista (Microsoft). Monissa palveluissa kaksivaiheinen tunnistautuminen on jo välttämätöntä, ja tämä on saattanut tulla sinullekin vastaan esimerkiksi pankkiin kirjautuessa.

Tästä voit lukea meidän servicedeskin viisi vinkkiä tietoturvaan Servicedeskin viisi vinkkiä tietoturvaan - Marskidata

Kaksivaiheinen todennus ei vaadi ylimääräisten koodien tai tunnusten muistamista. Keinoja tunnistautua monivaiheisesti löytyy monia: Authenticator-sovellukset, tekstiviestit, fyysiset avaimet kuten Yubikey tai biometriset tunnisteet, kuten kasvot ja sormenjäljet. Yleisimpiä näistä kuitenkin on erilaiset Authenticator-sovellukset puhelimessa tai muussa mobiililaitteessa.

Tekstiviestikoodit ovat olleet myös suosittuja, mutta Microsoft on viime aikoina alkanut poistamaan käytöstä tätä metodia. “SIM-swappaaminen” on keino, jolla varkaat voivat saada teleoperaattorin siirtämään käyttäjän numeron omaan SIM-korttiinsa esittämällä käyttäjää. Käyttäjän henkilötiedot on voitu saada manipuloinnilla, kalasteluviestin yhteydessä tai julkisesti saatavilla olevan tiedon avulla, ja näitä tietoja hyödyntämällä varas vakuuttaa operaattorille, että kyseessä on oikeasti SIM-kortin omistaja. Tämä skenaario on toki harvinaista Suomessa ja vaatii varkaalta todella paljon omistautumista. Silti se on täysin mahdollista.

3 syytä, miksi monivaiheista tunnistautumista kannattaa käyttää.

• Saadaan estettyä tilien kaappaukset. Jos kaappaaja on saanut kirjautumistietosi esimerkiksi kalasteluviestin kautta, saadaan monivaiheisella tunnistautumisella estettyä kirjautuminen sille tilille, jolle olet ottanut monivaiheisen tunnistautumisen käyttöön. Kaappaaja tarvitsee vielä kirjautumistietosi lisäksi vahvistuskoodin, joka on vain sinun saatavillasi.
• Helppo ottaa käyttöön. Käyttöönotto ei ole mitään rakettitiedettä, ja hyvin monessa palvelussa on selkeät ohjeet tähän. Jos käyttöönotto tuntuu haastavalta tai olet muuten kiireinen, autamme mielellämme teitä ottamaan kaksivaiheisen tunnistautumisen käyttöön koko yrityksellenne.
• Halpa suojauskeino. Monivaiheinen tunnistautuminen on suhteellisen edullinen, mutta tehokas suojauskeino verrattuna tietomurron mahdollisiin riskeihin ja kustannuksiin. IBM:n (IBM) raportin mukaan vuonna 2023 tietomurrot maksoivat keskiarvoisesti 4,45 miljoona dollaria maailman laajuisesti. Sen lisäksi tietomurto vaikuttaa myös yrityksen maineeseen hyvin paljon. Suurin osa tietomurroista tapahtuu kalasteluviestien kautta.

Kaiken kaikkiaan monivaiheinen tunnistautuminen on välttämätön osa nykyaikaista tietoturvaa. Tulevaisuudessa voidaan odottaa entistä kehittyneempiä MFA-ratkaisuja, jotka integroivat entistä saumattomammin käyttäjän arkeen samalla tarjoten vahvaa suojaa tietoturvauhkilta. Organisaatioiden ja yksityishenkilöiden tulisi harkita MFA:n käyttöönottoa osana kokonaisvaltaista tietoturvastrategiaa, joka turvaa niiden digitaalisen läsnäolon.

Tarvitsetko apua monivaiheisen tunnistautumisen käyttöönotossa vai heräsikö kysymyksiä tietoturvaan liittyen? Laita ihmeessä viestiä osoitteeseen servicedesk@marskidata.fi tai myynti@marskidata.fi. Voit olla meihin myös yhteydessä alla olevan lomakkeen kautta!