Koronan myötä ihmiset ovat siirtyneet yhä enemmän etätöihin. Samassa yhteydessä (ja muutenkin pikku hiljaa, thank god!) organisaatiot pyrkivät nostamaan tietoturvan tasoa. Tässä blogissa kerron miten yritykset ja yksityishenkilöt voivat hyödyntää MFA:ta parantaakseen tietoturvaa merkittävästi.
Mikä on MFA?
Multi-Factor Authentication, eli monivaiheinen tunnistautuminen, on keino saada pääsy tietokoneelle, sivustolle tai palveluun niin, että käyttäjän tulee toimittaa kaksi tai useampi "todistusaineisto" oikeudestaan pääsyyn. Todistusaineistoja voivat olla kiinteä käyttäjätunnus & salasana, fyysinen kortti, "Authenticator" -sovellus matkapuhelimessa tai esim. vaihtuva tekstiviestikoodi. Joskus aiheesta käytetään myös termejä Two-Factor Authentication, eli kaksivaiheinen tunnistautuminen, tai lyhyesti 2FA.
Miksi MFA on tärkeä?
Perinteinen ‘käyttäjätunnus ja salasana’-yhdistelmä voi olla melko haavoittuva tietomurroille. Kuten meidän tietoturvakyselyssäkin tuli ilmi, on ihmisillä tapana oikoa mutkia sekä käyttää toistuvia ja yksinkertaisia salasanoja. Tämä johtaa siihen, että yksinkertainen salasana voidaan murtaa tai toistuva salasana vuotaa jostain palvelusta ja sitten sitä kokeillaan seuraavaan palveluun (esim. työsähköposti).
Yksi esimerkki MFA:sta on tekstiviestikoodi. Kirjautuessa kysytään käyttäjätunnus sekä salasana ja tämän jälkeen profiiliin ennalta syötettyyn puhelinnumeroon tulee tekstiviestillä koodi, joka annetaan kirjatumisen vahvistamiseksi. Jos joku saisi käyttäjätunnuksen ja salasanan haltuunsa, ei hän kuitenkaan pääsisi kirjautumaan sisään asti, koska puhelin, johon tekstiviesti tulee, ei ole hänen hallussaan.
MFA on ärsyttävä!
Ymmärrän, että hermo on kireällä, jos joka kerta kun kirjautuu sisään, pitää erikseen odottaa ja syöttää tekstiviestikoodi. Monet verkkopalvelut muistavat sinun laitteesi (‘keksillä’ eli cookie -tiedostolla, joka tallentuu selaimeen), eivätkä pyydä vahvaa tunnistusta joka kerta. Toimintatapa vaihtelee palveluittain.
Organisaation tietojärjestelmän (esim. Microsoft 365) avulla voidaan asia järjestää myös niin, että palvelu tunnistaa turvalliset laitteet ja käyttäjältä ei vaadita esim. tekstiviestikoodia. Mikäli käytetään tunnistamatonta laitetta, vaaditaan lisävarmennus esim.tekstiviestillä.
Samalla ajatuksella myös toimiston verkossa ollessa laite saatetaan tunnistaa turvalliseksi ja salasanakyselyt vähenevät.
Miksi MFA kannattaa ottaa käyttöön henkilökohtaisissa palveluissa?
Henkilökohtaisia palveluja voi olla verkkokauppoja, suoratoistopalveluja, sosiaalisen median kanavia tai sähköpostipalveluja esim.
-
-
-
-
- Gmail
- Netflix
- Viaplay
- HBO
- Storytell
- Bookbeat
- Spotify
- Zalando
-
-
-
Näissä järjestelmissä voivat olla mm. seuraavia arkaluonteisia tietoja:
-
-
-
-
- Luottokortti
- Sähköpostiosoite
- Salasana joka on käytössä jossain toisessa paikassa
- Henkilötietoja
-
-
-
Jos et suojaa henkilökohtaisia palveluja, voi jokin ylläolevista tiedoista karata maailmalle, tai joku tyhjentää luottokorttisi Zalando-ostoksilla. Jonkinlaisen vahvaan tunnistautumiseen liittyvän asetuksen löydät usein profiili / asetukset-sivulta palvelusta (sivusto tai sovellus puhelimessa). Vahvaa tunnistautumista käytetään yleensä vähintään siihen, että salasanaa ei pysty nollaamaan ilman lisävahvistusta. Tällöin normaalikäyttö ei muutu totutusta.
Mitens meidän firmassa?
Microsoft 365 MFA
Jos laittaa Microsoft 365:n (entinen Office 365) MFA:n päälle suunnittelematta asiaa enempää, menee takuu varmasti työntekijöillä rillit huuruun, kun kaikki lakkaa toimimasta ja salasanaikkunoita hyppii jatkuvasti silmille. On hyvä huomioida, että jokaiseen eri palveluun ja järjestelmään pitää ottaa MFA erikseen käyttöön. Yksi vaihtoehto on pyrkiä hyödyntämään Microsoft 365:n Single Sign-On toimintoa, jolloin moneen eri järjestelmään käy samat Microsoft 365 -tunnukset.
Lue lisää blogistamme siitä, kuinka laittaa yrityksen tietoturva kuntoon!
09 - 42 550 338
