Vahva tunnistautuminen ja pääsynhallinta
Mistä on kyse?
Monivaiheinen tunnistautuminen (multifactor authentication, “MFA”) vastaa kysymyksiin kuka sinä olet, mitä sinä tiedät, mitä sinä omistat ja mitä sinä teet. Näin henkilön identiteetti varmistetaan käyttämällä useampaa eri tunnistautumistapaa. Vaikka rikollinen saisi tietoonsa käyttäjätunnuksen ja salasanan, ei kirjautuminen onnistu ilman muita lisätunnisteita.
Tietoturvallisen palvelun vaatimuksena on monivaiheinen tunnistautuminen ja sen on katettava kaikki käyttäjät käyttöoikeuksien tasosta riippumatta.
On myös tärkeää seurata ja rajata kirjautumisia edistyneellä pääsynhallinnalla. Sen avulla kirjautuminen eri palveluihin voidaan sallia tiettyjen ehtojen täyttyessä, josta käytetään myös termiä “conditional access”. Decensin palvelussa ehdollinen pääsy mahdollistaa sujuvasti erilaisen tietoturvatason määrittämisen kohdepalvelun tarpeen mukaan, vaikkapa erilaisilla tunnistusmenetelmillä tai maakohtaisilla rajoituksilla.
Epäilyksiä voi herättää esimerkiksi se, jos suomalainen käyttäjätunnus yrittää kirjautua keskellä yötä useita kertoja peräkkäin, kirjautumisyritykset ovat peräisin useasta eri maasta tai normaalista kirjautumisesta poikkeavasta maasta. Tämä kertoisi, että käyttäjätunnukset ovat joutuneet vääriin käsiin, ja hyökkääjä yrittää päästä monivaiheisesta tunnistautumisesta läpi.
Vahva tunnistautuminen ja pääsynhallinta ovat tehokkaita keinoja yrityksen tietoturvan parantamiseksi. Auditoitavat kirjautumistapahtumat helpottavat selvitystä niin vikatilanteiden, kuin tietoturvapoikkeamienkin selvityksessä.
Miksi pitää olla huolissaan?
Pelkkä salasanaan perustuva tunnistautuminen ei enää riitä. Käyttäjillä voi olla sama tunnus ja salasana -pari useassa eri palvelussa eikä salasanan laadusta usein ole takeita, jolloin se voi olla yleisesti arvattavien salasanojen listalla ja tunnusten haltuunotto on nopeaa. Vahvalla tunnistautumisella taklataan ennen kaikkea riskejä, joita salasanaturvallisuuden heikkoudet muodostavat. Useiden tutkimusten mukaan vahva tunnistautuminen estäisi suurimman osan kaikista tietomurroista.
Myös MFA-ratkaisut ovat hyökkäysten kohteena. SMS-viesteillä toimitettaviin kertakäyttöisiin numerokoodeihin ja mobiiliapplikaatioiden helposti hyväksyttäviin push-ilmoituksiin perustuvat autentikointimenetelmät ovat motivoituneelle hyökkääjälle kierrettävissä kohdennetun tietojenkalastelun kautta. Niissä tapauksissa käyttäjä ohjataan edistyneelle huijaussivustolle kirjautumaan ja hyväksymään MFA-todennus, mutta taustalla hyökkääjä välittää kirjautumistiedot oikealle sivustolle ja saa näin kaapattua tilin haltuunsa.
Lisäksi “MFA fatigue” -hyökkäyksissä yritetään jatkuvasti kirjautua palveluun käyttäjältä varastettujen tunnuksen ja salasanan avulla niin kauan, kunnes työntekijä hyväksyy MFA-sovelluksen tuntemattoman kirjautumisyrityksen vahingossa tai päästäkseen eroon ilmoituksista.

Miten haasteet ratkaistaan?
Vahvassa tunnistautumisessa henkilöllisyys todennetaan usealla eri tiedolla. Kirjautumiseen käytetään salasanan lisäksi monia tunnisteita käyttökohteen tietoturvavaatimukset huomioiden, joten vahva tunnistautuminen mahdollistaa myös luopumisen käyttäjiä kuormittavasta salasanojen tiheästä vaihtovälistä, jonka hyödyt tietoturvaan ovat kauan sitten osoitettu vähäisiksi.
Decensin palvelussa tunnisteita ovat esimerkiksi mobiilisovelluksen kertakäyttöiset koodit ja push-viestit, joihin ketjutetaan lisäksi biometrinen tunnistus joko sormenjäljellä tai kasvotunnistuksella.
MFA-hyökkäyksiä vastaan suojaudutaan erillisellä numerotarkistuksella. Lisäksi informatiivinen mobiilisovellus näyttää kartalta, mistä epäilyttävät kirjautumisyritykset ovat peräisin.
Kaikista tietoturvallisin vaihtoehto on kirjautumiseen vaadittava fyysinen FIDO2-avain, joka voi olla toimikortin, NFC-luettavan toimikortin tai USB-tikun muodossa.
Yrityksissä haasteena on useat erilaiset kirjautumistavat eri palveluihin, mikäli kasvattaa ylläpidon tarvetta. Decensin palvelu kattaa kaikki autentikointitarpeet yhdellä ratkaisulla, jolla voit käyttää eri vaihtoehtoja tunnistautumiseen käyttökohteen mukaan. Saat kätevästi harmonisoitua yrityskäytössä tarvittavat tilit.
Single sign-on –toiminnallisuudella yrityksen identiteettiä voidaan hyödyntää eri palveluihin turvallisen autentikoinnin kera, jolloin suojattavien identiteettien määrää voidaan rajoittaa. Vahva tunnistautuminen säästää myös salasanojen liian tiheältä vaihtamiselta, koska pelkän salasanan vaarantuminen itsessään ei vielä mahdollista tilin haltuunottoa.
Katso myös muut Decensin tietoturvapalvelut, joilla pienennät tehokkaasti käyttäjiin ja identiteetteihin kohdistuvia riskejä:
Decensin tietoturvatietoisuus-palvelu
DNS Vahti -palvelu
Salasanojen hallintapalvelu
Mitä hyötyä yrityksellesi on vahvasta tunnistautumisesta ja pääsynhallinnasta?

Maksimaalista tietoturvaa ja käytettävyyttä yhdistämällä eri sovellukset saman palvelun alle

Moderni palvelu, joka suojaa myös MFA-toteutuksiin kohdistuvilta hyökkäyksiltä

Kirjautumistapahtumien laaja näkyvyys tietoturvapoikkeamien selvitykseen
Haluatko kuulla lisää?